[Comm] Re: Безопасность

[Dmitry V. Levin]

On Thu, Jan 06, 2005 at 02:35:32AM +1000, Dmitry Derjavin wrote:
> On Wed, Jan 05 2005 at 01:12, "Dmitry V. Levin" <ldv на altlinux.org> wrote:
> 
> >> >> http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html
> >> >> 
> >> >> На этой кожуре от банана отпечатки ваших зубов, Дмитрий. ;)
> >> >
> >> > Ну, надписи типа сентябрьской можно отсылать по cron'у. :)
> >> 
> >> Если можно, отсылайте пожалуйста! Собственно, именно этого-то и
> >> хочется в первую очередь.
> >> 
> >> Сделаете?
> >
> > Я не вижу для этого нормальной формы.  Подскажете?
> 
> Не совсем понятно, что вы подразумевали под формой..
> 
> Хотелось бы, чтобы после того, как ST становится известно о
> существовании уязвимости в программном продукте, в каком-то виде
> входящем в Sisyphus, в security-announce@ появлялось бы письмо
> примерно следующего содержания:
> 
> "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
> продукте таком-то, могущая привести к таким-то печальным
> последствиям. По зависящим от ST причинам ;) текущая сборка altlinux
> уязвимости не подвержена."

Насколько я понимаю, так редко кто поступает, разве что в ответ на ложную
информацию о якобы существующей уязвимости.  Если вы действительно хотите
поднять планку так высоко, то надо искать добровольцев.

> Или:
> 
> "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
> продукте таком-то, могущая привести к таким-то печальным
> последствиям. Версии продукта, входящие в состав таких-то
> дистрибутивов altlinux подвержены данной уязвимости. По независящим от
> ST причинам подготовка официального обновления
> задерживается. Параллельно с ST подготовка обновления ведётся силами
> сообщества. Обсуждение подготовки неофициального апдейта проходит в
> рассылке такой-то (ссылка на первое сообщение треда). Ожидаемое время
> появления официального апдейта -- такое-то, неофициального --
> такое-то."

А не проще ли завести специальную рассылку для координации действий такого
рода.  Кого интересуют неофициальные обновления, сможет подписаться в
режиме readonly.  Дело в том, что написание продуманных анонсов порой
занимает непозволительно много времени, и если это возможно делегировать,
то надо попробовать.

И, главное, скажите пожалуйста, что делать с теми уязвимостями, над
подготовкой обновлений к которым фактически никто не работает?

> И после выхода обновления, не важно -- официального или нет, хотелось
> бы сразу же видеть в security-announce соответствующий анонс.
> 
> >> Главное, что хочется понять в результате -- в чём конкретно можно
> >> сейчас полагаться на Security Team, а в чём нет.
> >
> > А что вы, собственно, ждёте именно от ST на данном историческом
> > этапе?
> 
> Хороший вопрос. На данном этапе -- в первую очередь анонсов, о которых
> сказано выше.
> 
> Во вторую, видимо, всего того, для чего она создавалась, только с
> поправкой "координация усилий сообщества по ...". И далее по тексту
> начиная разработкой рекомендаций для пользователей и заканчивая
> подготовкой обновлений.

Интересно, у кого-нибудь ещё есть мнение на эту тему?

> А вы как ответили бы на свой собственный вопрос?

Предлагаете заняться самокопанием в списке рассылки?  Нет, спасибо. :)


-- 
ldv
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: отсутствует
Url     : http://lists.altlinux.ru/pipermail/community/attachments/20050105/b4581091/attachment.bin