On Thu, Jan 20, 2005 at 11:23:55AM +0300, Stanislav Ievlev wrote:
> On Wed, Jan 19, 2005 at 05:58:24PM +0200, Michael Shigorin wrote:
> > On Wed, Jan 19, 2005 at 04:01:02PM +0300, vserge wrote:
> > > Уважаемые коллеги:
> > > 1) Надо ли нам определить Security policy 
> > > 2) Надо ли расширить Security Team
> > > 3) Как должна работать Security Team и что будет входить в ее
> > > обязанности?
> > 
> > По предварительному обсуждению конца прошлого года могу
> > предложить такое.
> > 
> > Желающие поднимают руку и собираются в security volunteers team,
> > которая координируется security team и по возможности
> > обеспечивает по возможности оперативный выпуск рекомендаций по
> > обновлению для (хотя бы) последнего стабильного выпуска.
> > 
> > Что ожидается от участников -- заинтересованность в результате.
> > Поэтому, как правило, это системные администраторы, использующие
> > эти пакеты и системы в боевых условиях.
> > 
> > Что ожидается от sec team (в лице Димы) -- одобрение кандидатов в
> > такую команду (скорее номинальное -- с учётом ограничения
> > выборкой из участников ALT Linux Team?), маршрутизация информации
> > об уязвимостях (конкретному майнтейнеру или всей команде);
> > возможно, отслеживание статуса проблем (если на это не найдётся
> > желающего побыть таким project manager).
> Тут есть два "но" (но не "нет" ;) )
> 1. Одобрение не может быть "номинальным" ибо маршрутизация информации об
> уязвимостях может идти только к достаточно компетентным и доверенным
> лицам. Зачастую эта информация носит строго конфиденциальных характер.
> Соответственно должны быть сформулированы определённые требования
> к желающим. В частности, это не должны быть недавно подключившиеся к
> проекту люди. Надеюсь Дима сможет хотя бы примерно сформулировать эти
> требования.

Пока я координатор выпуска обновлений, всё что нужно - это добиться моего
доверия.  Для этого нужно:
1. Продемонстрировать мотивированное желание и возможность готовить обновления.
2. Продемонстрировать квалификацию, необходимую для подготовки обновлений.
3. Продемонстрировать умение работать с конфиденциальной информацией.
4. Постоянно подтверждать вышеперечисленное.


-- 
ldv