[devel] girar security

[devel] girar security

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 248 bytes --]

Интересный вопрос -- как будет происходить сборка пакетов если там будет
security-фикс, да еще и unpublished баги?

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] girar security

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 281 bytes --]

On Fri, Feb 06, 2009 at 05:20:24AM +0300, Денис Смирнов wrote:
> Интересный вопрос -- как будет происходить сборка пакетов если там будет
> security-фикс, да еще и unpublished баги?

girar builder сразу публикует результат, так что ему всё равно, что собралось.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] girar security

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 701 bytes --]

On Fri, Feb 06, 2009 at 01:45:49PM +0300, Dmitry V. Levin wrote:

>> Интересный вопрос -- как будет происходить сборка пакетов если там будет
>> security-фикс, да еще и unpublished баги?
DVL> girar builder сразу публикует результат, так что ему всё равно, что собралось.

Я это и имею в виду. В некоторых случаях публикация результата -- плохо.

Я правильно понимаю что в таких случаях следует делать git push и build
только в тот момент когда информация становится открытой? Предоставить
пользователям бинарники до опубликование патча получается невозможно.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] girar security

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 973 bytes --]

Денис Смирнов пишет:
> On Fri, Feb 06, 2009 at 01:45:49PM +0300, Dmitry V. Levin wrote:
> 
>>> Интересный вопрос -- как будет происходить сборка пакетов если там будет
>>> security-фикс, да еще и unpublished баги?
> DVL> girar builder сразу публикует результат, так что ему всё равно, что собралось.
> 
> Я это и имею в виду. В некоторых случаях публикация результата -- плохо.
> 
> Я правильно понимаю что в таких случаях следует делать git push и build
> только в тот момент когда информация становится открытой? Предоставить
> пользователям бинарники до опубликование патча получается невозможно.

   Похоже здесь очередной шаг просится: чтобы после сборки girar 
builder`ом собранное оказалось в отдельном хранилище (доступном из вне) 
и помещалось в репозитарий по отдельной команде. И проверку на 
допустимость помещения в репозитарий нужно выполнять в 2х местах: сразу 
после сборки и при фактическом помещении.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [devel] girar security

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 773 bytes --]

On Sat, Feb 07, 2009 at 01:01:46AM +0300, Денис Смирнов wrote:
> On Fri, Feb 06, 2009 at 01:45:49PM +0300, Dmitry V. Levin wrote:
> 
> >> Интересный вопрос -- как будет происходить сборка пакетов если там будет
> >> security-фикс, да еще и unpublished баги?
> DVL> girar builder сразу публикует результат, так что ему всё равно, что собралось.
> 
> Я это и имею в виду. В некоторых случаях публикация результата -- плохо.
> 
> Я правильно понимаю что в таких случаях следует делать git push и build
> только в тот момент когда информация становится открытой?

Правильно.

> Предоставить пользователям бинарники до опубликование патча получается невозможно.

Если эти файлы нужны для тестирования, то их можно предоставить
по другим каналам.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] girar build with delayed merge

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 479 bytes --]

On Sat, Feb 07, 2009 at 12:24:17PM +0300, Aleksey Avdeev wrote:
[...]
>   Похоже здесь очередной шаг просится: 
>   чтобы после сборки girar builder`ом собранное 
> оказалось в отдельном хранилище 
> (доступном из вне) и помещалось в 
> репозитарий по отдельной команде. И 
> проверку на допустимость помещения в 
> репозитарий нужно выполнять в 2х местах: 
> сразу после сборки и при фактическом 
> помещении.

Это уже совсем другая, самоценная фича.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] girar security

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1022 bytes --]

On Sat, Feb 07, 2009 at 03:42:21PM +0300, Dmitry V. Levin wrote:

>> Я это и имею в виду. В некоторых случаях публикация результата -- плохо.
>> Я правильно понимаю что в таких случаях следует делать git push и build
>> только в тот момент когда информация становится открытой?
DVL> Правильно.

Спасибо.

>> Предоставить пользователям бинарники до опубликование патча получается невозможно.
DVL> Если эти файлы нужны для тестирования, то их можно предоставить
DVL> по другим каналам.

Это я понимаю. Меня интересовала следующая ситуация -- возможность
предоставить пользователям бинарник в момент 1, а уже через некоторое
время предоставить исходник, патч, и т.д. Насколько я понимаю время между
этими двумя моментами может быть заметным (и должно быть достаточным для
того чтобы пользователи могли обновиться до того как масса script kiddies
пойдут играться эксплойтом).

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] girar security

[Led]

On Saturday, 07 February 2009 20:08:10 Денис Смирнов wrote:
> On Sat, Feb 07, 2009 at 03:42:21PM +0300, Dmitry V. Levin wrote:
> >> Я это и имею в виду. В некоторых случаях публикация результата -- плохо.
> >> Я правильно понимаю что в таких случаях следует делать git push и build
> >> только в тот момент когда информация становится открытой?
>
> DVL> Правильно.
>
> Спасибо.
>
> >> Предоставить пользователям бинарники до опубликование патча получается
> >> невозможно.
>
> DVL> Если эти файлы нужны для тестирования, то их можно предоставить
> DVL> по другим каналам.
>
> Это я понимаю. Меня интересовала следующая ситуация -- возможность
> предоставить пользователям бинарник в момент 1, а уже через некоторое
> время предоставить исходник, патч, и т.д. Насколько я понимаю время между
> этими двумя моментами может быть заметным (и должно быть достаточным для
> того чтобы пользователи могли обновиться до того как масса script kiddies
> пойдут играться эксплойтом).

Исходники предоставлять следует по первому требованию. Т.е. даже если это 
требование поступило через секунду после предоставления бинарника.

-- 
Led

Re: [devel] girar security

[Led]

On Saturday, 07 February 2009 20:36:57 Led wrote:
> On Saturday, 07 February 2009 20:08:10 Денис Смирнов wrote:
> > On Sat, Feb 07, 2009 at 03:42:21PM +0300, Dmitry V. Levin wrote:
> > >> Я это и имею в виду. В некоторых случаях публикация результата --
> > >> плохо. Я правильно понимаю что в таких случаях следует делать git push
> > >> и build только в тот момент когда информация становится открытой?
> >
> > DVL> Правильно.
> >
> > Спасибо.
> >
> > >> Предоставить пользователям бинарники до опубликование патча получается
> > >> невозможно.
> >
> > DVL> Если эти файлы нужны для тестирования, то их можно предоставить
> > DVL> по другим каналам.
> >
> > Это я понимаю. Меня интересовала следующая ситуация -- возможность
> > предоставить пользователям бинарник в момент 1, а уже через некоторое
> > время предоставить исходник, патч, и т.д. Насколько я понимаю время между
> > этими двумя моментами может быть заметным (и должно быть достаточным для
> > того чтобы пользователи могли обновиться до того как масса script kiddies
> > пойдут играться эксплойтом).
>
> Исходники предоставлять следует по первому требованию. Т.е. даже если это
> требование поступило через секунду после предоставления бинарника.

Или даже так: если вы предоставляете только бинарник, то он мне нафиг не нужен 
и имею полное право считать это "подставой".

-- 
Led

Re: [devel] girar security

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 520 bytes --]

On Sat, Feb 07, 2009 at 08:36:57PM +0200, Led wrote:

L> Исходники предоставлять следует по первому требованию. Т.е. даже если это 
L> требование поступило через секунду после предоставления бинарника.

Кстати интересно, в GPL написано через сколько времени я обязан их
предоставить по этому самому требованию? В смысле я обязан делать это за 1
секунду, или пара дней у меня есть?

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] girar security

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 473 bytes --]

On Sat, Feb 07, 2009 at 08:38:09PM +0200, Led wrote:

L> Или даже так: если вы предоставляете только бинарник, то он мне нафиг не нужен 
L> и имею полное право считать это "подставой".

Это твое право.

А вот клиент обычный предпочел бы получить от вендора заплатку которая
будет работать _до_ того как бага станет широко известной.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] girar security

[Led]

On Saturday, 07 February 2009 22:37:10 Денис Смирнов wrote:
> On Sat, Feb 07, 2009 at 08:36:57PM +0200, Led wrote:
>
> L> Исходники предоставлять следует по первому требованию. Т.е. даже если
> это L> требование поступило через секунду после предоставления бинарника.
>
> Кстати интересно, в GPL написано через сколько времени я обязан их
> предоставить по этому самому требованию? В смысле я обязан делать это за 1
> секунду, или пара дней у меня есть?

Вы пытаетесь найти "лазейки" в GPL?

-- 
Led

Re: [devel] girar security

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1655 bytes --]

On Sat, Feb 07, 2009 at 11:00:32PM +0200, Led wrote:

> L>> Исходники предоставлять следует по первому требованию. Т.е. даже если
>> это L> требование поступило через секунду после предоставления бинарника.
>> Кстати интересно, в GPL написано через сколько времени я обязан их
>> предоставить по этому самому требованию? В смысле я обязан делать это за 1
>> секунду, или пара дней у меня есть?
L> Вы пытаетесь найти "лазейки" в GPL?

Это не лазейка, а разумная ситуация.

GPL предполагает что я могу предоставить исходники различными способами, и
немедленное выкладывание на сайт это лишь один из них.

Повторяю еще раз -- речь идет о ситуации, когда исходники будут
предоставлены, но с задержкой 1-2 дня с целью нераскрытия информации о
найденой уязвимости.

Чаще всего как я вижу применяется подход "нераскрытие производится до
момента подготовки патчей, после чего одномоментно публикуются бинарники и
исходники с исправлениями". Проблема этого подхода в том, что даже при
большой оперативности может пройти 1-2 дня прежде чем даже те кто всерьез
озабочен своей безопасностью установят обновление.

А ситуация "эксплойт опубликован до того как существенная часть желающих
обновится" -- нехорошая.

Собственно меня интересовало возможна ли публикация бинарника с
исправлением до момента когда будет можно публиковать исходники. Ну нельзя
так нельзя, это не мои проблемы -- это проблемы пользователей. Просто они
получат одновременно бинарник с исходниками, но заметно позже чем могли
бы.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] girar security

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1931 bytes --]

On Sun, Feb 08, 2009 at 02:07:44PM +0300, Денис Смирнов wrote:
> On Sat, Feb 07, 2009 at 11:00:32PM +0200, Led wrote:
> 
> > L>> Исходники предоставлять следует по первому требованию. Т.е. даже если
> >> это L> требование поступило через секунду после предоставления бинарника.
> >> Кстати интересно, в GPL написано через сколько времени я обязан их
> >> предоставить по этому самому требованию? В смысле я обязан делать это за 1
> >> секунду, или пара дней у меня есть?
> L> Вы пытаетесь найти "лазейки" в GPL?
> 
> Это не лазейка, а разумная ситуация.
> 
> GPL предполагает что я могу предоставить исходники различными способами, и
> немедленное выкладывание на сайт это лишь один из них.
> 
> Повторяю еще раз -- речь идет о ситуации, когда исходники будут
> предоставлены, но с задержкой 1-2 дня с целью нераскрытия информации о
> найденой уязвимости.

Я считаю, что этот подход глубоко порочный.

> Чаще всего как я вижу применяется подход "нераскрытие производится до
> момента подготовки патчей, после чего одномоментно публикуются бинарники и
> исходники с исправлениями".

Да, и это правильно.

> Проблема этого подхода в том, что даже при
> большой оперативности может пройти 1-2 дня прежде чем даже те кто всерьез
> озабочен своей безопасностью установят обновление.

Те, "кто всерьез озабочен", не обязаны ждать 1-2 дня.

> А ситуация "эксплойт опубликован до того как существенная часть желающих
> обновится" -- нехорошая.

Есть разница между патчем и эксплоитом.

> Собственно меня интересовало возможна ли публикация бинарника с
> исправлением до момента когда будет можно публиковать исходники. Ну нельзя
> так нельзя, это не мои проблемы -- это проблемы пользователей. Просто они
> получат одновременно бинарник с исходниками, но заметно позже чем могли
> бы.

Пользователи не обязаны получать исходники вообще.

Ладно, давайте завязывать с этой темой.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]