[Comm] Re: Безопасность

Dmitry Derjavin =?iso-8859-1?q?dd_=CE=C1_farpost=2Ecom?=
Ср Янв 5 19:35:32 MSK 2005 

On Wed, Jan 05 2005 at 01:12, "Dmitry V. Levin" <ldv на altlinux.org> wrote:

>> >> http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html
>> >> 
>> >> На этой кожуре от банана отпечатки ваших зубов, Дмитрий. ;)
>> >
>> > Ну, надписи типа сентябрьской можно отсылать по cron'у. :)
>> 
>> Если можно, отсылайте пожалуйста! Собственно, именно этого-то и
>> хочется в первую очередь.
>> 
>> Сделаете?
>
> Я не вижу для этого нормальной формы.  Подскажете?

Не совсем понятно, что вы подразумевали под формой..

Хотелось бы, чтобы после того, как ST становится известно о
существовании уязвимости в программном продукте, в каком-то виде
входящем в Sisyphus, в security-announce@ появлялось бы письмо
примерно следующего содержания:

"Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
продукте таком-то, могущая привести к таким-то печальным
последствиям. По зависящим от ST причинам ;) текущая сборка altlinux
уязвимости не подвержена."

Или:

"Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
продукте таком-то, могущая привести к таким-то печальным
последствиям. Версии продукта, входящие в состав таких-то
дистрибутивов altlinux подвержены данной уязвимости. По независящим от
ST причинам подготовка официального обновления
задерживается. Параллельно с ST подготовка обновления ведётся силами
сообщества. Обсуждение подготовки неофициального апдейта проходит в
рассылке такой-то (ссылка на первое сообщение треда). Ожидаемое время
появления официального апдейта -- такое-то, неофициального --
такое-то."

И после выхода обновления, не важно -- официального или нет, хотелось
бы сразу же видеть в security-announce соответствующий анонс.

>> Главное, что хочется понять в результате -- в чём конкретно можно
>> сейчас полагаться на Security Team, а в чём нет.
>
> А что вы, собственно, ждёте именно от ST на данном историческом
> этапе?

Хороший вопрос. На данном этапе -- в первую очередь анонсов, о которых
сказано выше.

Во вторую, видимо, всего того, для чего она создавалась, только с
поправкой "координация усилий сообщества по ...". И далее по тексту
начиная разработкой рекомендаций для пользователей и заканчивая
подготовкой обновлений.

А вы как ответили бы на свой собственный вопрос?

-- 
~dd

Подробная информация о списке рассылки community