[devel] P: security volunteam
vserge
=?iso-8859-1?q?vserge_=CE=C1_altlinux=2Eru?=
Чт Янв 27 11:27:43 MSK 2005
On Wed, 26 Jan 2005 14:47:54 +0300
"Dmitry V. Levin" <ldv на altlinux.org> wrote:
> On Thu, Jan 20, 2005 at 11:23:55AM +0300, Stanislav Ievlev wrote:
> > On Wed, Jan 19, 2005 at 05:58:24PM +0200, Michael Shigorin wrote:
> > > On Wed, Jan 19, 2005 at 04:01:02PM +0300, vserge wrote:
> > > > Уважаемые коллеги:
> > > > 1) Надо ли нам определить Security policy
> > > > 2) Надо ли расширить Security Team
> > > > 3) Как должна работать Security Team и что будет входить в ее
> > > > обязанности?
> > >
> > > По предварительному обсуждению конца прошлого года могу
> > > предложить такое.
> > >
> > > Желающие поднимают руку и собираются в security volunteers team,
> > > которая координируется security team и по возможности
> > > обеспечивает по возможности оперативный выпуск рекомендаций по
> > > обновлению для (хотя бы) последнего стабильного выпуска.
> > >
> > > Что ожидается от участников -- заинтересованность в результате.
> > > Поэтому, как правило, это системные администраторы, использующие
> > > эти пакеты и системы в боевых условиях.
> > >
> > > Что ожидается от sec team (в лице Димы) -- одобрение кандидатов в
> > > такую команду (скорее номинальное -- с учётом ограничения
> > > выборкой из участников ALT Linux Team?), маршрутизация информации
> > > об уязвимостях (конкретному майнтейнеру или всей команде);
> > > возможно, отслеживание статуса проблем (если на это не найдётся
> > > желающего побыть таким project manager).
> > Тут есть два "но" (но не "нет" ;) )
> > 1. Одобрение не может быть "номинальным" ибо маршрутизация
> > информации об уязвимостях может идти только к достаточно
> > компетентным и доверенным лицам. Зачастую эта информация носит
> > строго конфиденциальных характер. Соответственно должны быть
> > сформулированы определённые требования к желающим. В частности, это
> > не должны быть недавно подключившиеся к проекту люди. Надеюсь Дима
> > сможет хотя бы примерно сформулировать эти требования.
>
> Пока я координатор выпуска обновлений, всё что нужно - это добиться
> моего доверия. Для этого нужно:
> 1. Продемонстрировать мотивированное желание и возможность готовить
> обновления. 2. Продемонстрировать квалификацию, необходимую для
> подготовки обновлений. 3. Продемонстрировать умение работать с
> конфиденциальной информацией. 4. Постоянно подтверждать
> вышеперечисленное.
>
А ниже подпись: "Принимаем Добровольцев в группу спецназа ALT Linux
Team"
>
> --
> ldv
--
> > [...] но сама работа Сизифа вполне стабильна
> Только перидоически что-то важное отваливается...
А вы не чешите это важное, оно и не отвалится :-)
-- morozov in sisyphus@
Подробная информация о списке рассылки Devel