On Mon, Jan 03, 2005 at 02:34:37AM +1000, Dmitry Derjavin wrote:
> > По сути ничего не изменилось.  Просто объём поддерживаемой базы
> > вырос в несколько раз, преимущественно за счёт потенциально более
> > уязвимого кода, соответственно, объём выпускаемых обновлений тоже
> > вырос.
> 
> Ну и что? По-моему, это совершенно типичная ситуация, которая решается
> на уровне менеджмента.

Или не решается. :)

> А вовсе не на уровне аудита кода или подготовки обновлений.

И на этом уровне тоже.

> Есть же специалисты, документация в конце концов..

Не понял..

> > Пришлось чем-то пожертвовать.  Лучше уж сократить выпуск
> > анонсов, чем выпуск обновлений, хотя и он тоже неизбежно
> > сокращается.
> 
> Не лучше, а гораздо хуже -- уверяю вас. Особенно в связи с тем, что
> сокращается выпуск обновлений. Думаю, что именно с точки зрения
> безопасности гораздо правильнее в такой ситуации сосредоточиться на
> подготовке анонсов. В этом случае те же админы сэкономят кучу времени,
> если будут точно знать, уязвима конкретная сборка или нет.

Я не умею сочинять анонсы к незафиксенным уязвимостям.  И не хочу уметь.

> А обновление можно будет подготовить средствами сообщества. Как,
> например, и получилось недавно во время совершенно безобразного, на
> мой взгляд, инцидента с php.

По-моему, с php давно всё плохо.  Могу назвать ещё несколько таких
пакетов, которые со временем уходят (или не уходят, хоть и должны)
в contrib из-за неподдерживаемости.  Вы, думаю, тоже.

Что касается подготовки обновлений средствами сообщества, то я готов это
направление поддерживать, как наиболее естественное в сложившейся
ситуации.

> > P.S. Давайте всё-таки обсуждение этой темы завершим.
> 
> Давайте пока не будем. Во всяком случае, пока Security Team таким
> странным образом расставляет приоритеты..

Я убеждён, что исправление важнее анонса.  Сисадмин в состоянии
проанализировать степень угрозы скорее, чем подготовить исправление.


-- 
ldv