From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <45214A69.3090504@altlinux.ru> Date: Mon, 02 Oct 2006 20:20:41 +0300 From: Andrew Kornilov Organization: IPXP X-Accept-Language: en-us, en MIME-Version: 1.0 To: ALT Devel discussion list References: <4492D5BA.5030407@altlinux.ru> <20060616182556.GB18690@basalt.office.altlinux.org> <44931023.8040102@altlinux.ru> <20060617124133.GG370@osdn.org.ua> In-Reply-To: <20060617124133.GG370@osdn.org.ua> Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [devel] severity "security" X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Devel discussion list List-Id: ALT Devel discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 Oct 2006 17:20:29 -0000 Archived-At: List-Archive: List-Post: Michael Shigorin wrote: И тут сорри за задержку. >>А как быть с утилитами типа rkhunter, которые проверяют версию >>приложения? >> >> >Так и быть -- выкинуть как ориентированный на слаквари. >Ну или помнить цену выводу. > > > С большей вероятность можно верить багзилле, в которой будет список CVE и рядом пунктик, исправлена или нет :) >>>>bugtraq читают многие, я думаю. >>>> >>>> >>>Не факт. Этот список рассылки последнее время стал >>>малоинформативным. >>> >>> >>Но как быть тогда? Аналога полноценного нет. Но это ведь не >>повод игнорировать вообще проблемы с безопасностью. >> >> > >Рекомендую анонсы secunia.com. Описания у них порой до того >шаблонные, что напоминают спам, но по крайней мере есть ссылки, >батчами и довольно оперативно. > > Да читаю я его давно. И даже вижу твои и еще нескольких людей попытки туда что-то анонсировать. Во что оно выливается, понять сложно. >>>Коллега, вот я бы на вашем месте подумал, что будет в плане >>>задраивания отверстий в пакетах уже после релиза. >>> >>> >>Не совсем понял. То есть, выпустить дистрибутив с уязвимостями >>можно, главное, чтобы потом кто-то их исправлял? >> >> > >Выпустить дистрибутив без уязвимостей (не обязательно известных) >нельзя. Говорят, безопасность -- не состояние, а процесс. > > Можно хотя бы без явных :) Просто я с чего и начал, нет системы, по которой их можно было бы проверить. Только каждый майнтейнер должн лично этим озаботится и проверить всё свое. Перед этим еще добыв где-то список этих уязвимостей :) >>>Если бы мантейнеры действительно заботились о безопасности >>>своих пакетов, то вопрос информирования не стоял бы. >>> >>> >>Но ведь активности майнтейнеров недостаточно. Должен (читай: >>желательно) быть какой-то человек, хоть каким-то образом >>отвечающий хотя бы за безопасность пакетов. >> >> > >Всех? > > Принимающий решение хотя бы. Типа: нет исправления - не место этому пакету здесь. >>Ведь те же orphaned-пакеты у нас выкидываются из Сизифа без >>малейшего сожаления, почему бы не выкидывать оттуда и >>небезопасные приложения (можно ведь и автоматически). >> >> > >sendmail безопасен? (Сергей, простите! ничего личного) > > Сложно сказать :) Он может быть безопасен сам по себе, по содержать такой конфиг по умолчнию, что станет отличной добычей для спамеров. >Я стараюсь форвардить то, что замечаю, тем, кого знаю, если это >касается того, что им небезынтересно. Просто все списки "кому >чего" в голове, естественно, не поместить. > > Вот и я о чем. Невозможно это все держать в голове. Можно где-то помечать. В качестве бага хотя бы. Я изначально предложил всего лишь severity "security". Можно, конечно, и блокерами это всё обзывать :) >Знаю как минимум одного человека, который порой вешает толковые >баги именно по части безопасности (Serg Rychka). > > Честь ему и хвала. Не то, что я, ленивый. > > >>p.s. Я повторю вопрос: что будет после "заморозки" среза >>Сизифа? Будет ли кто-нибудь анализировать срез на предмет >>безопасности? >> >> > >PS: чего и удивился, когда упразднили компоненты -- main и >contrib всё-таки вполне возможно разделить, проведя формальный >опрос -- за что кто готов отвечать и _оценочно_ -- насколько >долго и в какой мере. За несколько из своих пакетов могу >подписаться, пересматривал их тогда в таком свете. > > Но если я не выполняют это обязательство, должен кто-то недрогнувшей рукой забрать у меня пакет или выкинуть его. А так, пока никто бучу не поднял, все отмалчиваются :)