* [devel] Нарушения Vulnerability Policy
@ 2023-02-07 7:50 Anton Farygin
2023-02-07 7:56 ` Anton Farygin
` (2 more replies)
0 siblings, 3 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 7:50 UTC (permalink / raw)
To: ALT Linux Team development discussions
Всем привет.
Есть предложение сделать так, что бы пакеты, нарушающие это Policy не
проходили в репозиторий, при этом дополнить policy для случаев, когда
CVE надо упомянуть но не закрыть.
https://www.altlinux.org/Vulnerability_Policy
Пример:
https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/
Rgds,
Rider
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 7:50 [devel] Нарушения Vulnerability Policy Anton Farygin
@ 2023-02-07 7:56 ` Anton Farygin
2023-02-07 8:38 ` Stanislav Levin
2023-02-07 12:11 ` Vitaly Chikunov
2 siblings, 0 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 7:56 UTC (permalink / raw)
To: devel
On 07.02.2023 10:50, Anton Farygin wrote:
> Всем привет.
>
> Есть предложение сделать так, что бы пакеты, нарушающие это Policy не
> проходили в репозиторий, при этом дополнить policy для случаев, когда
> CVE надо упомянуть но не закрыть.
>
> https://www.altlinux.org/Vulnerability_Policy
>
> Пример:
>
> https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/
>
И, заодно, расширить Policy под такой формат.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 7:50 [devel] Нарушения Vulnerability Policy Anton Farygin
2023-02-07 7:56 ` Anton Farygin
@ 2023-02-07 8:38 ` Stanislav Levin
2023-02-07 8:40 ` Anton Farygin
2023-02-07 12:11 ` Vitaly Chikunov
2 siblings, 1 reply; 17+ messages in thread
From: Stanislav Levin @ 2023-02-07 8:38 UTC (permalink / raw)
To: ALT Linux Team development discussions, Anton Farygin
[-- Attachment #1.1: Type: text/plain, Size: 466 bytes --]
07.02.2023 10:50, Anton Farygin пишет:
>
> https://www.altlinux.org/Vulnerability_Policy
>
Не понятно, что именно регламентирует эта полиси - *формат* указания
устраненных уязвимостей в changelog или *обязанность* кого-то указывать
устраненные уязвимости в changelog в определенном формате.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 840 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 8:38 ` Stanislav Levin
@ 2023-02-07 8:40 ` Anton Farygin
2023-02-07 8:51 ` Stanislav Levin
0 siblings, 1 reply; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 8:40 UTC (permalink / raw)
To: devel
On 07.02.2023 11:38, Stanislav Levin wrote:
>
>
> 07.02.2023 10:50, Anton Farygin пишет:
>
>>
>> https://www.altlinux.org/Vulnerability_Policy
>>
>
>
> Не понятно, что именно регламентирует эта полиси - *формат* указания
> устраненных уязвимостей в changelog или *обязанность* кого-то
> указывать устраненные уязвимости в changelog в определенном формате.
И формат и обязанность, судя по тексту политики.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 8:40 ` Anton Farygin
@ 2023-02-07 8:51 ` Stanislav Levin
2023-02-07 9:01 ` Anton Farygin
0 siblings, 1 reply; 17+ messages in thread
From: Stanislav Levin @ 2023-02-07 8:51 UTC (permalink / raw)
To: ALT Linux Team development discussions, Anton Farygin
[-- Attachment #1.1: Type: text/plain, Size: 223 bytes --]
07.02.2023 11:40, Anton Farygin пишет:
>
> И формат и обязанность, судя по тексту политики.
>
Что из этого предлагается заинфорсить?
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 840 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 8:51 ` Stanislav Levin
@ 2023-02-07 9:01 ` Anton Farygin
2023-02-07 10:53 ` Paul Wolneykien
0 siblings, 1 reply; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 9:01 UTC (permalink / raw)
To: devel
On 07.02.2023 11:51, Stanislav Levin wrote:
>
>
> 07.02.2023 11:40, Anton Farygin пишет:
>
>>
>> И формат и обязанность, судя по тексту политики.
>>
> Что из этого предлагается заинфорсить?
Заэнфорсить получится только формат.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 9:01 ` Anton Farygin
@ 2023-02-07 10:53 ` Paul Wolneykien
2023-02-07 11:07 ` Anton Farygin
0 siblings, 1 reply; 17+ messages in thread
From: Paul Wolneykien @ 2023-02-07 10:53 UTC (permalink / raw)
To: devel
В Tue, 7 Feb 2023 12:01:57 +0300
Anton Farygin <rider@basealt.ru> пишет:
> On 07.02.2023 11:51, Stanislav Levin wrote:
> >
> >
> > 07.02.2023 11:40, Anton Farygin пишет:
> >
> >>
> >> И формат и обязанность, судя по тексту политики.
> >>
> > Что из этого предлагается заинфорсить?
>
> Заэнфорсить получится только формат.
А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 10:53 ` Paul Wolneykien
@ 2023-02-07 11:07 ` Anton Farygin
2023-02-07 11:16 ` Paul Wolneykien
0 siblings, 1 reply; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 11:07 UTC (permalink / raw)
To: devel
On 07.02.2023 13:53, Paul Wolneykien wrote:
> В Tue, 7 Feb 2023 12:01:57 +0300
> Anton Farygin <rider@basealt.ru> пишет:
>
>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>
>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>
>>>> И формат и обязанность, судя по тексту политики.
>>>>
>>> Что из этого предлагается заинфорсить?
>> Заэнфорсить получится только формат.
> А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
вроде бы.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 11:07 ` Anton Farygin
@ 2023-02-07 11:16 ` Paul Wolneykien
2023-02-07 11:27 ` Anton Farygin
` (2 more replies)
0 siblings, 3 replies; 17+ messages in thread
From: Paul Wolneykien @ 2023-02-07 11:16 UTC (permalink / raw)
To: devel
В Tue, 7 Feb 2023 14:07:19 +0300
Anton Farygin <rider@basealt.ru> пишет:
> On 07.02.2023 13:53, Paul Wolneykien wrote:
> > В Tue, 7 Feb 2023 12:01:57 +0300
> > Anton Farygin <rider@basealt.ru> пишет:
> >
> >> On 07.02.2023 11:51, Stanislav Levin wrote:
> >>>
> >>> 07.02.2023 11:40, Anton Farygin пишет:
> >>>
> >>>> И формат и обязанность, судя по тексту политики.
> >>>>
> >>> Что из этого предлагается заинфорсить?
> >> Заэнфорсить получится только формат.
> > А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
> вроде бы.
Тогда, значит, если выходит версия про которую известно, что в
апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
бывают...
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 11:16 ` Paul Wolneykien
@ 2023-02-07 11:27 ` Anton Farygin
2023-02-07 18:37 ` Leonid Krivoshein
2023-02-07 20:03 ` Ivan A. Melnikov
2 siblings, 0 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 11:27 UTC (permalink / raw)
To: devel
On 07.02.2023 14:16, Paul Wolneykien wrote:
> В Tue, 7 Feb 2023 14:07:19 +0300
> Anton Farygin<rider@basealt.ru> пишет:
>
>> On 07.02.2023 13:53, Paul Wolneykien wrote:
>>> В Tue, 7 Feb 2023 12:01:57 +0300
>>> Anton Farygin<rider@basealt.ru> пишет:
>>>
>>>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>>>
>>>>>> И формат и обязанность, судя по тексту политики.
>>>>>>
>>>>> Что из этого предлагается заинфорсить?
>>>> Заэнфорсить получится только формат.
>>> А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
>> вроде бы.
> Тогда, значит, если выходит версия про которую известно, что в
> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> бывают...
У меня бывает обратная ситуация - когда CVE в changelog указываю (указан
апстримом), а вот в базе CVE его нет по неизвестным мне причинам и
появляется в базах с задержкой на пару недель.
Плюс бывают ложные сработки, плюс не все CVE на нас распространяются.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 7:50 [devel] Нарушения Vulnerability Policy Anton Farygin
2023-02-07 7:56 ` Anton Farygin
2023-02-07 8:38 ` Stanislav Levin
@ 2023-02-07 12:11 ` Vitaly Chikunov
2023-02-07 13:03 ` Anton Farygin
2 siblings, 1 reply; 17+ messages in thread
From: Vitaly Chikunov @ 2023-02-07 12:11 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Tue, Feb 07, 2023 at 10:50:41AM +0300, Anton Farygin wrote:
> Всем привет.
>
> Есть предложение сделать так, что бы пакеты, нарушающие это Policy не
> проходили в репозиторий, при этом дополнить policy для случаев, когда CVE
> надо упомянуть но не закрыть.
(Добавление CVE бага обычно не указывают в changelog.)
Примерно в 100% случаев упоминание CVE означает закрытие, в остальных
очень редких случаях - частичный фикс.
Просто так упоминать, но не закрывать даже частично - не понятно зачем.
Поэтому я бы предложил любое упоминание CVE без специального "формата
закрытия" считать закрытием. А для "не закрытия" использовать специальный
формат или вообще запретить указывать в %changelog.
>
> https://www.altlinux.org/Vulnerability_Policy
>
> Пример:
>
> https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/
>
>
> Rgds,
>
> Rider
>
>
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 12:11 ` Vitaly Chikunov
@ 2023-02-07 13:03 ` Anton Farygin
0 siblings, 0 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-07 13:03 UTC (permalink / raw)
To: devel
On 07.02.2023 15:11, Vitaly Chikunov wrote:
> On Tue, Feb 07, 2023 at 10:50:41AM +0300, Anton Farygin wrote:
>> Всем привет.
>>
>> Есть предложение сделать так, что бы пакеты, нарушающие это Policy не
>> проходили в репозиторий, при этом дополнить policy для случаев, когда CVE
>> надо упомянуть но не закрыть.
> (Добавление CVE бага обычно не указывают в changelog.)
>
> Примерно в 100% случаев упоминание CVE означает закрытие, в остальных
> очень редких случаях - частичный фикс.
>
> Просто так упоминать, но не закрывать даже частично - не понятно зачем.
>
> Поэтому я бы предложил любое упоминание CVE без специального "формата
> закрытия" считать закрытием. А для "не закрытия" использовать специальный
> формат или вообще запретить указывать в %changelog.
>
>
Отличное предложение, кстати.
Дима и Глеб, что скажете ?
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 11:16 ` Paul Wolneykien
2023-02-07 11:27 ` Anton Farygin
@ 2023-02-07 18:37 ` Leonid Krivoshein
2023-02-07 20:03 ` Ivan A. Melnikov
2 siblings, 0 replies; 17+ messages in thread
From: Leonid Krivoshein @ 2023-02-07 18:37 UTC (permalink / raw)
To: devel
On 2/7/23 14:16, Paul Wolneykien wrote:
> [...]
> Тогда, значит, если выходит версия про которую известно, что в
> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> бывают...
А что в отношение ядра? Там почти каждая сборка с исправлениями CVE, и
зачастую без указания CVE. Наверняка так не только с ядром. Наш
маинтейнер может и не знать о закрытии конкретной CVE, если это явно не
упомянуто в апстримном changelog.
--
WBR, Leonid Krivoshein.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 11:16 ` Paul Wolneykien
2023-02-07 11:27 ` Anton Farygin
2023-02-07 18:37 ` Leonid Krivoshein
@ 2023-02-07 20:03 ` Ivan A. Melnikov
2023-02-08 5:34 ` Anton Farygin
2 siblings, 1 reply; 17+ messages in thread
From: Ivan A. Melnikov @ 2023-02-07 20:03 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote:
> В Tue, 7 Feb 2023 14:07:19 +0300
> Anton Farygin <rider@basealt.ru> пишет:
>
> > On 07.02.2023 13:53, Paul Wolneykien wrote:
> > > В Tue, 7 Feb 2023 12:01:57 +0300
> > > Anton Farygin <rider@basealt.ru> пишет:
> > >
> > >> On 07.02.2023 11:51, Stanislav Levin wrote:
> > >>>
> > >>> 07.02.2023 11:40, Anton Farygin пишет:
> > >>>
> > >>>> И формат и обязанность, судя по тексту политики.
> > >>>>
> > >>> Что из этого предлагается заинфорсить?
> > >> Заэнфорсить получится только формат.
> > > А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
> > вроде бы.
>
> Тогда, значит, если выходит версия про которую известно, что в
> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> бывают...
Такие строгости мне кажутся не слишком уместными. А вот какой-то
сервис типа репокопа, предлагающий патчи на ченджлог...
--
wbr,
iv m.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-07 20:03 ` Ivan A. Melnikov
@ 2023-02-08 5:34 ` Anton Farygin
2023-02-08 7:11 ` Ivan A. Melnikov
0 siblings, 1 reply; 17+ messages in thread
From: Anton Farygin @ 2023-02-08 5:34 UTC (permalink / raw)
To: devel
On 07.02.2023 23:03, Ivan A. Melnikov wrote:
> On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote:
>> В Tue, 7 Feb 2023 14:07:19 +0300
>> Anton Farygin<rider@basealt.ru> пишет:
>>
>>> On 07.02.2023 13:53, Paul Wolneykien wrote:
>>>> В Tue, 7 Feb 2023 12:01:57 +0300
>>>> Anton Farygin<rider@basealt.ru> пишет:
>>>>
>>>>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>>>>
>>>>>>> И формат и обязанность, судя по тексту политики.
>>>>>>>
>>>>>> Что из этого предлагается заинфорсить?
>>>>> Заэнфорсить получится только формат.
>>>> А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
>>> вроде бы.
>> Тогда, значит, если выходит версия про которую известно, что в
>> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
>> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
>> бывают...
> Такие строгости мне кажутся не слишком уместными. А вот какой-то
> сервис типа репокопа, предлагающий патчи на ченджлог...
В моём видении идеального мира указывать в changelog закрытие CVE, если
оно закрывается новой версией должно быть необязательно, при условии
наличия специального сервиса, информирующего о таком ментейнеров и
пользователей.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-08 5:34 ` Anton Farygin
@ 2023-02-08 7:11 ` Ivan A. Melnikov
2023-02-08 7:14 ` Anton Farygin
0 siblings, 1 reply; 17+ messages in thread
From: Ivan A. Melnikov @ 2023-02-08 7:11 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Wed, Feb 08, 2023 at 08:34:15AM +0300, Anton Farygin wrote:
> On 07.02.2023 23:03, Ivan A. Melnikov wrote:
> > On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote:
> > > В Tue, 7 Feb 2023 14:07:19 +0300
> > > Anton Farygin<rider@basealt.ru> пишет:
> > >
> > > > On 07.02.2023 13:53, Paul Wolneykien wrote:
> > > > > В Tue, 7 Feb 2023 12:01:57 +0300
> > > > > Anton Farygin<rider@basealt.ru> пишет:
> > > > > > On 07.02.2023 11:51, Stanislav Levin wrote:
> > > > > > > 07.02.2023 11:40, Anton Farygin пишет:
> > > > > > > > И формат и обязанность, судя по тексту политики.
> > > > > > > Что из этого предлагается заинфорсить?
> > > > > > Заэнфорсить получится только формат.
> > > > > А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
> > > > вроде бы.
> > > Тогда, значит, если выходит версия про которую известно, что в
> > > апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> > > можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> > > бывают...
> > Такие строгости мне кажутся не слишком уместными. А вот какой-то
> > сервис типа репокопа, предлагающий патчи на ченджлог...
>
> В моём видении идеального мира указывать в changelog закрытие CVE, если оно
> закрывается новой версией должно быть необязательно, при условии наличия
> специального сервиса, информирующего о таком ментейнеров и пользователей.
... и apt (или хотя бы apt-indicator) с ним интегрированы?
--
wbr,
iv m.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] Нарушения Vulnerability Policy
2023-02-08 7:11 ` Ivan A. Melnikov
@ 2023-02-08 7:14 ` Anton Farygin
0 siblings, 0 replies; 17+ messages in thread
From: Anton Farygin @ 2023-02-08 7:14 UTC (permalink / raw)
To: devel
On 08.02.2023 10:11, Ivan A. Melnikov wrote:
>>> Такие строгости мне кажутся не слишком уместными. А вот какой-то
>>> сервис типа репокопа, предлагающий патчи на ченджлог...
>> В моём видении идеального мира указывать в changelog закрытие CVE, если оно
>> закрывается новой версией должно быть необязательно, при условии наличия
>> специального сервиса, информирующего о таком ментейнеров и пользователей.
> ... и apt (или хотя бы apt-indicator) с ним интегрированы?
Т.к. это всё должно работать в виде rest api, то интеграция с разными
сервисами внутри системы естественным образом возможна.
^ permalink raw reply [flat|nested] 17+ messages in thread
end of thread, other threads:[~2023-02-08 7:14 UTC | newest]
Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2023-02-07 7:50 [devel] Нарушения Vulnerability Policy Anton Farygin
2023-02-07 7:56 ` Anton Farygin
2023-02-07 8:38 ` Stanislav Levin
2023-02-07 8:40 ` Anton Farygin
2023-02-07 8:51 ` Stanislav Levin
2023-02-07 9:01 ` Anton Farygin
2023-02-07 10:53 ` Paul Wolneykien
2023-02-07 11:07 ` Anton Farygin
2023-02-07 11:16 ` Paul Wolneykien
2023-02-07 11:27 ` Anton Farygin
2023-02-07 18:37 ` Leonid Krivoshein
2023-02-07 20:03 ` Ivan A. Melnikov
2023-02-08 5:34 ` Anton Farygin
2023-02-08 7:11 ` Ivan A. Melnikov
2023-02-08 7:14 ` Anton Farygin
2023-02-07 12:11 ` Vitaly Chikunov
2023-02-07 13:03 ` Anton Farygin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git