[devel] severity "security"

[Andrew Kornilov]

Michael Shigorin wrote:

И тут сорри за задержку.

>>А как быть с утилитами типа rkhunter, которые проверяют версию
>>приложения?
>>    
>>
>Так и быть -- выкинуть как ориентированный на слаквари.
>Ну или помнить цену выводу.
>
>  
>
С большей вероятность можно верить багзилле, в которой будет список CVE 
и рядом пунктик, исправлена или нет :)

>>>>bugtraq читают многие, я думаю.
>>>>        
>>>>
>>>Не факт.  Этот список рассылки последнее время стал
>>>малоинформативным.
>>>      
>>>
>>Но как быть тогда? Аналога полноценного нет. Но это ведь не
>>повод игнорировать вообще проблемы с безопасностью.
>>    
>>
>
>Рекомендую анонсы secunia.com.  Описания у них порой до того
>шаблонные, что напоминают спам, но по крайней мере есть ссылки,
>батчами и довольно оперативно.
>  
>
Да читаю я его давно. И даже вижу твои и еще нескольких людей попытки 
туда что-то анонсировать. Во что оно выливается, понять сложно.

>>>Коллега, вот я бы на вашем месте подумал, что будет в плане
>>>задраивания отверстий в пакетах уже после релиза.
>>>      
>>>
>>Не совсем понял. То есть, выпустить дистрибутив с уязвимостями
>>можно, главное, чтобы потом кто-то их исправлял?
>>    
>>
>
>Выпустить дистрибутив без уязвимостей (не обязательно известных)
>нельзя.  Говорят, безопасность -- не состояние, а процесс.
>  
>
Можно хотя бы без явных :) Просто я с чего и начал, нет системы, по 
которой их можно было бы проверить. Только каждый майнтейнер должн лично 
этим озаботится и проверить всё свое. Перед этим еще добыв где-то список 
этих уязвимостей :)

>>>Если бы мантейнеры действительно заботились о безопасности
>>>своих пакетов, то вопрос информирования не стоял бы.
>>>      
>>>
>>Но ведь активности майнтейнеров недостаточно. Должен (читай:
>>желательно) быть какой-то человек, хоть каким-то образом
>>отвечающий хотя бы за безопасность пакетов.
>>    
>>
>
>Всех?
>  
>
Принимающий решение хотя бы. Типа: нет исправления - не место этому 
пакету здесь.

>>Ведь те же orphaned-пакеты у нас выкидываются из Сизифа без
>>малейшего сожаления, почему бы не выкидывать оттуда и
>>небезопасные приложения (можно ведь и автоматически).
>>    
>>
>
>sendmail безопасен?  (Сергей, простите!  ничего личного)
>  
>
Сложно сказать :) Он может быть безопасен сам по себе, по содержать 
такой конфиг по умолчнию, что станет отличной добычей для спамеров.

>Я стараюсь форвардить то, что замечаю, тем, кого знаю, если это
>касается того, что им небезынтересно.  Просто все списки "кому
>чего" в голове, естественно, не поместить.
>  
>
Вот и я о чем. Невозможно это все держать в голове. Можно где-то 
помечать. В качестве бага хотя бы. Я изначально предложил всего лишь 
severity "security". Можно, конечно, и блокерами это всё обзывать :)

>Знаю как минимум одного человека, который порой вешает толковые
>баги именно по части безопасности (Serg Rychka).
>  
>
Честь ему и хвала. Не то, что я, ленивый.

>  
>
>>p.s. Я повторю вопрос: что будет после "заморозки" среза
>>Сизифа? Будет ли кто-нибудь анализировать срез на предмет
>>безопасности?
>>    
>>
>
>PS: чего и удивился, когда упразднили компоненты -- main и
>contrib всё-таки вполне возможно разделить, проведя формальный
>опрос -- за что кто готов отвечать и _оценочно_ -- насколько
>долго и в какой мере.  За несколько из своих пакетов могу
>подписаться, пересматривал их тогда в таком свете.
>  
>
Но если я не выполняют это обязательство, должен кто-то недрогнувшей 
рукой забрать у меня пакет или выкинуть его. А так, пока никто бучу не 
поднял, все отмалчиваются :)