From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dd@farpost.com>
To: community@altlinux.ru
Subject: Re: [Comm] Re: =?koi8-r?b?4sXaz9DB087P09TY?=
References: <20041230162337.GA24072@basalt.office.altlinux.org>
	<20041230181458.GA12052@mithraen.dimline.ru>
	<20041230205949.GA26564@basalt.office.altlinux.org>
	<m3is6f23j6.fsf@dd.farpost.com>
	<20050102204747.GA22062@basalt.office.altlinux.org>
	<m3brc630im.fsf@dd.farpost.com>
	<20050103182038.GB8071@basalt.office.altlinux.org>
	<m3wtut8ha7.fsf@dd.farpost.com>
	<20050104151249.GB16483@basalt.office.altlinux.org>
	<m3brc396ln.fsf@dd.farpost.com>
	<20050105165128.GA1016@basalt.office.altlinux.org>
From: Dmitry Derjavin <dd@farpost.com>
Date: Thu, 06 Jan 2005 22:56:42 +1000
In-Reply-To: <20050105165128.GA1016@basalt.office.altlinux.org> (Dmitry V.
	Levin's message of "Wed, 5 Jan 2005 19:51:28 +0300")
Message-ID: <m3hdlu4sxh.fsf@dd.farpost.com>
User-Agent: Gnus/5.1006 (Gnus v5.10.6) Emacs/21.3 (gnu/linux)
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Thu, 06 Jan 2005 12:56:43 -0000
Archived-At: <http://lore.altlinux.org/community/m3hdlu4sxh.fsf@dd.farpost.com/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Thu, Jan 06 2005 at 02:51, "Dmitry V. Levin" <ldv@altlinux.org> wrote:

>> существовании уязвимости в программном продукте, в каком-то виде
>> входящем в Sisyphus, в security-announce@ появлялось бы письмо
>> примерно следующего содержания:
>> 
>> "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
>> продукте таком-то, могущая привести к таким-то печальным
>> последствиям. По зависящим от ST причинам ;) текущая сборка
>> altlinux уязвимости не подвержена."
>
> Насколько я понимаю, так редко кто поступает, разве что в ответ на
> ложную информацию о якобы существующей уязвимости.  Если вы
> действительно хотите поднять планку так высоко, то надо искать
> добровольцев.

Вообще -- да; хотелось бы. По поводу добровольцев есть некоторые идеи,
об этом ниже.

>> Или:
>> 
>> "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
>> продукте таком-то, могущая привести к таким-то печальным
>> последствиям. Версии продукта, входящие в состав таких-то
>> дистрибутивов altlinux подвержены данной уязвимости. По независящим
>> от ST причинам подготовка официального обновления
>> задерживается. Параллельно с ST подготовка обновления ведётся
>> силами сообщества. Обсуждение подготовки неофициального апдейта
>> проходит в рассылке такой-то (ссылка на первое сообщение
>> треда). Ожидаемое время появления официального апдейта -- такое-то,
>> неофициального -- такое-то."
>
> А не проще ли завести специальную рассылку для координации действий
> такого рода.  Кого интересуют неофициальные обновления, сможет
> подписаться в режиме readonly.  Дело в том, что написание
> продуманных анонсов порой занимает непозволительно много времени, и
> если это возможно делегировать, то надо попробовать.

Есть мнение попробовать сделать это в рамках Newsletter, работа над
первой версией (не выпуском!) которого сейчас практически закончена.

Один из вариантов координации действий описан здесь:
http://dd.vl.ru/wiki/AltlinuxNewsletter/IntroDuction

Таким образом, продуманные анонсы для начала можно заменить
развёрнутыми комментариями в рассылке и ссылками на них в Newsletter.

Что вы об этом думаете?

В качестве рассылки предлагаю пока использовать community@, как самую
посещаемую. Предположительно, здесь среди подписчиков проще найти
желающих оставить хороший комментарий.

> И, главное, скажите пожалуйста, что делать с теми уязвимостями, над
> подготовкой обновлений к которым фактически никто не работает?

Для начала придумать способ узнавать, над подготовкой каких обновлений
работа уже ведётся. Bugzilla?

>> >> Главное, что хочется понять в результате -- в чём конкретно
>> >> можно сейчас полагаться на Security Team, а в чём нет.
>> >
>> > А что вы, собственно, ждёте именно от ST на данном историческом
>> > этапе?

[...]

>> А вы как ответили бы на свой собственный вопрос?
>
> Предлагаете заняться самокопанием в списке рассылки?

И в мыслях не было! Действительно интересно -- чего вы ждёте от ST на
данном историческом (да уж..) этапе.

> Нет, спасибо. :)

Просто, вы, Дмитрий, виртуозно уходите от ответов. :) Приходится
изощряться.

-- 
~dd