* [devel] girar security @ 2009-02-06 2:20 Денис Смирнов 2009-02-06 10:45 ` Dmitry V. Levin 0 siblings, 1 reply; 14+ messages in thread From: Денис Смирнов @ 2009-02-06 2:20 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 248 bytes --] Интересный вопрос -- как будет происходить сборка пакетов если там будет security-фикс, да еще и unpublished баги? -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-06 2:20 [devel] girar security Денис Смирнов @ 2009-02-06 10:45 ` Dmitry V. Levin 2009-02-06 22:01 ` Денис Смирнов 0 siblings, 1 reply; 14+ messages in thread From: Dmitry V. Levin @ 2009-02-06 10:45 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 281 bytes --] On Fri, Feb 06, 2009 at 05:20:24AM +0300, Денис Смирнов wrote: > Интересный вопрос -- как будет происходить сборка пакетов если там будет > security-фикс, да еще и unpublished баги? girar builder сразу публикует результат, так что ему всё равно, что собралось. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-06 10:45 ` Dmitry V. Levin @ 2009-02-06 22:01 ` Денис Смирнов 2009-02-07 9:24 ` Aleksey Avdeev 2009-02-07 12:42 ` [devel] girar security Dmitry V. Levin 0 siblings, 2 replies; 14+ messages in thread From: Денис Смирнов @ 2009-02-06 22:01 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 701 bytes --] On Fri, Feb 06, 2009 at 01:45:49PM +0300, Dmitry V. Levin wrote: >> Интересный вопрос -- как будет происходить сборка пакетов если там будет >> security-фикс, да еще и unpublished баги? DVL> girar builder сразу публикует результат, так что ему всё равно, что собралось. Я это и имею в виду. В некоторых случаях публикация результата -- плохо. Я правильно понимаю что в таких случаях следует делать git push и build только в тот момент когда информация становится открытой? Предоставить пользователям бинарники до опубликование патча получается невозможно. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-06 22:01 ` Денис Смирнов @ 2009-02-07 9:24 ` Aleksey Avdeev 2009-02-07 12:50 ` [devel] girar build with delayed merge Dmitry V. Levin 2009-02-07 12:42 ` [devel] girar security Dmitry V. Levin 1 sibling, 1 reply; 14+ messages in thread From: Aleksey Avdeev @ 2009-02-07 9:24 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 973 bytes --] Денис Смирнов пишет: > On Fri, Feb 06, 2009 at 01:45:49PM +0300, Dmitry V. Levin wrote: > >>> Интересный вопрос -- как будет происходить сборка пакетов если там будет >>> security-фикс, да еще и unpublished баги? > DVL> girar builder сразу публикует результат, так что ему всё равно, что собралось. > > Я это и имею в виду. В некоторых случаях публикация результата -- плохо. > > Я правильно понимаю что в таких случаях следует делать git push и build > только в тот момент когда информация становится открытой? Предоставить > пользователям бинарники до опубликование патча получается невозможно. Похоже здесь очередной шаг просится: чтобы после сборки girar builder`ом собранное оказалось в отдельном хранилище (доступном из вне) и помещалось в репозитарий по отдельной команде. И проверку на допустимость помещения в репозитарий нужно выполнять в 2х местах: сразу после сборки и при фактическом помещении. -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 552 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar build with delayed merge 2009-02-07 9:24 ` Aleksey Avdeev @ 2009-02-07 12:50 ` Dmitry V. Levin 0 siblings, 0 replies; 14+ messages in thread From: Dmitry V. Levin @ 2009-02-07 12:50 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 479 bytes --] On Sat, Feb 07, 2009 at 12:24:17PM +0300, Aleksey Avdeev wrote: [...] > Похоже здесь очередной шаг просится: > чтобы после сборки girar builder`ом собранное > оказалось в отдельном хранилище > (доступном из вне) и помещалось в > репозитарий по отдельной команде. И > проверку на допустимость помещения в > репозитарий нужно выполнять в 2х местах: > сразу после сборки и при фактическом > помещении. Это уже совсем другая, самоценная фича. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-06 22:01 ` Денис Смирнов 2009-02-07 9:24 ` Aleksey Avdeev @ 2009-02-07 12:42 ` Dmitry V. Levin 2009-02-07 18:08 ` Денис Смирнов 1 sibling, 1 reply; 14+ messages in thread From: Dmitry V. Levin @ 2009-02-07 12:42 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 773 bytes --] On Sat, Feb 07, 2009 at 01:01:46AM +0300, Денис Смирнов wrote: > On Fri, Feb 06, 2009 at 01:45:49PM +0300, Dmitry V. Levin wrote: > > >> Интересный вопрос -- как будет происходить сборка пакетов если там будет > >> security-фикс, да еще и unpublished баги? > DVL> girar builder сразу публикует результат, так что ему всё равно, что собралось. > > Я это и имею в виду. В некоторых случаях публикация результата -- плохо. > > Я правильно понимаю что в таких случаях следует делать git push и build > только в тот момент когда информация становится открытой? Правильно. > Предоставить пользователям бинарники до опубликование патча получается невозможно. Если эти файлы нужны для тестирования, то их можно предоставить по другим каналам. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-07 12:42 ` [devel] girar security Dmitry V. Levin @ 2009-02-07 18:08 ` Денис Смирнов 2009-02-07 18:36 ` Led 0 siblings, 1 reply; 14+ messages in thread From: Денис Смирнов @ 2009-02-07 18:08 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 1022 bytes --] On Sat, Feb 07, 2009 at 03:42:21PM +0300, Dmitry V. Levin wrote: >> Я это и имею в виду. В некоторых случаях публикация результата -- плохо. >> Я правильно понимаю что в таких случаях следует делать git push и build >> только в тот момент когда информация становится открытой? DVL> Правильно. Спасибо. >> Предоставить пользователям бинарники до опубликование патча получается невозможно. DVL> Если эти файлы нужны для тестирования, то их можно предоставить DVL> по другим каналам. Это я понимаю. Меня интересовала следующая ситуация -- возможность предоставить пользователям бинарник в момент 1, а уже через некоторое время предоставить исходник, патч, и т.д. Насколько я понимаю время между этими двумя моментами может быть заметным (и должно быть достаточным для того чтобы пользователи могли обновиться до того как масса script kiddies пойдут играться эксплойтом). -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-07 18:08 ` Денис Смирнов @ 2009-02-07 18:36 ` Led 2009-02-07 18:38 ` Led 2009-02-07 20:37 ` Денис Смирнов 0 siblings, 2 replies; 14+ messages in thread From: Led @ 2009-02-07 18:36 UTC (permalink / raw) To: ALT Linux Team development discussions On Saturday, 07 February 2009 20:08:10 Денис Смирнов wrote: > On Sat, Feb 07, 2009 at 03:42:21PM +0300, Dmitry V. Levin wrote: > >> Я это и имею в виду. В некоторых случаях публикация результата -- плохо. > >> Я правильно понимаю что в таких случаях следует делать git push и build > >> только в тот момент когда информация становится открытой? > > DVL> Правильно. > > Спасибо. > > >> Предоставить пользователям бинарники до опубликование патча получается > >> невозможно. > > DVL> Если эти файлы нужны для тестирования, то их можно предоставить > DVL> по другим каналам. > > Это я понимаю. Меня интересовала следующая ситуация -- возможность > предоставить пользователям бинарник в момент 1, а уже через некоторое > время предоставить исходник, патч, и т.д. Насколько я понимаю время между > этими двумя моментами может быть заметным (и должно быть достаточным для > того чтобы пользователи могли обновиться до того как масса script kiddies > пойдут играться эксплойтом). Исходники предоставлять следует по первому требованию. Т.е. даже если это требование поступило через секунду после предоставления бинарника. -- Led ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-07 18:36 ` Led @ 2009-02-07 18:38 ` Led 2009-02-07 20:38 ` Денис Смирнов 2009-02-07 20:37 ` Денис Смирнов 1 sibling, 1 reply; 14+ messages in thread From: Led @ 2009-02-07 18:38 UTC (permalink / raw) To: ALT Linux Team development discussions On Saturday, 07 February 2009 20:36:57 Led wrote: > On Saturday, 07 February 2009 20:08:10 Денис Смирнов wrote: > > On Sat, Feb 07, 2009 at 03:42:21PM +0300, Dmitry V. Levin wrote: > > >> Я это и имею в виду. В некоторых случаях публикация результата -- > > >> плохо. Я правильно понимаю что в таких случаях следует делать git push > > >> и build только в тот момент когда информация становится открытой? > > > > DVL> Правильно. > > > > Спасибо. > > > > >> Предоставить пользователям бинарники до опубликование патча получается > > >> невозможно. > > > > DVL> Если эти файлы нужны для тестирования, то их можно предоставить > > DVL> по другим каналам. > > > > Это я понимаю. Меня интересовала следующая ситуация -- возможность > > предоставить пользователям бинарник в момент 1, а уже через некоторое > > время предоставить исходник, патч, и т.д. Насколько я понимаю время между > > этими двумя моментами может быть заметным (и должно быть достаточным для > > того чтобы пользователи могли обновиться до того как масса script kiddies > > пойдут играться эксплойтом). > > Исходники предоставлять следует по первому требованию. Т.е. даже если это > требование поступило через секунду после предоставления бинарника. Или даже так: если вы предоставляете только бинарник, то он мне нафиг не нужен и имею полное право считать это "подставой". -- Led ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-07 18:38 ` Led @ 2009-02-07 20:38 ` Денис Смирнов 0 siblings, 0 replies; 14+ messages in thread From: Денис Смирнов @ 2009-02-07 20:38 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 473 bytes --] On Sat, Feb 07, 2009 at 08:38:09PM +0200, Led wrote: L> Или даже так: если вы предоставляете только бинарник, то он мне нафиг не нужен L> и имею полное право считать это "подставой". Это твое право. А вот клиент обычный предпочел бы получить от вендора заплатку которая будет работать _до_ того как бага станет широко известной. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-07 18:36 ` Led 2009-02-07 18:38 ` Led @ 2009-02-07 20:37 ` Денис Смирнов 2009-02-07 21:00 ` Led 1 sibling, 1 reply; 14+ messages in thread From: Денис Смирнов @ 2009-02-07 20:37 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 520 bytes --] On Sat, Feb 07, 2009 at 08:36:57PM +0200, Led wrote: L> Исходники предоставлять следует по первому требованию. Т.е. даже если это L> требование поступило через секунду после предоставления бинарника. Кстати интересно, в GPL написано через сколько времени я обязан их предоставить по этому самому требованию? В смысле я обязан делать это за 1 секунду, или пара дней у меня есть? -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-07 20:37 ` Денис Смирнов @ 2009-02-07 21:00 ` Led 2009-02-08 11:07 ` Денис Смирнов 0 siblings, 1 reply; 14+ messages in thread From: Led @ 2009-02-07 21:00 UTC (permalink / raw) To: ALT Linux Team development discussions On Saturday, 07 February 2009 22:37:10 Денис Смирнов wrote: > On Sat, Feb 07, 2009 at 08:36:57PM +0200, Led wrote: > > L> Исходники предоставлять следует по первому требованию. Т.е. даже если > это L> требование поступило через секунду после предоставления бинарника. > > Кстати интересно, в GPL написано через сколько времени я обязан их > предоставить по этому самому требованию? В смысле я обязан делать это за 1 > секунду, или пара дней у меня есть? Вы пытаетесь найти "лазейки" в GPL? -- Led ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-07 21:00 ` Led @ 2009-02-08 11:07 ` Денис Смирнов 2009-02-08 11:13 ` Dmitry V. Levin 0 siblings, 1 reply; 14+ messages in thread From: Денис Смирнов @ 2009-02-08 11:07 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 1655 bytes --] On Sat, Feb 07, 2009 at 11:00:32PM +0200, Led wrote: > L>> Исходники предоставлять следует по первому требованию. Т.е. даже если >> это L> требование поступило через секунду после предоставления бинарника. >> Кстати интересно, в GPL написано через сколько времени я обязан их >> предоставить по этому самому требованию? В смысле я обязан делать это за 1 >> секунду, или пара дней у меня есть? L> Вы пытаетесь найти "лазейки" в GPL? Это не лазейка, а разумная ситуация. GPL предполагает что я могу предоставить исходники различными способами, и немедленное выкладывание на сайт это лишь один из них. Повторяю еще раз -- речь идет о ситуации, когда исходники будут предоставлены, но с задержкой 1-2 дня с целью нераскрытия информации о найденой уязвимости. Чаще всего как я вижу применяется подход "нераскрытие производится до момента подготовки патчей, после чего одномоментно публикуются бинарники и исходники с исправлениями". Проблема этого подхода в том, что даже при большой оперативности может пройти 1-2 дня прежде чем даже те кто всерьез озабочен своей безопасностью установят обновление. А ситуация "эксплойт опубликован до того как существенная часть желающих обновится" -- нехорошая. Собственно меня интересовало возможна ли публикация бинарника с исправлением до момента когда будет можно публиковать исходники. Ну нельзя так нельзя, это не мои проблемы -- это проблемы пользователей. Просто они получат одновременно бинарник с исходниками, но заметно позже чем могли бы. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] girar security 2009-02-08 11:07 ` Денис Смирнов @ 2009-02-08 11:13 ` Dmitry V. Levin 0 siblings, 0 replies; 14+ messages in thread From: Dmitry V. Levin @ 2009-02-08 11:13 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 1931 bytes --] On Sun, Feb 08, 2009 at 02:07:44PM +0300, Денис Смирнов wrote: > On Sat, Feb 07, 2009 at 11:00:32PM +0200, Led wrote: > > > L>> Исходники предоставлять следует по первому требованию. Т.е. даже если > >> это L> требование поступило через секунду после предоставления бинарника. > >> Кстати интересно, в GPL написано через сколько времени я обязан их > >> предоставить по этому самому требованию? В смысле я обязан делать это за 1 > >> секунду, или пара дней у меня есть? > L> Вы пытаетесь найти "лазейки" в GPL? > > Это не лазейка, а разумная ситуация. > > GPL предполагает что я могу предоставить исходники различными способами, и > немедленное выкладывание на сайт это лишь один из них. > > Повторяю еще раз -- речь идет о ситуации, когда исходники будут > предоставлены, но с задержкой 1-2 дня с целью нераскрытия информации о > найденой уязвимости. Я считаю, что этот подход глубоко порочный. > Чаще всего как я вижу применяется подход "нераскрытие производится до > момента подготовки патчей, после чего одномоментно публикуются бинарники и > исходники с исправлениями". Да, и это правильно. > Проблема этого подхода в том, что даже при > большой оперативности может пройти 1-2 дня прежде чем даже те кто всерьез > озабочен своей безопасностью установят обновление. Те, "кто всерьез озабочен", не обязаны ждать 1-2 дня. > А ситуация "эксплойт опубликован до того как существенная часть желающих > обновится" -- нехорошая. Есть разница между патчем и эксплоитом. > Собственно меня интересовало возможна ли публикация бинарника с > исправлением до момента когда будет можно публиковать исходники. Ну нельзя > так нельзя, это не мои проблемы -- это проблемы пользователей. Просто они > получат одновременно бинарник с исходниками, но заметно позже чем могли > бы. Пользователи не обязаны получать исходники вообще. Ладно, давайте завязывать с этой темой. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 14+ messages in thread
end of thread, other threads:[~2009-02-08 11:13 UTC | newest] Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2009-02-06 2:20 [devel] girar security Денис Смирнов 2009-02-06 10:45 ` Dmitry V. Levin 2009-02-06 22:01 ` Денис Смирнов 2009-02-07 9:24 ` Aleksey Avdeev 2009-02-07 12:50 ` [devel] girar build with delayed merge Dmitry V. Levin 2009-02-07 12:42 ` [devel] girar security Dmitry V. Levin 2009-02-07 18:08 ` Денис Смирнов 2009-02-07 18:36 ` Led 2009-02-07 18:38 ` Led 2009-02-07 20:38 ` Денис Смирнов 2009-02-07 20:37 ` Денис Смирнов 2009-02-07 21:00 ` Led 2009-02-08 11:07 ` Денис Смирнов 2009-02-08 11:13 ` Dmitry V. Levin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git