From: Andrew Kornilov <hiddenman@altlinux.ru>
To: ALT Devel discussion list <devel@lists.altlinux.org>
Subject: Re: [devel] severity "security"
Date: Mon, 02 Oct 2006 20:20:41 +0300
Message-ID: <45214A69.3090504@altlinux.ru> (raw)
In-Reply-To: <20060617124133.GG370@osdn.org.ua>
Michael Shigorin wrote:
И тут сорри за задержку.
>>А как быть с утилитами типа rkhunter, которые проверяют версию
>>приложения?
>>
>>
>Так и быть -- выкинуть как ориентированный на слаквари.
>Ну или помнить цену выводу.
>
>
>
С большей вероятность можно верить багзилле, в которой будет список CVE
и рядом пунктик, исправлена или нет :)
>>>>bugtraq читают многие, я думаю.
>>>>
>>>>
>>>Не факт. Этот список рассылки последнее время стал
>>>малоинформативным.
>>>
>>>
>>Но как быть тогда? Аналога полноценного нет. Но это ведь не
>>повод игнорировать вообще проблемы с безопасностью.
>>
>>
>
>Рекомендую анонсы secunia.com. Описания у них порой до того
>шаблонные, что напоминают спам, но по крайней мере есть ссылки,
>батчами и довольно оперативно.
>
>
Да читаю я его давно. И даже вижу твои и еще нескольких людей попытки
туда что-то анонсировать. Во что оно выливается, понять сложно.
>>>Коллега, вот я бы на вашем месте подумал, что будет в плане
>>>задраивания отверстий в пакетах уже после релиза.
>>>
>>>
>>Не совсем понял. То есть, выпустить дистрибутив с уязвимостями
>>можно, главное, чтобы потом кто-то их исправлял?
>>
>>
>
>Выпустить дистрибутив без уязвимостей (не обязательно известных)
>нельзя. Говорят, безопасность -- не состояние, а процесс.
>
>
Можно хотя бы без явных :) Просто я с чего и начал, нет системы, по
которой их можно было бы проверить. Только каждый майнтейнер должн лично
этим озаботится и проверить всё свое. Перед этим еще добыв где-то список
этих уязвимостей :)
>>>Если бы мантейнеры действительно заботились о безопасности
>>>своих пакетов, то вопрос информирования не стоял бы.
>>>
>>>
>>Но ведь активности майнтейнеров недостаточно. Должен (читай:
>>желательно) быть какой-то человек, хоть каким-то образом
>>отвечающий хотя бы за безопасность пакетов.
>>
>>
>
>Всех?
>
>
Принимающий решение хотя бы. Типа: нет исправления - не место этому
пакету здесь.
>>Ведь те же orphaned-пакеты у нас выкидываются из Сизифа без
>>малейшего сожаления, почему бы не выкидывать оттуда и
>>небезопасные приложения (можно ведь и автоматически).
>>
>>
>
>sendmail безопасен? (Сергей, простите! ничего личного)
>
>
Сложно сказать :) Он может быть безопасен сам по себе, по содержать
такой конфиг по умолчнию, что станет отличной добычей для спамеров.
>Я стараюсь форвардить то, что замечаю, тем, кого знаю, если это
>касается того, что им небезынтересно. Просто все списки "кому
>чего" в голове, естественно, не поместить.
>
>
Вот и я о чем. Невозможно это все держать в голове. Можно где-то
помечать. В качестве бага хотя бы. Я изначально предложил всего лишь
severity "security". Можно, конечно, и блокерами это всё обзывать :)
>Знаю как минимум одного человека, который порой вешает толковые
>баги именно по части безопасности (Serg Rychka).
>
>
Честь ему и хвала. Не то, что я, ленивый.
>
>
>>p.s. Я повторю вопрос: что будет после "заморозки" среза
>>Сизифа? Будет ли кто-нибудь анализировать срез на предмет
>>безопасности?
>>
>>
>
>PS: чего и удивился, когда упразднили компоненты -- main и
>contrib всё-таки вполне возможно разделить, проведя формальный
>опрос -- за что кто готов отвечать и _оценочно_ -- насколько
>долго и в какой мере. За несколько из своих пакетов могу
>подписаться, пересматривал их тогда в таком свете.
>
>
Но если я не выполняют это обязательство, должен кто-то недрогнувшей
рукой забрать у меня пакет или выкинуть его. А так, пока никто бучу не
поднял, все отмалчиваются :)
prev parent reply other threads:[~2006-10-02 17:20 UTC|newest]
Thread overview: 13+ messages / expand[flat|nested] mbox.gz Atom feed top
2006-06-16 16:00 Andrew Kornilov
2006-06-16 17:23 ` Michael Shigorin
2006-06-16 18:25 ` Dmitry V. Levin
2006-06-16 20:10 ` Andrew Kornilov
2006-06-16 21:29 ` Dmitry V. Levin
2006-10-02 17:10 ` Andrew Kornilov
2006-10-02 17:24 ` Michael Shigorin
2006-10-02 17:32 ` Dmitry V. Levin
2006-10-02 19:40 ` Nikolay A. Fetisov
2006-10-03 8:15 ` [devel] [wiki] " Michael Shigorin
2006-10-03 21:32 ` [devel] " Dmitry V. Levin
2006-06-17 12:41 ` Michael Shigorin
2006-10-02 17:20 ` Andrew Kornilov [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=45214A69.3090504@altlinux.ru \
--to=hiddenman@altlinux.ru \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git