* [devel] Нарушения Vulnerability Policy
@ 2023-02-07 7:50 Anton Farygin
2023-02-07 7:56 ` Anton Farygin
` (2 more replies)
0 siblings, 3 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 7:50 UTC (permalink / raw)
To: ALT Linux Team development discussions
Всем привет.
Есть предложение сделать так, что бы пакеты, нарушающие это Policy не
проходили в репозиторий, при этом дополнить policy для случаев, когда
CVE надо упомянуть но не закрыть.
https://www.altlinux.org/Vulnerability_Policy
Пример:
https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/
Rgds,
Rider
^ permalink raw reply [flat|nested] 17+ messages in thread* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 7:50 [devel] Нарушения Vulnerability Policy Anton Farygin @ 2023-02-07 7:56 ` Anton Farygin 2023-02-07 8:38 ` Stanislav Levin 2023-02-07 12:11 ` Vitaly Chikunov 2 siblings, 0 replies; 17+ messages in thread From: Anton Farygin @ 2023-02-07 7:56 UTC (permalink / raw) To: devel On 07.02.2023 10:50, Anton Farygin wrote: > Всем привет. > > Есть предложение сделать так, что бы пакеты, нарушающие это Policy не > проходили в репозиторий, при этом дополнить policy для случаев, когда > CVE надо упомянуть но не закрыть. > > https://www.altlinux.org/Vulnerability_Policy > > Пример: > > https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/ > И, заодно, расширить Policy под такой формат. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 7:50 [devel] Нарушения Vulnerability Policy Anton Farygin 2023-02-07 7:56 ` Anton Farygin @ 2023-02-07 8:38 ` Stanislav Levin 2023-02-07 8:40 ` Anton Farygin 2023-02-07 12:11 ` Vitaly Chikunov 2 siblings, 1 reply; 17+ messages in thread From: Stanislav Levin @ 2023-02-07 8:38 UTC (permalink / raw) To: ALT Linux Team development discussions, Anton Farygin [-- Attachment #1.1: Type: text/plain, Size: 466 bytes --] 07.02.2023 10:50, Anton Farygin пишет: > > https://www.altlinux.org/Vulnerability_Policy > Не понятно, что именно регламентирует эта полиси - *формат* указания устраненных уязвимостей в changelog или *обязанность* кого-то указывать устраненные уязвимости в changelog в определенном формате. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 840 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 8:38 ` Stanislav Levin @ 2023-02-07 8:40 ` Anton Farygin 2023-02-07 8:51 ` Stanislav Levin 0 siblings, 1 reply; 17+ messages in thread From: Anton Farygin @ 2023-02-07 8:40 UTC (permalink / raw) To: devel On 07.02.2023 11:38, Stanislav Levin wrote: > > > 07.02.2023 10:50, Anton Farygin пишет: > >> >> https://www.altlinux.org/Vulnerability_Policy >> > > > Не понятно, что именно регламентирует эта полиси - *формат* указания > устраненных уязвимостей в changelog или *обязанность* кого-то > указывать устраненные уязвимости в changelog в определенном формате. И формат и обязанность, судя по тексту политики. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 8:40 ` Anton Farygin @ 2023-02-07 8:51 ` Stanislav Levin 2023-02-07 9:01 ` Anton Farygin 0 siblings, 1 reply; 17+ messages in thread From: Stanislav Levin @ 2023-02-07 8:51 UTC (permalink / raw) To: ALT Linux Team development discussions, Anton Farygin [-- Attachment #1.1: Type: text/plain, Size: 223 bytes --] 07.02.2023 11:40, Anton Farygin пишет: > > И формат и обязанность, судя по тексту политики. > Что из этого предлагается заинфорсить? [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 840 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 8:51 ` Stanislav Levin @ 2023-02-07 9:01 ` Anton Farygin 2023-02-07 10:53 ` Paul Wolneykien 0 siblings, 1 reply; 17+ messages in thread From: Anton Farygin @ 2023-02-07 9:01 UTC (permalink / raw) To: devel On 07.02.2023 11:51, Stanislav Levin wrote: > > > 07.02.2023 11:40, Anton Farygin пишет: > >> >> И формат и обязанность, судя по тексту политики. >> > Что из этого предлагается заинфорсить? Заэнфорсить получится только формат. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 9:01 ` Anton Farygin @ 2023-02-07 10:53 ` Paul Wolneykien 2023-02-07 11:07 ` Anton Farygin 0 siblings, 1 reply; 17+ messages in thread From: Paul Wolneykien @ 2023-02-07 10:53 UTC (permalink / raw) To: devel В Tue, 7 Feb 2023 12:01:57 +0300 Anton Farygin <rider@basealt.ru> пишет: > On 07.02.2023 11:51, Stanislav Levin wrote: > > > > > > 07.02.2023 11:40, Anton Farygin пишет: > > > >> > >> И формат и обязанность, судя по тексту политики. > >> > > Что из этого предлагается заинфорсить? > > Заэнфорсить получится только формат. А почему? У нас ведь, вроде бы, есть база данных уязвимостей. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 10:53 ` Paul Wolneykien @ 2023-02-07 11:07 ` Anton Farygin 2023-02-07 11:16 ` Paul Wolneykien 0 siblings, 1 reply; 17+ messages in thread From: Anton Farygin @ 2023-02-07 11:07 UTC (permalink / raw) To: devel On 07.02.2023 13:53, Paul Wolneykien wrote: > В Tue, 7 Feb 2023 12:01:57 +0300 > Anton Farygin <rider@basealt.ru> пишет: > >> On 07.02.2023 11:51, Stanislav Levin wrote: >>> >>> 07.02.2023 11:40, Anton Farygin пишет: >>> >>>> И формат и обязанность, судя по тексту политики. >>>> >>> Что из этого предлагается заинфорсить? >> Заэнфорсить получится только формат. > А почему? У нас ведь, вроде бы, есть база данных уязвимостей. вроде бы. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 11:07 ` Anton Farygin @ 2023-02-07 11:16 ` Paul Wolneykien 2023-02-07 11:27 ` Anton Farygin ` (2 more replies) 0 siblings, 3 replies; 17+ messages in thread From: Paul Wolneykien @ 2023-02-07 11:16 UTC (permalink / raw) To: devel В Tue, 7 Feb 2023 14:07:19 +0300 Anton Farygin <rider@basealt.ru> пишет: > On 07.02.2023 13:53, Paul Wolneykien wrote: > > В Tue, 7 Feb 2023 12:01:57 +0300 > > Anton Farygin <rider@basealt.ru> пишет: > > > >> On 07.02.2023 11:51, Stanislav Levin wrote: > >>> > >>> 07.02.2023 11:40, Anton Farygin пишет: > >>> > >>>> И формат и обязанность, судя по тексту политики. > >>>> > >>> Что из этого предлагается заинфорсить? > >> Заэнфорсить получится только формат. > > А почему? У нас ведь, вроде бы, есть база данных уязвимостей. > вроде бы. Тогда, значит, если выходит версия про которую известно, что в апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то можно показать игроку жёлтую карточку. Или красную. Или какие там ещё бывают... ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 11:16 ` Paul Wolneykien @ 2023-02-07 11:27 ` Anton Farygin 2023-02-07 18:37 ` Leonid Krivoshein 2023-02-07 20:03 ` Ivan A. Melnikov 2 siblings, 0 replies; 17+ messages in thread From: Anton Farygin @ 2023-02-07 11:27 UTC (permalink / raw) To: devel On 07.02.2023 14:16, Paul Wolneykien wrote: > В Tue, 7 Feb 2023 14:07:19 +0300 > Anton Farygin<rider@basealt.ru> пишет: > >> On 07.02.2023 13:53, Paul Wolneykien wrote: >>> В Tue, 7 Feb 2023 12:01:57 +0300 >>> Anton Farygin<rider@basealt.ru> пишет: >>> >>>> On 07.02.2023 11:51, Stanislav Levin wrote: >>>>> 07.02.2023 11:40, Anton Farygin пишет: >>>>> >>>>>> И формат и обязанность, судя по тексту политики. >>>>>> >>>>> Что из этого предлагается заинфорсить? >>>> Заэнфорсить получится только формат. >>> А почему? У нас ведь, вроде бы, есть база данных уязвимостей. >> вроде бы. > Тогда, значит, если выходит версия про которую известно, что в > апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то > можно показать игроку жёлтую карточку. Или красную. Или какие там ещё > бывают... У меня бывает обратная ситуация - когда CVE в changelog указываю (указан апстримом), а вот в базе CVE его нет по неизвестным мне причинам и появляется в базах с задержкой на пару недель. Плюс бывают ложные сработки, плюс не все CVE на нас распространяются. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 11:16 ` Paul Wolneykien 2023-02-07 11:27 ` Anton Farygin @ 2023-02-07 18:37 ` Leonid Krivoshein 2023-02-07 20:03 ` Ivan A. Melnikov 2 siblings, 0 replies; 17+ messages in thread From: Leonid Krivoshein @ 2023-02-07 18:37 UTC (permalink / raw) To: devel On 2/7/23 14:16, Paul Wolneykien wrote: > [...] > Тогда, значит, если выходит версия про которую известно, что в > апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то > можно показать игроку жёлтую карточку. Или красную. Или какие там ещё > бывают... А что в отношение ядра? Там почти каждая сборка с исправлениями CVE, и зачастую без указания CVE. Наверняка так не только с ядром. Наш маинтейнер может и не знать о закрытии конкретной CVE, если это явно не упомянуто в апстримном changelog. -- WBR, Leonid Krivoshein. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 11:16 ` Paul Wolneykien 2023-02-07 11:27 ` Anton Farygin 2023-02-07 18:37 ` Leonid Krivoshein @ 2023-02-07 20:03 ` Ivan A. Melnikov 2023-02-08 5:34 ` Anton Farygin 2 siblings, 1 reply; 17+ messages in thread From: Ivan A. Melnikov @ 2023-02-07 20:03 UTC (permalink / raw) To: ALT Linux Team development discussions On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote: > В Tue, 7 Feb 2023 14:07:19 +0300 > Anton Farygin <rider@basealt.ru> пишет: > > > On 07.02.2023 13:53, Paul Wolneykien wrote: > > > В Tue, 7 Feb 2023 12:01:57 +0300 > > > Anton Farygin <rider@basealt.ru> пишет: > > > > > >> On 07.02.2023 11:51, Stanislav Levin wrote: > > >>> > > >>> 07.02.2023 11:40, Anton Farygin пишет: > > >>> > > >>>> И формат и обязанность, судя по тексту политики. > > >>>> > > >>> Что из этого предлагается заинфорсить? > > >> Заэнфорсить получится только формат. > > > А почему? У нас ведь, вроде бы, есть база данных уязвимостей. > > вроде бы. > > Тогда, значит, если выходит версия про которую известно, что в > апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то > можно показать игроку жёлтую карточку. Или красную. Или какие там ещё > бывают... Такие строгости мне кажутся не слишком уместными. А вот какой-то сервис типа репокопа, предлагающий патчи на ченджлог... -- wbr, iv m. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 20:03 ` Ivan A. Melnikov @ 2023-02-08 5:34 ` Anton Farygin 2023-02-08 7:11 ` Ivan A. Melnikov 0 siblings, 1 reply; 17+ messages in thread From: Anton Farygin @ 2023-02-08 5:34 UTC (permalink / raw) To: devel On 07.02.2023 23:03, Ivan A. Melnikov wrote: > On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote: >> В Tue, 7 Feb 2023 14:07:19 +0300 >> Anton Farygin<rider@basealt.ru> пишет: >> >>> On 07.02.2023 13:53, Paul Wolneykien wrote: >>>> В Tue, 7 Feb 2023 12:01:57 +0300 >>>> Anton Farygin<rider@basealt.ru> пишет: >>>> >>>>> On 07.02.2023 11:51, Stanislav Levin wrote: >>>>>> 07.02.2023 11:40, Anton Farygin пишет: >>>>>> >>>>>>> И формат и обязанность, судя по тексту политики. >>>>>>> >>>>>> Что из этого предлагается заинфорсить? >>>>> Заэнфорсить получится только формат. >>>> А почему? У нас ведь, вроде бы, есть база данных уязвимостей. >>> вроде бы. >> Тогда, значит, если выходит версия про которую известно, что в >> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то >> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё >> бывают... > Такие строгости мне кажутся не слишком уместными. А вот какой-то > сервис типа репокопа, предлагающий патчи на ченджлог... В моём видении идеального мира указывать в changelog закрытие CVE, если оно закрывается новой версией должно быть необязательно, при условии наличия специального сервиса, информирующего о таком ментейнеров и пользователей. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-08 5:34 ` Anton Farygin @ 2023-02-08 7:11 ` Ivan A. Melnikov 2023-02-08 7:14 ` Anton Farygin 0 siblings, 1 reply; 17+ messages in thread From: Ivan A. Melnikov @ 2023-02-08 7:11 UTC (permalink / raw) To: ALT Linux Team development discussions On Wed, Feb 08, 2023 at 08:34:15AM +0300, Anton Farygin wrote: > On 07.02.2023 23:03, Ivan A. Melnikov wrote: > > On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote: > > > В Tue, 7 Feb 2023 14:07:19 +0300 > > > Anton Farygin<rider@basealt.ru> пишет: > > > > > > > On 07.02.2023 13:53, Paul Wolneykien wrote: > > > > > В Tue, 7 Feb 2023 12:01:57 +0300 > > > > > Anton Farygin<rider@basealt.ru> пишет: > > > > > > On 07.02.2023 11:51, Stanislav Levin wrote: > > > > > > > 07.02.2023 11:40, Anton Farygin пишет: > > > > > > > > И формат и обязанность, судя по тексту политики. > > > > > > > Что из этого предлагается заинфорсить? > > > > > > Заэнфорсить получится только формат. > > > > > А почему? У нас ведь, вроде бы, есть база данных уязвимостей. > > > > вроде бы. > > > Тогда, значит, если выходит версия про которую известно, что в > > > апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то > > > можно показать игроку жёлтую карточку. Или красную. Или какие там ещё > > > бывают... > > Такие строгости мне кажутся не слишком уместными. А вот какой-то > > сервис типа репокопа, предлагающий патчи на ченджлог... > > В моём видении идеального мира указывать в changelog закрытие CVE, если оно > закрывается новой версией должно быть необязательно, при условии наличия > специального сервиса, информирующего о таком ментейнеров и пользователей. ... и apt (или хотя бы apt-indicator) с ним интегрированы? -- wbr, iv m. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-08 7:11 ` Ivan A. Melnikov @ 2023-02-08 7:14 ` Anton Farygin 0 siblings, 0 replies; 17+ messages in thread From: Anton Farygin @ 2023-02-08 7:14 UTC (permalink / raw) To: devel On 08.02.2023 10:11, Ivan A. Melnikov wrote: >>> Такие строгости мне кажутся не слишком уместными. А вот какой-то >>> сервис типа репокопа, предлагающий патчи на ченджлог... >> В моём видении идеального мира указывать в changelog закрытие CVE, если оно >> закрывается новой версией должно быть необязательно, при условии наличия >> специального сервиса, информирующего о таком ментейнеров и пользователей. > ... и apt (или хотя бы apt-indicator) с ним интегрированы? Т.к. это всё должно работать в виде rest api, то интеграция с разными сервисами внутри системы естественным образом возможна. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 7:50 [devel] Нарушения Vulnerability Policy Anton Farygin 2023-02-07 7:56 ` Anton Farygin 2023-02-07 8:38 ` Stanislav Levin @ 2023-02-07 12:11 ` Vitaly Chikunov 2023-02-07 13:03 ` Anton Farygin 2 siblings, 1 reply; 17+ messages in thread From: Vitaly Chikunov @ 2023-02-07 12:11 UTC (permalink / raw) To: ALT Linux Team development discussions On Tue, Feb 07, 2023 at 10:50:41AM +0300, Anton Farygin wrote: > Всем привет. > > Есть предложение сделать так, что бы пакеты, нарушающие это Policy не > проходили в репозиторий, при этом дополнить policy для случаев, когда CVE > надо упомянуть но не закрыть. (Добавление CVE бага обычно не указывают в changelog.) Примерно в 100% случаев упоминание CVE означает закрытие, в остальных очень редких случаях - частичный фикс. Просто так упоминать, но не закрывать даже частично - не понятно зачем. Поэтому я бы предложил любое упоминание CVE без специального "формата закрытия" считать закрытием. А для "не закрытия" использовать специальный формат или вообще запретить указывать в %changelog. > > https://www.altlinux.org/Vulnerability_Policy > > Пример: > > https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/ > > > Rgds, > > Rider > > > _______________________________________________ > Devel mailing list > Devel@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/devel ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy 2023-02-07 12:11 ` Vitaly Chikunov @ 2023-02-07 13:03 ` Anton Farygin 0 siblings, 0 replies; 17+ messages in thread From: Anton Farygin @ 2023-02-07 13:03 UTC (permalink / raw) To: devel On 07.02.2023 15:11, Vitaly Chikunov wrote: > On Tue, Feb 07, 2023 at 10:50:41AM +0300, Anton Farygin wrote: >> Всем привет. >> >> Есть предложение сделать так, что бы пакеты, нарушающие это Policy не >> проходили в репозиторий, при этом дополнить policy для случаев, когда CVE >> надо упомянуть но не закрыть. > (Добавление CVE бага обычно не указывают в changelog.) > > Примерно в 100% случаев упоминание CVE означает закрытие, в остальных > очень редких случаях - частичный фикс. > > Просто так упоминать, но не закрывать даже частично - не понятно зачем. > > Поэтому я бы предложил любое упоминание CVE без специального "формата > закрытия" считать закрытием. А для "не закрытия" использовать специальный > формат или вообще запретить указывать в %changelog. > > Отличное предложение, кстати. Дима и Глеб, что скажете ? ^ permalink raw reply [flat|nested] 17+ messages in thread
end of thread, other threads:[~2023-02-08 7:14 UTC | newest] Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2023-02-07 7:50 [devel] Нарушения Vulnerability Policy Anton Farygin 2023-02-07 7:56 ` Anton Farygin 2023-02-07 8:38 ` Stanislav Levin 2023-02-07 8:40 ` Anton Farygin 2023-02-07 8:51 ` Stanislav Levin 2023-02-07 9:01 ` Anton Farygin 2023-02-07 10:53 ` Paul Wolneykien 2023-02-07 11:07 ` Anton Farygin 2023-02-07 11:16 ` Paul Wolneykien 2023-02-07 11:27 ` Anton Farygin 2023-02-07 18:37 ` Leonid Krivoshein 2023-02-07 20:03 ` Ivan A. Melnikov 2023-02-08 5:34 ` Anton Farygin 2023-02-08 7:11 ` Ivan A. Melnikov 2023-02-08 7:14 ` Anton Farygin 2023-02-07 12:11 ` Vitaly Chikunov 2023-02-07 13:03 ` Anton Farygin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git