[devel] severity "security"
Andrew Kornilov
=?iso-8859-1?q?hiddenman_=CE=C1_altlinux=2Eru?=
Пн Окт 2 21:20:41 MSD 2006
Michael Shigorin wrote:
И тут сорри за задержку.
>>А как быть с утилитами типа rkhunter, которые проверяют версию
>>приложения?
>>
>>
>Так и быть -- выкинуть как ориентированный на слаквари.
>Ну или помнить цену выводу.
>
>
>
С большей вероятность можно верить багзилле, в которой будет список CVE
и рядом пунктик, исправлена или нет :)
>>>>bugtraq читают многие, я думаю.
>>>>
>>>>
>>>Не факт. Этот список рассылки последнее время стал
>>>малоинформативным.
>>>
>>>
>>Но как быть тогда? Аналога полноценного нет. Но это ведь не
>>повод игнорировать вообще проблемы с безопасностью.
>>
>>
>
>Рекомендую анонсы secunia.com. Описания у них порой до того
>шаблонные, что напоминают спам, но по крайней мере есть ссылки,
>батчами и довольно оперативно.
>
>
Да читаю я его давно. И даже вижу твои и еще нескольких людей попытки
туда что-то анонсировать. Во что оно выливается, понять сложно.
>>>Коллега, вот я бы на вашем месте подумал, что будет в плане
>>>задраивания отверстий в пакетах уже после релиза.
>>>
>>>
>>Не совсем понял. То есть, выпустить дистрибутив с уязвимостями
>>можно, главное, чтобы потом кто-то их исправлял?
>>
>>
>
>Выпустить дистрибутив без уязвимостей (не обязательно известных)
>нельзя. Говорят, безопасность -- не состояние, а процесс.
>
>
Можно хотя бы без явных :) Просто я с чего и начал, нет системы, по
которой их можно было бы проверить. Только каждый майнтейнер должн лично
этим озаботится и проверить всё свое. Перед этим еще добыв где-то список
этих уязвимостей :)
>>>Если бы мантейнеры действительно заботились о безопасности
>>>своих пакетов, то вопрос информирования не стоял бы.
>>>
>>>
>>Но ведь активности майнтейнеров недостаточно. Должен (читай:
>>желательно) быть какой-то человек, хоть каким-то образом
>>отвечающий хотя бы за безопасность пакетов.
>>
>>
>
>Всех?
>
>
Принимающий решение хотя бы. Типа: нет исправления - не место этому
пакету здесь.
>>Ведь те же orphaned-пакеты у нас выкидываются из Сизифа без
>>малейшего сожаления, почему бы не выкидывать оттуда и
>>небезопасные приложения (можно ведь и автоматически).
>>
>>
>
>sendmail безопасен? (Сергей, простите! ничего личного)
>
>
Сложно сказать :) Он может быть безопасен сам по себе, по содержать
такой конфиг по умолчнию, что станет отличной добычей для спамеров.
>Я стараюсь форвардить то, что замечаю, тем, кого знаю, если это
>касается того, что им небезынтересно. Просто все списки "кому
>чего" в голове, естественно, не поместить.
>
>
Вот и я о чем. Невозможно это все держать в голове. Можно где-то
помечать. В качестве бага хотя бы. Я изначально предложил всего лишь
severity "security". Можно, конечно, и блокерами это всё обзывать :)
>Знаю как минимум одного человека, который порой вешает толковые
>баги именно по части безопасности (Serg Rychka).
>
>
Честь ему и хвала. Не то, что я, ленивый.
>
>
>>p.s. Я повторю вопрос: что будет после "заморозки" среза
>>Сизифа? Будет ли кто-нибудь анализировать срез на предмет
>>безопасности?
>>
>>
>
>PS: чего и удивился, когда упразднили компоненты -- main и
>contrib всё-таки вполне возможно разделить, проведя формальный
>опрос -- за что кто готов отвечать и _оценочно_ -- насколько
>долго и в какой мере. За несколько из своих пакетов могу
>подписаться, пересматривал их тогда в таком свете.
>
>
Но если я не выполняют это обязательство, должен кто-то недрогнувшей
рукой забрать у меня пакет или выкинуть его. А так, пока никто бучу не
поднял, все отмалчиваются :)
Подробная информация о списке рассылки Devel