[Comm] Re: Безопасность

[Dmitry Derjavin]

On Fri, Dec 31 2004 at 06:59, "Dmitry V. Levin" <ldv на altlinux.org> wrote:

> По сути ничего не изменилось.  Просто объём поддерживаемой базы
> вырос в несколько раз, преимущественно за счёт потенциально более
> уязвимого кода, соответственно, объём выпускаемых обновлений тоже
> вырос.

Ну и что? По-моему, это совершенно типичная ситуация, которая решается
на уровне менеджмента. А вовсе не на уровне аудита кода или подготовки
обновлений. Есть же специалисты, документация в конце концов..

> Пришлось чем-то пожертвовать.  Лучше уж сократить выпуск
> анонсов, чем выпуск обновлений, хотя и он тоже неизбежно
> сокращается.

Не лучше, а гораздо хуже -- уверяю вас. Особенно в связи с тем, что
сокращается выпуск обновлений. Думаю, что именно с точки зрения
безопасности гораздо правильнее в такой ситуации сосредоточиться на
подготовке анонсов. В этом случае те же админы сэкономят кучу времени,
если будут точно знать, уязвима конкретная сборка или нет. А
обновление можно будет подготовить средствами сообщества. Как,
например, и получилось недавно во время совершенно безобразного, на
мой взгляд, инцидента с php.

> P.S. Давайте всё-таки обсуждение этой темы завершим.

Давайте пока не будем. Во всяком случае, пока Security Team таким
странным образом расставляет приоритеты..

> Время на это уходит много, а ничего нового понять уже не удастся.

Главное -- не теряйте надежду. ;)

-- 
~dd