From: Michael Shigorin <mike@osdn.org.ua>
To: devel@lists.altlinux.org
Subject: Re: [devel] on sisyphus policy for known severely vulnerable packages
Date: Sun, 9 Mar 2008 18:44:33 +0200
Message-ID: <20080309164433.GC28313@osdn.org.ua> (raw)
In-Reply-To: <47D31DD4.6020509@altlinux.ru> <20080308230624.GA14804@lks.home> <200803091425.34830@ruslandh> <20080309151147.GA18362@lks.home>
[-- Attachment #1: Type: text/plain, Size: 4810 bytes --]
On Sun, Mar 09, 2008 at 06:11:47PM +0300, Konstantin A. Lepikhov wrote:
> > Я считаю, что запись в description пакета не является
> > достаточным основанием для того, чтобы в течение почти года
> > не делать security updates по уязвимому пакету.
> >
> > Я полагаю, что аргументация вроде "в этом пакете столько
> > концептуальных дыр, что опубликованные уязвимости, для
> > которых уже написаны и распространяются вирусы, не являются
> > критическими ошибками" у нас неприемлема.
> Предположения и догадки не могут считаться правилами игры.
> Я за правила, понятные для всех.
Разумеется. Только их приходится вырабатывать по ходу дела,
поскольку тут все -- в общем-то обычные люди, которые точно
так же не могут предвидеть все ситуации заранее.
Поэтому многие вопросы прецедентно решаются действительно
на доверии и оценке разумности предложений ответственным за
сизиф Димой.
On Sun, Mar 09, 2008 at 02:25:24PM +0300, Хихин Руслан wrote:
> > > Вернётся пакет в сизиф - вернётся и компонент в багзиллу.
> > > Автомагически.
> > Верните пакет в сизиф.
Дело принципа -- вернуть дырявый? Вместо этого треда, думаю,
можно было раз десять приложить две строчки фикса и собрать всё
вместе с модулями.
> Я вот что подумал: раз вы Константин пострадавший, то есть
> смысл Вас попросить дописать полиси по этому вопросу - при
> каких условиях пакет может/должен удаляться из Сизифа и каков
> должен быть механихм этой операции. :)
Не, эт не дело.
С другой стороны -- вот уж от Костика не ожидал такой реакции:
как бы не первый год человек работает в конторах со специфическим
отношением к информационной безопасности.
(и да, если бы это был пакет человека, у которого опыта меньше --
спроса и возмущения с моей стороны было бы тоже меньше)
On Sun, Mar 09, 2008 at 02:06:24AM +0300, Konstantin A. Lepikhov wrote:
> Скажи прямо - "мы тут подумали с димой и решили". Т.е. решили
> проблему в частном порядке.
Да здесь она решалась, здесь. Если хочешь, постараюсь запомнить,
что тебе тоже бывает сложно добраться -- и давать Cc: или дёргать
в jabber. Если хочешь сказать, что проблемы надо игнорировать,
а не решать -- извини, не помогает.
> Тут не баня, чтобы меряться скиллами.
Dixi.
> Нужно чтобы инструменты в мастерской всегда были под рукой, а
> не были выброшены заботливой хозяйкой, потому что не заточены и
> ручки разболтались. Извини, я не понимаю, почему пакеты одних
> должны быть ровнее других.
Потому что это основа. Например, в community@ витали мысли
сделать livecd в т.ч. на основе wks; как думаешь, можно ли его
рекомендовать в качестве основы с таким отношением?
Возможно, это всё те же неоправданные ожидания... да только очень
уж хорошо помню, когда лучше бы выложил _срочное_ обновление
mod_ssl в 2003 со сломанным %post, чем полгода в три подхода
выяснял, из-за чего при обновлении apache стопился.
Такое полиси мне лично тогда бы помогло сделать правильный выбор.
А так... получился ощутимый удар по доверию к дистрибутиву и по
сообществу. Ещё несколько лет потом это узнавал.
Потому и попросил выкинуть wyrd, когда там нашли глупую дырку,
но лезть в камлёвый код её затыкать было совсем не с руки.
Починили в апстриме -- вернул пакет и собрал update.
Без никаких проблем.
> > > Сначала придумайте, потом реализуйте на практике.
> > Там было приведено "три недели". Предлагаю для remote exec
> > неделю, для local root -- две. На третьей у меня лично глаза
> > на лоб полезли, *случайно* заметив такое безобразие.
> > По данному прецеденту -- думаю, лучше сразу расставить точки
> > над "ы", чем делать вид, что всё в порядке. Бишь или
> > починить, или выкинуть.
> это еще одна личная точка зрения.
Выскажи свою.
> > > И верните компонент в багзиллу.
> > К dottedmag@, а ещё лучше -- к /incoming.
> т.е. мне создали проблемы, а теперь предлагают еще и самому их
> решать. Ну спасибо за советский сервис.
Как один из наиболее громко вопящих при очередных закручиваниях
гаек в sisyphus_check, вопрошаю: и ты ещё удивлён?
Здесь так принято, дядьку :)
On Sun, Mar 09, 2008 at 02:14:28AM +0300, Alexey Gladkov wrote:
> >Эта ссылка является ссылкой на аргумент предельной силы по
> >смежному с непосредственно поднятым тобой вопросу.
> Миш, ситуации бывают разные.
Дык. И аргумент (NMU с исправлением) был действительно сильный.
> >И пока ты собираешься так пренебрежительно отзываться
> >о мнении коллег именно что своим трёпом, его ценность
> >будет плавно скатываться к нулю и дальше.
> Давайте, все успокоимся. Друзья, коллеги не стоит продолжать не
> конструктивный разговор ... тем более в таком русле.
Прошу прощения, кого чем обидел.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
next prev parent reply other threads:[~2008-03-09 16:44 UTC|newest]
Thread overview: 74+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-03-07 20:54 ` [devel] E: incoming x86_64 reject: kernel-modules-fglrx-wks-smp-1.0.8.47.1-alt1.132626.2 Konstantin A. Lepikhov
2008-03-07 21:04 ` Dmitry V. Levin
2008-03-07 21:21 ` Konstantin A. Lepikhov
2008-03-07 21:48 ` Dmitry V. Levin
2008-03-08 19:04 ` Michael Shigorin
2008-03-08 20:59 ` Konstantin A. Lepikhov
2008-03-08 21:05 ` [devel] on sisyphus policy for known severely vulnerable packages Michael Shigorin
2008-03-08 21:51 ` Konstantin A. Lepikhov
2008-03-08 22:42 ` Michael Shigorin
2008-03-08 23:06 ` Konstantin A. Lepikhov
2008-03-08 23:14 ` Alexey Gladkov
2008-03-08 23:02 ` Dmitry V. Levin
2008-03-08 23:18 ` Konstantin A. Lepikhov
2008-03-08 23:25 ` Dmitry V. Levin
2008-03-08 23:40 ` Alexey Gladkov
2008-03-08 23:52 ` Dmitry V. Levin
2008-03-09 0:02 ` Konstantin A. Lepikhov
2008-03-09 13:23 ` Dmitry V. Levin
2008-03-09 13:46 ` Konstantin A. Lepikhov
2008-03-09 14:08 ` Dmitry V. Levin
2008-03-09 15:11 ` Konstantin A. Lepikhov
2008-03-09 13:47 ` Sergey Y. Afonin
2008-03-09 14:08 ` Valery V. Inozemtsev
2008-03-09 14:13 ` Dmitry V. Levin
2008-03-09 14:23 ` Valery V. Inozemtsev
2008-03-12 0:07 ` Konstantin A. Lepikhov
2008-03-12 1:08 ` [devel] iptables Dmitry V. Levin
2008-03-09 14:36 ` [devel] on sisyphus policy for known severely vulnerable packages Konstantin A. Lepikhov
2008-03-09 14:48 ` Valery V. Inozemtsev
2008-03-09 14:59 ` Konstantin A. Lepikhov
2008-03-09 0:03 ` Alexey Gladkov
2008-03-09 7:18 ` Mikhail Gusarov
2008-03-09 11:18 ` Konstantin A. Lepikhov
2008-03-09 11:25 ` Хихин Руслан
2008-03-09 16:44 ` Michael Shigorin [this message]
2008-03-09 17:43 ` Konstantin A. Lepikhov
2008-03-09 18:34 ` Dmitry V. Levin
2008-03-09 18:51 ` Konstantin A. Lepikhov
2008-03-09 18:59 ` Michael Shigorin
2008-03-09 19:14 ` [devel] lakostis Dmitry V. Levin
2008-03-09 19:59 ` Konstantin A. Lepikhov
2008-03-09 20:07 ` Mikhail Gusarov
2008-03-09 20:14 ` Konstantin A. Lepikhov
2008-03-09 20:46 ` Dmitry V. Levin
2008-03-12 0:10 ` Konstantin A. Lepikhov
2008-03-12 1:07 ` Dmitry V. Levin
2008-03-12 8:03 ` Mikhail Gusarov
2008-03-12 9:24 ` Денис Смирнов
2008-03-12 11:42 ` Vladimir V. Kamarzin
2008-03-12 13:35 ` Mikhail Gusarov
2008-03-13 9:34 ` Vladimir V. Kamarzin
2008-03-13 9:38 ` Mikhail Gusarov
2008-03-09 20:42 ` [devel] нет Michael Shigorin
2008-03-09 20:58 ` [devel] administrativa where are you? Alexey Gladkov
2008-03-09 21:13 ` [devel] administrativa is here Dmitry V. Levin
2008-03-09 20:53 ` [devel] lakostis Dmitry V. Levin
2008-03-09 22:06 ` Anton Farygin
2008-03-09 18:54 ` [devel] on sisyphus policy for known severely vulnerable packages Michael Shigorin
2008-03-09 20:03 ` Konstantin A. Lepikhov
2008-03-09 21:02 ` Michael Shigorin
2008-03-10 9:01 ` Sergey Y. Afonin
2008-03-09 13:16 ` Dmitry V. Levin
2008-03-08 23:32 ` Alexey Gladkov
2008-03-08 23:42 ` Dmitry V. Levin
2008-03-09 0:01 ` Alexey Gladkov
2008-03-11 8:13 ` Vladimir V. Kamarzin
2008-03-11 8:41 ` Alexey Tourbin
2008-03-11 9:04 ` Mikhail Gusarov
2008-03-11 9:07 ` Mikhail Gusarov
2008-03-11 9:08 ` Mikhail Gusarov
2008-03-11 9:15 ` Alexey Tourbin
2008-03-09 16:08 ` Michael Shigorin
2008-03-22 12:41 ` [devel] E: incoming x86_64 reject: kernel-modules-fglrx-wks-smp-1.0.8.47.1-alt1.132626.2 Eugine Kosenko
2008-03-22 13:03 ` [devel] wks-smp Dmitry V. Levin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20080309164433.GC28313@osdn.org.ua \
--to=mike@osdn.org.ua \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git