[devel] Re: P: security volunteam

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Чт Янв 20 15:02:38 MSK 2005 

On Thu, Jan 20, 2005 at 11:23:55AM +0300, Stanislav Ievlev wrote:
> > Что ожидается от sec team (в лице Димы) -- одобрение
> > кандидатов в такую команду (скорее номинальное -- с учётом
> > ограничения выборкой из участников ALT Linux Team?),
> > маршрутизация информации об уязвимостях (конкретному
> > майнтейнеру или всей команде); возможно, отслеживание статуса
> > проблем (если на это не найдётся желающего побыть таким
> > project manager).
> Тут есть два "но" (но не "нет" ;) )
> 1. Одобрение не может быть "номинальным" ибо маршрутизация
> информации об уязвимостях может идти только к достаточно
> компетентным и доверенным лицам. Зачастую эта информация носит
> строго конфиденциальных характер.

Это понятно, но я не знаю, кто будет в такой команде.
Поэтому не могу оговаривать.  "Скорее", видимо, неуместно --
подразумевалось скорее "(?)".

Соответственно разница -- в персональной или более
широковещательной (на команду) нотификации.

Наверное, ты прав, потому что первое и так есть.

> Соответственно должны быть сформулированы определённые
> требования к желающим. В частности, это не должны быть недавно
> подключившиеся к проекту люди.

Хех.  Коллега вот до сих пор формально не подключился, хотя его
работа с моим проксированием в сизифе есть. (но это, думаю,
порешаем)

> Надеюсь Дима сможет хотя бы примерно сформулировать эти
> требования.

Угу.

> 2. С volunteers ничего нельзя требовать: как своевременного
> выпуска обновлений так и соблюдения режима неразглашения
> информации.

Вообще -- да.  В данном случае -- второе требовать можно, другое
дело, что основываться при этом -- на личном доверии и честном
слове.

[skip]

Да, конечно.

> Для начала, в качестве эксперимента security volunteers team,
> может заняться выпуском давно пропущенных обновлений, а также
> обновлениями по пакетам официально не поддерживаемым. Думаю,
> что мы сможем составить такой список пакетов.

Потихоньку уже и пошло -- силами тех, кто тут рядом в частном
порядке обсуждал (да и я сейчас залью MySQL-4.0.21-alt1.M24.1).

> Дима, что скажешь?

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20050120/5220217b/attachment-0001.bin>

Подробная информация о списке рассылки Devel