[devel] proposal: sec updates public policy/info (was: update kernel ALTM22)

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Сб Июн 26 16:23:50 MSD 2004


On Mon, Jun 21, 2004 at 04:12:41AM +0400, Dmitry V. Levin wrote:
> На самом деле вопрос в том, что именно вы понимаете под поддержкой выпуска
> security updates для такого продукта как ALM (который фактически
> распространяется по цене канала/носителя).  Рассчитываете ли вы на то, что
> обновления разной степени срочности будут выходить одинаково оперативно?
> Надеетесь ли вы на то, что обновления для ALM-X.N будут выходить
> так же оперативно, как и обновления для ALM-X.N+1?  Зачастую в такой
> "толстый" дистрибутив как ALM включается настолько кривой (но популярный)
> софт, к которому скорее всего не будут выпущено обновлений, даже если об
> этом не сказано явно; готовы ли вы к этому?
> И так далее.

Дим, это все понятно, но давай чуточку поправим формулировки (не
вопрос, а извещение) и сделаем страничку "Поддержка/Обновления",
скажем, на altlinux.ru/?module=secupdates -- примерно так
(формулировки ни разу не претендуют на окончательность!):

---
Под поддержкой обновлений по безопасности для продуктов ALT Linux
подразумевается выпуск пакетов, установка которых в систему,
содержащую их предыдущие версии, приводит к решению ставшей
известной проблемы безопасности по крайней мере для конфигурации
по умолчанию.

Такими обновлениями обеспечивается текущий полный стабильный
выпуск дистрибутива ALT Linux Master в течение его
рекомендованного жизненного цикла; последний считается
завершенным через **шесть месяцев** после выхода следующего
полного выпуска.  К этому времени предполагается, что
используемые системы мигрировали на текущую версию (что является
предпочтительным) или же их локальная и сетевая безопасность
обеспечивается иными средствами (ограничение доступа, мониторинг)
вследствие специфики применения и нежелательности изменений.

Время выпуска обновлений, как правило, составляет от одних суток
и более в зависимости от:

* критичности подверженной компоненты системы;
* характера уязвимости;
* применимости к конфигурации по умолчанию и близким к ней в
  плане безопасности.

Для получения более подробной информации о характере
обнаруживаемых и исправляемых проблем, применимости обновлений
подпишитесь на список рассылки security-announce@, в котором
публикуются рекомендации по обновлению систем на базе ALT Linux.

Обратите внимание, что существуют и обновления, не связанные с
проблемами безопасности, но исправляющие критичные для
функционирования проблемы пакетов, не исправленные во время
подготовки дистрибутива к выпуску; для получения информации о
таковых подпишитесь на список рассылки errata на .
---

> Рассчитываете ли вы на то, что обновления разной степени
> срочности будут выходить одинаково оперативно?

Кто-то может и рассчитывать.  На самом деле все не так просто --
полагаться на экстренный выпуск remote root fixes не получается,
а решения более мелких проблем при заинтересованном (по работе,
как правило) майнтейнере и отсутствии заметных задержек по
incoming могут попадать в течение суток.

> Надеетесь ли вы на то, что обновления для ALM-X.N будут
> выходить так же оперативно, как и обновления для ALM-X.N+1?

Пока ALM-X.N не объявлен неподдерживаемым или (см. выше про
"шесть месяцев" -- цифру, естественно, взял среднепотолочную, но
обдумав) в режиме "только критичные изменения" -- увы, многие
надеются.

Собственно, даже аккуратно указываемые сроки -- это главная
потенциально спорная часть, поскольку кристально понятна прямая
связь с ресурсами.

> Зачастую в такой "толстый" дистрибутив как ALM включается
> настолько кривой (но популярный) софт, к которому скорее всего
> не будут выпущено обновлений, даже если об этом не сказано
> явно; готовы ли вы к этому?

Ну вот и давайте начнем с ALM2.4 более ясное разделение -- из
наличного в дистрибутиве что есть поддерживаемым (по крайней мере
по состоянию на момент выпуска), а что -- заведомо нет.

Скажем, .contrib может быть, но с явным уведомлением об
отсутствии планируемой поддержки и предложением оплатить такоую
при необходимости.

> И так далее.

Ну давай далее, как с вышеизложенным разберемся. :-)

> > И третье - если мы склонимся к коммерческой поддержке, то это
> > будет точно не ALT, а, либо RHE, либо SLES. У ALT'та своя
> > ниша, на которой он стоит крепко и не надо перепрыгивать в
> > другую.
> ALM находится в одной ценовой категории, *ES - в другой.
> У ALT Linux никогда не было продукта, который бы претендовал на ту нишу,
> которую занимают *ES.  Так что у вас на самом деле нет выбора.

<offtopic>
Могу быть неправ, но примерно на эту нишу претендовал Утёс-К.
Вот только в этой нише его надо _продвигать_, а не "дожидаться
продаж".  И заниматься этим должны сейлзы, а не разработчики
(интересуясь у коллег по части спроса) -- потому как "TCB" там
действительно говорит меньше, чем "сертифицированно"...
</offtopic>

> P.S. а subj не теряет своей актуальности, чтоб ему...

/me размахивает дырявым флагом и орёт:
"аудитом дырявого линуха явно занялись всерьез!"
:-]

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20040626/911cdc3e/attachment-0001.bin>


Подробная информация о списке рассылки Devel