On Wed, Jan 19, 2005 at 04:01:02PM +0300, vserge wrote:
> Уважаемые коллеги:
> 1) Надо ли нам определить Security policy 
> 2) Надо ли расширить Security Team
> 3) Как должна работать Security Team и что будет входить в ее
> обязанности?

По предварительному обсуждению конца прошлого года могу
предложить такое.

Желающие поднимают руку и собираются в security volunteers team,
которая координируется security team и по возможности
обеспечивает по возможности оперативный выпуск рекомендаций по
обновлению для (хотя бы) последнего стабильного выпуска.

Что ожидается от участников -- заинтересованность в результате.
Поэтому, как правило, это системные администраторы, использующие
эти пакеты и системы в боевых условиях.

Что ожидается от sec team (в лице Димы) -- одобрение кандидатов в
такую команду (скорее номинальное -- с учётом ограничения
выборкой из участников ALT Linux Team?), маршрутизация информации
об уязвимостях (конкретному майнтейнеру или всей команде);
возможно, отслеживание статуса проблем (если на это не найдётся
желающего побыть таким project manager).

Из нашей фирмы в такой команде могут принять участие трое.

Да -- ещё хорошо бы иметь в такой команде доверенного человека,
могущего подготовить более-менее понятный краткий анонс.

Вообще надо заметить, что наиболее подробное описание ролей в
команде -- у Fedora Legacy, см. последнюю ссылку ниже.

References:

http://www.debian.org/security/faq
http://www.debian.org/doc/developers-reference/ch-pkgs.en.html#s-bug-security
http://www.gentoo.org/proj/en/security/
http://www.gentoo.org/security/en/vulnerability-policy.xml
http://fedoralegacy.org/about/faq.php
http://fedoralegacy.org/participate/

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/