From: Igor Zubkov <igor.zubkov@gmail.com>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] Vulnerability policy
Date: Wed, 22 Feb 2017 12:07:32 +0200
Message-ID: <CAJXf7QM5NXyAOp+NUMexDQy=AEN=S+dh-GNUpTS=x+igSL0YZQ@mail.gmail.com> (raw)
In-Reply-To: <87wpcjqs2q.fsf@asia.home.dd>
2017-02-21 21:09 GMT+02:00 Dmitry Derjavin:
> Вт, 21 фев 2017, 20:49, Anton Farygin:
>
>> 21.02.2017 20:29, lineprinter пишет:
>>> Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy
>>> для security-tracker'а, которого еще нет. Предлагаю обсудить.
>>
>> Странно общаться в devel с принтером, пусть он даже line и очень быстр.
>> Предлагаю начать обсуждение с этого ;)
>
> Поддерживаю. Тема обсуждения, кстати, намекает на более ответственное
> отношение к идентификации.
>
> По теме: чем «security-tracker, которого еще нет» будет отличаться от
> того, который уже есть?
>
>> https://packages.altlinux.org/en/Sisyphus/security
>
> Или это не security-tracker?
Это не security, это не tracker, это просто позорная выборка из базы
которая сильно тормозит. На ней даже нет RSS. /security лучше убрать с
сайта и не позорится, чем что-то делать.
Правильный security tracker должен что делать:
1. Выгребать из записей %changelog все упоминания по поводу CVE и
таких же индентификаторов от самих разработчиков. Как пример,
phpMyAdmin. У них используется своя система трекания дыр и они нумерую
их как PMASA. У руби сообщества есть ruby-advisory-db.
2. Импортировать с http://www.cve.mitre.org список всех CVE.
3. Импортировать с других мест данные о проблемах с безопасностью. Тот же PMASA.
4. Линковать релиз пакета с списком проблем которые были исправлены в
релизе с CVE и иже с ним.
5. Дальше можно показывать сырой список того что было найдено в
%changelog пакетов
6. Можно и нужно, наверно, менеджить список того что над залетело из
каталога CVE (и других). Как пример, есть проблемы которым наше ядро
может быть не подвержено в силу того что оно было собрано не так.
7. Можно на основе этой информации писать Security Advisories и слать
из в security@ почтовую рассылку.
8. Иметь статистику что исправлено, а что нет. По бранчам как пример.
Я знаю сколько на разработку этого надо времени, только не знаю кто
заплатит за этот банкет. :)
--
Igor Zubkov
http://hi.im/ice
next prev parent reply other threads:[~2017-02-22 10:07 UTC|newest]
Thread overview: 24+ messages / expand[flat|nested] mbox.gz Atom feed top
2017-02-21 17:29 lineprinter
2017-02-21 17:49 ` Anton Farygin
2017-02-21 18:33 ` Michael Shigorin
2017-02-21 18:44 ` Dmitry V. Levin
2017-02-21 19:02 ` Anton Farygin
2017-02-21 19:32 ` Michael Shigorin
2017-02-21 19:34 ` Alexey Gladkov
2017-02-22 7:31 ` Sergey V Turchin
2017-02-22 7:34 ` Michael Shigorin
2017-02-21 19:09 ` Dmitry Derjavin
2017-02-22 10:07 ` Igor Zubkov [this message]
2017-02-22 11:20 ` Andrew Clark
2017-02-28 17:04 ` lineprinter
2017-03-06 17:08 ` Anton Farygin
2017-02-28 17:06 ` lineprinter
2017-02-28 17:39 ` Alexey Tourbin
2017-02-28 17:51 ` Евгений Терешков
2017-02-28 18:12 ` Alexey Tourbin
2017-03-04 1:03 ` [devel] needrestart (was: Vulnerability policy) Dmitry V. Levin
2017-03-02 6:57 ` [devel] Vulnerability policy Alexey Tourbin
2017-03-03 5:35 ` Alexey Tourbin
2017-03-03 15:00 ` Sergey Afonin
2017-03-03 15:06 ` Alexey Tourbin
2017-05-02 15:31 ` Dmitry V. Levin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to='CAJXf7QM5NXyAOp+NUMexDQy=AEN=S+dh-GNUpTS=x+igSL0YZQ@mail.gmail.com' \
--to=igor.zubkov@gmail.com \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git