From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 2 Oct 2006 20:24:25 +0300 From: Michael Shigorin To: ALT Devel discussion list Message-ID: <20061002172425.GA25134@osdn.org.ua> Mail-Followup-To: ALT Devel discussion list References: <4492D5BA.5030407@altlinux.ru> <20060616182556.GB18690@basalt.office.altlinux.org> <44931023.8040102@altlinux.ru> <20060616212907.GA22108@basalt.office.altlinux.org> <452147F1.1060701@altlinux.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <452147F1.1060701@altlinux.ru> User-Agent: Mutt/1.4.2.1i Subject: Re: [devel] severity "security" X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Devel discussion list List-Id: ALT Devel discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 Oct 2006 17:24:05 -0000 Archived-At: List-Archive: List-Post: On Mon, Oct 02, 2006 at 08:10:09PM +0300, Andrew Kornilov wrote: > >Пойдите на http://cve.mitre.org/cve/ и посмотрите. > Там не всё. Вот только что приехала уязвимость на OpenVPN: DoS, > System Access; на mitre.org её нет. Что мне делать? Ждать, > когда об этом узнает майнтейнер, повесить баг, пересобрать > самому? Уведомить майнтейнера, пересобрать самому и закинуть в /incoming/updates, если заработало (если есть тесткейс -- соответственно проверив им). > >Либо я вас не понял, либо вы наивно полагаете, что дырявость > >пакета так же легко проверяется, как и собираемость. > Неплохо бы иметь список проблем из разных источников, чтобы не > метаться по всем рассылкам. Подпишись на рассылку secunia.com, вполне адекватно IMHO. Ну и раз озадачился -- на security-team@. > >>>>Но ситуацию с security, похоже, никто не отслеживает совершенно. > >>>Ну, тут вы сильно заблуждаетесь. :) > >>Я очень на это надеюсь. Но очень хочется увидеть какие-либо > >>упоминания об этом, а еще лучше результаты. > >Я определённо не понимаю, какое упоминание и какой результат > >вы хотите увидеть. > К примеру, оповещение где-либо о том, что исправлены такие-то > ошибки и доступны новые пакеты. Как это было раньше для пакетов > из коробочных дистрибутивов (и есть ли оно сейчас для них?). > Все это достаточно не сложно автоматизировать, если захотеть :) Для этого требуются: - security response team (на ставке или добровольная); - (желательно) тестировщики исправлений; - (желательно) писатели анонсов или - внятные changelog и робот-чтец к ним. Для Sisyphus мне кажется осмысленным разве что нечто дебиановского urgency в changelog добавлять каким-то единообразным макаром. > Майнтейнер майнтейнеру рознь. Ведь они это не за зарплату > делают и это не их основная задача. Кому-то все равно, есть ли > remote access к этому приложению, потому как у него и сети нет > на этой машине и пользуется он один этим. А кто-то использует > это по полной программе. Причем, майнтейнер может быть вообще в > астрале и не реагировать на письма. Что делать второму? > Постоянно следить за пакетом, не надеясь на первого и при > первой же уязвимости делать NMU? Понятно, что вариантов масса и > всего учесть нельзя. Вот для чего big incoming lock и надо решать, в частности. Поскольку порой одни заинтересованы в развитии и поддержании функциональности пакета, а другие -- безопасности, и без доступной по цене (времени) возможности сотрудничать это не работает. > >>p.s. Я повторю вопрос: что будет после "заморозки" среза > >>Сизифа? Будет ли кто-нибудь анализировать срез на предмет > >>безопасности? > >Не думаю, что имеет смысл "анализировать срез на предмет > >безопасности". Надо просто следить за своими пакетами. > >P.S. Всех учу, а самому никак libtiff новый собрать некогда. :( > А как можно за ними за всеми следить? Вот только что глянул на > Top maintainers на sisyphus.ru (все знают, кто там :). В жизни > не поверю, что кто-то из них физически способен следить за > своими пакетами, даже если он этим будет заниматься 24/7 :) > А вот если коллективно, то хоть что-то получится. Мне кажется, может помочь институт лейтенантов -- в плане "собрать свежую версию, благо ничего притирать особо не надо", "закинуть патчи в апстрим", "подстраховать по сборке апдейта". Вот только где брать ответственных студентов, которые достаточно сильно дружат с головой, чтобы ценить такой экспириенс нахаляву -- пока не совсем понятно. > p.s. В общем, это всё лирика пока, конечно. Но что-то полезное > и интересное придумать можно, если не быть столь консервативным > :) Чукча, к сожалению, больше читатель, чем писатель, поэтому > от меня конструктива дождаться сложно. Может кто присоединится. Давай для начала поддержим инициативу Димы насчёт git.alt руками. Это часть решения блокировки распределённой работы. -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/