[devel] girar security

[Денис Смирнов]

On Sat, Feb 07, 2009 at 11:00:32PM +0200, Led wrote:

> L>> Исходники предоставлять следует по первому требованию. Т.е. даже если
>> это L> требование поступило через секунду после предоставления бинарника.
>> Кстати интересно, в GPL написано через сколько времени я обязан их
>> предоставить по этому самому требованию? В смысле я обязан делать это за 1
>> секунду, или пара дней у меня есть?
L> Вы пытаетесь найти "лазейки" в GPL?

Это не лазейка, а разумная ситуация.

GPL предполагает что я могу предоставить исходники различными способами, и
немедленное выкладывание на сайт это лишь один из них.

Повторяю еще раз -- речь идет о ситуации, когда исходники будут
предоставлены, но с задержкой 1-2 дня с целью нераскрытия информации о
найденой уязвимости.

Чаще всего как я вижу применяется подход "нераскрытие производится до
момента подготовки патчей, после чего одномоментно публикуются бинарники и
исходники с исправлениями". Проблема этого подхода в том, что даже при
большой оперативности может пройти 1-2 дня прежде чем даже те кто всерьез
озабочен своей безопасностью установят обновление.

А ситуация "эксплойт опубликован до того как существенная часть желающих
обновится" -- нехорошая.

Собственно меня интересовало возможна ли публикация бинарника с
исправлением до момента когда будет можно публиковать исходники. Ну нельзя
так нельзя, это не мои проблемы -- это проблемы пользователей. Просто они
получат одновременно бинарник с исходниками, но заметно позже чем могли
бы.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 197 bytes
Desc: Digital signature
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20090208/b44655d5/attachment.bin>