ALT Linux Team development discussions
 help / color / mirror / Atom feed
* [devel] Нарушения Vulnerability Policy
@ 2023-02-07  7:50 Anton Farygin
  2023-02-07  7:56 ` Anton Farygin
                   ` (2 more replies)
  0 siblings, 3 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-07  7:50 UTC (permalink / raw)
  To: ALT Linux Team development discussions

Всем привет.

Есть предложение сделать так, что бы пакеты, нарушающие это Policy не 
проходили в репозиторий, при этом дополнить policy для случаев, когда 
CVE надо упомянуть но не закрыть.

https://www.altlinux.org/Vulnerability_Policy

Пример:

https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/


Rgds,

Rider




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07  7:50 [devel] Нарушения Vulnerability Policy Anton Farygin
@ 2023-02-07  7:56 ` Anton Farygin
  2023-02-07  8:38 ` Stanislav Levin
  2023-02-07 12:11 ` Vitaly Chikunov
  2 siblings, 0 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-07  7:56 UTC (permalink / raw)
  To: devel

On 07.02.2023 10:50, Anton Farygin wrote:
> Всем привет.
>
> Есть предложение сделать так, что бы пакеты, нарушающие это Policy не 
> проходили в репозиторий, при этом дополнить policy для случаев, когда 
> CVE надо упомянуть но не закрыть.
>
> https://www.altlinux.org/Vulnerability_Policy
>
> Пример:
>
> https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/
>
И, заодно, расширить Policy под такой формат.




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07  7:50 [devel] Нарушения Vulnerability Policy Anton Farygin
  2023-02-07  7:56 ` Anton Farygin
@ 2023-02-07  8:38 ` Stanislav Levin
  2023-02-07  8:40   ` Anton Farygin
  2023-02-07 12:11 ` Vitaly Chikunov
  2 siblings, 1 reply; 17+ messages in thread
From: Stanislav Levin @ 2023-02-07  8:38 UTC (permalink / raw)
  To: ALT Linux Team development discussions, Anton Farygin


[-- Attachment #1.1: Type: text/plain, Size: 466 bytes --]



07.02.2023 10:50, Anton Farygin пишет:

> 
> https://www.altlinux.org/Vulnerability_Policy
> 


Не понятно, что именно регламентирует эта полиси - *формат* указания 
устраненных уязвимостей в changelog или *обязанность* кого-то указывать 
устраненные уязвимости в changelog в определенном формате.

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 840 bytes --]

^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07  8:38 ` Stanislav Levin
@ 2023-02-07  8:40   ` Anton Farygin
  2023-02-07  8:51     ` Stanislav Levin
  0 siblings, 1 reply; 17+ messages in thread
From: Anton Farygin @ 2023-02-07  8:40 UTC (permalink / raw)
  To: devel

On 07.02.2023 11:38, Stanislav Levin wrote:
>
>
> 07.02.2023 10:50, Anton Farygin пишет:
>
>>
>> https://www.altlinux.org/Vulnerability_Policy
>>
>
>
> Не понятно, что именно регламентирует эта полиси - *формат* указания 
> устраненных уязвимостей в changelog или *обязанность* кого-то 
> указывать устраненные уязвимости в changelog в определенном формате. 

И формат и обязанность, судя по тексту политики.




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07  8:40   ` Anton Farygin
@ 2023-02-07  8:51     ` Stanislav Levin
  2023-02-07  9:01       ` Anton Farygin
  0 siblings, 1 reply; 17+ messages in thread
From: Stanislav Levin @ 2023-02-07  8:51 UTC (permalink / raw)
  To: ALT Linux Team development discussions, Anton Farygin


[-- Attachment #1.1: Type: text/plain, Size: 223 bytes --]



07.02.2023 11:40, Anton Farygin пишет:

> 
> И формат и обязанность, судя по тексту политики.
> 
Что из этого предлагается заинфорсить?

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 840 bytes --]

^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07  8:51     ` Stanislav Levin
@ 2023-02-07  9:01       ` Anton Farygin
  2023-02-07 10:53         ` Paul Wolneykien
  0 siblings, 1 reply; 17+ messages in thread
From: Anton Farygin @ 2023-02-07  9:01 UTC (permalink / raw)
  To: devel

On 07.02.2023 11:51, Stanislav Levin wrote:
>
>
> 07.02.2023 11:40, Anton Farygin пишет:
>
>>
>> И формат и обязанность, судя по тексту политики.
>>
> Что из этого предлагается заинфорсить?

Заэнфорсить получится только формат.




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07  9:01       ` Anton Farygin
@ 2023-02-07 10:53         ` Paul Wolneykien
  2023-02-07 11:07           ` Anton Farygin
  0 siblings, 1 reply; 17+ messages in thread
From: Paul Wolneykien @ 2023-02-07 10:53 UTC (permalink / raw)
  To: devel

В Tue, 7 Feb 2023 12:01:57 +0300
Anton Farygin <rider@basealt.ru> пишет:

> On 07.02.2023 11:51, Stanislav Levin wrote:
> >
> >
> > 07.02.2023 11:40, Anton Farygin пишет:
> >  
> >>
> >> И формат и обязанность, судя по тексту политики.
> >>  
> > Что из этого предлагается заинфорсить?  
> 
> Заэнфорсить получится только формат.

  А почему? У нас ведь, вроде бы, есть база данных уязвимостей.


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07 10:53         ` Paul Wolneykien
@ 2023-02-07 11:07           ` Anton Farygin
  2023-02-07 11:16             ` Paul Wolneykien
  0 siblings, 1 reply; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 11:07 UTC (permalink / raw)
  To: devel

On 07.02.2023 13:53, Paul Wolneykien wrote:
> В Tue, 7 Feb 2023 12:01:57 +0300
> Anton Farygin <rider@basealt.ru> пишет:
>
>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>
>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>   
>>>> И формат и обязанность, судя по тексту политики.
>>>>   
>>> Что из этого предлагается заинфорсить?
>> Заэнфорсить получится только формат.
>    А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
вроде бы.


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07 11:07           ` Anton Farygin
@ 2023-02-07 11:16             ` Paul Wolneykien
  2023-02-07 11:27               ` Anton Farygin
                                 ` (2 more replies)
  0 siblings, 3 replies; 17+ messages in thread
From: Paul Wolneykien @ 2023-02-07 11:16 UTC (permalink / raw)
  To: devel

В Tue, 7 Feb 2023 14:07:19 +0300
Anton Farygin <rider@basealt.ru> пишет:

> On 07.02.2023 13:53, Paul Wolneykien wrote:
> > В Tue, 7 Feb 2023 12:01:57 +0300
> > Anton Farygin <rider@basealt.ru> пишет:
> >  
> >> On 07.02.2023 11:51, Stanislav Levin wrote:  
> >>>
> >>> 07.02.2023 11:40, Anton Farygin пишет:
> >>>     
> >>>> И формат и обязанность, судя по тексту политики.
> >>>>     
> >>> Что из этого предлагается заинфорсить?  
> >> Заэнфорсить получится только формат.  
> >    А почему? У нас ведь, вроде бы, есть база данных уязвимостей.  
> вроде бы.

  Тогда, значит, если выходит версия про которую известно, что в
апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
бывают...


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07 11:16             ` Paul Wolneykien
@ 2023-02-07 11:27               ` Anton Farygin
  2023-02-07 18:37               ` Leonid Krivoshein
  2023-02-07 20:03               ` Ivan A. Melnikov
  2 siblings, 0 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 11:27 UTC (permalink / raw)
  To: devel

On 07.02.2023 14:16, Paul Wolneykien wrote:
> В Tue, 7 Feb 2023 14:07:19 +0300
> Anton Farygin<rider@basealt.ru>  пишет:
>
>> On 07.02.2023 13:53, Paul Wolneykien wrote:
>>> В Tue, 7 Feb 2023 12:01:57 +0300
>>> Anton Farygin<rider@basealt.ru>  пишет:
>>>   
>>>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>>>      
>>>>>> И формат и обязанность, судя по тексту политики.
>>>>>>      
>>>>> Что из этого предлагается заинфорсить?
>>>> Заэнфорсить получится только формат.
>>>     А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
>> вроде бы.
>    Тогда, значит, если выходит версия про которую известно, что в
> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> бывают...

У меня бывает обратная ситуация - когда CVE в changelog указываю (указан 
апстримом), а вот в базе CVE его нет по неизвестным мне причинам и 
появляется в базах с задержкой на пару недель.

Плюс бывают ложные сработки, плюс не все CVE на нас распространяются.





^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07  7:50 [devel] Нарушения Vulnerability Policy Anton Farygin
  2023-02-07  7:56 ` Anton Farygin
  2023-02-07  8:38 ` Stanislav Levin
@ 2023-02-07 12:11 ` Vitaly Chikunov
  2023-02-07 13:03   ` Anton Farygin
  2 siblings, 1 reply; 17+ messages in thread
From: Vitaly Chikunov @ 2023-02-07 12:11 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Tue, Feb 07, 2023 at 10:50:41AM +0300, Anton Farygin wrote:
> Всем привет.
> 
> Есть предложение сделать так, что бы пакеты, нарушающие это Policy не
> проходили в репозиторий, при этом дополнить policy для случаев, когда CVE
> надо упомянуть но не закрыть.

(Добавление CVE бага обычно не указывают в changelog.)

Примерно в 100% случаев упоминание CVE означает закрытие, в остальных
очень редких случаях - частичный фикс.

Просто так упоминать, но не закрывать даже частично - не понятно зачем.

Поэтому я бы предложил любое упоминание CVE без специального "формата
закрытия" считать закрытием. А для "не закрытия" использовать специальный
формат или вообще запретить указывать в %changelog.


> 
> https://www.altlinux.org/Vulnerability_Policy
> 
> Пример:
> 
> https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/
> 
> 
> Rgds,
> 
> Rider
> 
> 
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07 12:11 ` Vitaly Chikunov
@ 2023-02-07 13:03   ` Anton Farygin
  0 siblings, 0 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 13:03 UTC (permalink / raw)
  To: devel

On 07.02.2023 15:11, Vitaly Chikunov wrote:
> On Tue, Feb 07, 2023 at 10:50:41AM +0300, Anton Farygin wrote:
>> Всем привет.
>>
>> Есть предложение сделать так, что бы пакеты, нарушающие это Policy не
>> проходили в репозиторий, при этом дополнить policy для случаев, когда CVE
>> надо упомянуть но не закрыть.
> (Добавление CVE бага обычно не указывают в changelog.)
>
> Примерно в 100% случаев упоминание CVE означает закрытие, в остальных
> очень редких случаях - частичный фикс.
>
> Просто так упоминать, но не закрывать даже частично - не понятно зачем.
>
> Поэтому я бы предложил любое упоминание CVE без специального "формата
> закрытия" считать закрытием. А для "не закрытия" использовать специальный
> формат или вообще запретить указывать в %changelog.
>
>
Отличное предложение, кстати.

Дима и Глеб, что скажете ?




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07 11:16             ` Paul Wolneykien
  2023-02-07 11:27               ` Anton Farygin
@ 2023-02-07 18:37               ` Leonid Krivoshein
  2023-02-07 20:03               ` Ivan A. Melnikov
  2 siblings, 0 replies; 17+ messages in thread
From: Leonid Krivoshein @ 2023-02-07 18:37 UTC (permalink / raw)
  To: devel


On 2/7/23 14:16, Paul Wolneykien wrote:
> [...]
>    Тогда, значит, если выходит версия про которую известно, что в
> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> бывают...

А что в отношение ядра? Там почти каждая сборка с исправлениями CVE, и 
зачастую без указания CVE. Наверняка так не только с ядром. Наш 
маинтейнер может и не знать о закрытии конкретной CVE, если это явно не 
упомянуто в апстримном changelog.


-- 
WBR, Leonid Krivoshein.


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения  Vulnerability Policy
  2023-02-07 11:16             ` Paul Wolneykien
  2023-02-07 11:27               ` Anton Farygin
  2023-02-07 18:37               ` Leonid Krivoshein
@ 2023-02-07 20:03               ` Ivan A. Melnikov
  2023-02-08  5:34                 ` Anton Farygin
  2 siblings, 1 reply; 17+ messages in thread
From: Ivan A. Melnikov @ 2023-02-07 20:03 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote:
> В Tue, 7 Feb 2023 14:07:19 +0300
> Anton Farygin <rider@basealt.ru> пишет:
> 
> > On 07.02.2023 13:53, Paul Wolneykien wrote:
> > > В Tue, 7 Feb 2023 12:01:57 +0300
> > > Anton Farygin <rider@basealt.ru> пишет:
> > >  
> > >> On 07.02.2023 11:51, Stanislav Levin wrote:  
> > >>>
> > >>> 07.02.2023 11:40, Anton Farygin пишет:
> > >>>     
> > >>>> И формат и обязанность, судя по тексту политики.
> > >>>>     
> > >>> Что из этого предлагается заинфорсить?  
> > >> Заэнфорсить получится только формат.  
> > >    А почему? У нас ведь, вроде бы, есть база данных уязвимостей.  
> > вроде бы.
> 
>   Тогда, значит, если выходит версия про которую известно, что в
> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> бывают...

Такие строгости мне кажутся не слишком уместными. А вот какой-то
сервис типа репокопа, предлагающий патчи на ченджлог...

-- 
  wbr,
    iv m.


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-07 20:03               ` Ivan A. Melnikov
@ 2023-02-08  5:34                 ` Anton Farygin
  2023-02-08  7:11                   ` Ivan A. Melnikov
  0 siblings, 1 reply; 17+ messages in thread
From: Anton Farygin @ 2023-02-08  5:34 UTC (permalink / raw)
  To: devel

On 07.02.2023 23:03, Ivan A. Melnikov wrote:
> On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote:
>> В Tue, 7 Feb 2023 14:07:19 +0300
>> Anton Farygin<rider@basealt.ru>  пишет:
>>
>>> On 07.02.2023 13:53, Paul Wolneykien wrote:
>>>> В Tue, 7 Feb 2023 12:01:57 +0300
>>>> Anton Farygin<rider@basealt.ru>  пишет:
>>>>   
>>>>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>>>>      
>>>>>>> И формат и обязанность, судя по тексту политики.
>>>>>>>      
>>>>>> Что из этого предлагается заинфорсить?
>>>>> Заэнфорсить получится только формат.
>>>>     А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
>>> вроде бы.
>>    Тогда, значит, если выходит версия про которую известно, что в
>> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
>> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
>> бывают...
> Такие строгости мне кажутся не слишком уместными. А вот какой-то
> сервис типа репокопа, предлагающий патчи на ченджлог...

В моём видении идеального мира указывать в changelog закрытие CVE, если 
оно закрывается новой версией должно быть необязательно, при условии 
наличия специального сервиса, информирующего о таком ментейнеров и 
пользователей.




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения  Vulnerability Policy
  2023-02-08  5:34                 ` Anton Farygin
@ 2023-02-08  7:11                   ` Ivan A. Melnikov
  2023-02-08  7:14                     ` Anton Farygin
  0 siblings, 1 reply; 17+ messages in thread
From: Ivan A. Melnikov @ 2023-02-08  7:11 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Wed, Feb 08, 2023 at 08:34:15AM +0300, Anton Farygin wrote:
> On 07.02.2023 23:03, Ivan A. Melnikov wrote:
> > On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote:
> > > В Tue, 7 Feb 2023 14:07:19 +0300
> > > Anton Farygin<rider@basealt.ru>  пишет:
> > > 
> > > > On 07.02.2023 13:53, Paul Wolneykien wrote:
> > > > > В Tue, 7 Feb 2023 12:01:57 +0300
> > > > > Anton Farygin<rider@basealt.ru>  пишет:
> > > > > > On 07.02.2023 11:51, Stanislav Levin wrote:
> > > > > > > 07.02.2023 11:40, Anton Farygin пишет:
> > > > > > > > И формат и обязанность, судя по тексту политики.
> > > > > > > Что из этого предлагается заинфорсить?
> > > > > > Заэнфорсить получится только формат.
> > > > >     А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
> > > > вроде бы.
> > >    Тогда, значит, если выходит версия про которую известно, что в
> > > апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> > > можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> > > бывают...
> > Такие строгости мне кажутся не слишком уместными. А вот какой-то
> > сервис типа репокопа, предлагающий патчи на ченджлог...
> 
> В моём видении идеального мира указывать в changelog закрытие CVE, если оно
> закрывается новой версией должно быть необязательно, при условии наличия
> специального сервиса, информирующего о таком ментейнеров и пользователей.

... и apt (или хотя бы apt-indicator) с ним интегрированы?

-- 
  wbr,
    iv m.


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [devel] Нарушения Vulnerability Policy
  2023-02-08  7:11                   ` Ivan A. Melnikov
@ 2023-02-08  7:14                     ` Anton Farygin
  0 siblings, 0 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-08  7:14 UTC (permalink / raw)
  To: devel

On 08.02.2023 10:11, Ivan A. Melnikov wrote:
>>> Такие строгости мне кажутся не слишком уместными. А вот какой-то
>>> сервис типа репокопа, предлагающий патчи на ченджлог...
>> В моём видении идеального мира указывать в changelog закрытие CVE, если оно
>> закрывается новой версией должно быть необязательно, при условии наличия
>> специального сервиса, информирующего о таком ментейнеров и пользователей.
> ... и apt (или хотя бы apt-indicator) с ним интегрированы?

Т.к. это всё должно работать в виде rest api, то интеграция с разными 
сервисами внутри системы естественным образом возможна.



^ permalink raw reply	[flat|nested] 17+ messages in thread

end of thread, other threads:[~2023-02-08  7:14 UTC | newest]

Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2023-02-07  7:50 [devel] Нарушения Vulnerability Policy Anton Farygin
2023-02-07  7:56 ` Anton Farygin
2023-02-07  8:38 ` Stanislav Levin
2023-02-07  8:40   ` Anton Farygin
2023-02-07  8:51     ` Stanislav Levin
2023-02-07  9:01       ` Anton Farygin
2023-02-07 10:53         ` Paul Wolneykien
2023-02-07 11:07           ` Anton Farygin
2023-02-07 11:16             ` Paul Wolneykien
2023-02-07 11:27               ` Anton Farygin
2023-02-07 18:37               ` Leonid Krivoshein
2023-02-07 20:03               ` Ivan A. Melnikov
2023-02-08  5:34                 ` Anton Farygin
2023-02-08  7:11                   ` Ivan A. Melnikov
2023-02-08  7:14                     ` Anton Farygin
2023-02-07 12:11 ` Vitaly Chikunov
2023-02-07 13:03   ` Anton Farygin

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git