[Comm] Re: Безопасность

[Dmitry Derjavin]

On Thu, Jan 06 2005 at 02:51, "Dmitry V. Levin" <ldv на altlinux.org> wrote:

>> существовании уязвимости в программном продукте, в каком-то виде
>> входящем в Sisyphus, в security-announce@ появлялось бы письмо
>> примерно следующего содержания:
>> 
>> "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
>> продукте таком-то, могущая привести к таким-то печальным
>> последствиям. По зависящим от ST причинам ;) текущая сборка
>> altlinux уязвимости не подвержена."
>
> Насколько я понимаю, так редко кто поступает, разве что в ответ на
> ложную информацию о якобы существующей уязвимости.  Если вы
> действительно хотите поднять планку так высоко, то надо искать
> добровольцев.

Вообще -- да; хотелось бы. По поводу добровольцев есть некоторые идеи,
об этом ниже.

>> Или:
>> 
>> "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
>> продукте таком-то, могущая привести к таким-то печальным
>> последствиям. Версии продукта, входящие в состав таких-то
>> дистрибутивов altlinux подвержены данной уязвимости. По независящим
>> от ST причинам подготовка официального обновления
>> задерживается. Параллельно с ST подготовка обновления ведётся
>> силами сообщества. Обсуждение подготовки неофициального апдейта
>> проходит в рассылке такой-то (ссылка на первое сообщение
>> треда). Ожидаемое время появления официального апдейта -- такое-то,
>> неофициального -- такое-то."
>
> А не проще ли завести специальную рассылку для координации действий
> такого рода.  Кого интересуют неофициальные обновления, сможет
> подписаться в режиме readonly.  Дело в том, что написание
> продуманных анонсов порой занимает непозволительно много времени, и
> если это возможно делегировать, то надо попробовать.

Есть мнение попробовать сделать это в рамках Newsletter, работа над
первой версией (не выпуском!) которого сейчас практически закончена.

Один из вариантов координации действий описан здесь:
http://dd.vl.ru/wiki/AltlinuxNewsletter/IntroDuction

Таким образом, продуманные анонсы для начала можно заменить
развёрнутыми комментариями в рассылке и ссылками на них в Newsletter.

Что вы об этом думаете?

В качестве рассылки предлагаю пока использовать community@, как самую
посещаемую. Предположительно, здесь среди подписчиков проще найти
желающих оставить хороший комментарий.

> И, главное, скажите пожалуйста, что делать с теми уязвимостями, над
> подготовкой обновлений к которым фактически никто не работает?

Для начала придумать способ узнавать, над подготовкой каких обновлений
работа уже ведётся. Bugzilla?

>> >> Главное, что хочется понять в результате -- в чём конкретно
>> >> можно сейчас полагаться на Security Team, а в чём нет.
>> >
>> > А что вы, собственно, ждёте именно от ST на данном историческом
>> > этапе?

[...]

>> А вы как ответили бы на свой собственный вопрос?
>
> Предлагаете заняться самокопанием в списке рассылки?

И в мыслях не было! Действительно интересно -- чего вы ждёте от ST на
данном историческом (да уж..) этапе.

> Нет, спасибо. :)

Просто, вы, Дмитрий, виртуозно уходите от ответов. :) Приходится
изощряться.

-- 
~dd