[devel] on sisyphus policy for known severely vulnerable packages

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Вс Мар 9 19:44:33 MSK 2008 

On Sun, Mar 09, 2008 at 06:11:47PM +0300, Konstantin A. Lepikhov wrote:
> > Я считаю, что запись в description пакета не является
> > достаточным основанием для того, чтобы в течение почти года
> > не делать security updates по уязвимому пакету.
> > 
> > Я полагаю, что аргументация вроде "в этом пакете столько
> > концептуальных дыр, что опубликованные уязвимости, для
> > которых уже написаны и распространяются вирусы, не являются
> > критическими ошибками" у нас неприемлема.
> Предположения и догадки не могут считаться правилами игры.
> Я за правила, понятные для всех.

Разумеется.  Только их приходится вырабатывать по ходу дела,
поскольку тут все -- в общем-то обычные люди, которые точно
так же не могут предвидеть все ситуации заранее.

Поэтому многие вопросы прецедентно решаются действительно 
на доверии и оценке разумности предложений ответственным за
сизиф Димой.


On Sun, Mar 09, 2008 at 02:25:24PM +0300, Хихин Руслан wrote:
>  > > Вернётся пакет в сизиф - вернётся и компонент в багзиллу.
>  > > Автомагически.
>  > Верните пакет в сизиф.

Дело принципа -- вернуть дырявый?  Вместо этого треда, думаю,
можно было раз десять приложить две строчки фикса и собрать всё
вместе с модулями.

> Я вот что подумал: раз вы Константин пострадавший, то есть
> смысл Вас попросить дописать полиси по этому вопросу - при
> каких условиях пакет может/должен удаляться из Сизифа и каков
> должен быть механихм этой операции.  :)

Не, эт не дело.

С другой стороны -- вот уж от Костика не ожидал такой реакции:
как бы не первый год человек работает в конторах со специфическим
отношением к информационной безопасности.

(и да, если бы это был пакет человека, у которого опыта меньше --
спроса и возмущения с моей стороны было бы тоже меньше)


On Sun, Mar 09, 2008 at 02:06:24AM +0300, Konstantin A. Lepikhov wrote:
> Скажи прямо - "мы тут подумали с димой и решили". Т.е. решили
> проблему в частном порядке.

Да здесь она решалась, здесь.  Если хочешь, постараюсь запомнить,
что тебе тоже бывает сложно добраться -- и давать Cc: или дёргать
в jabber.  Если хочешь сказать, что проблемы надо игнорировать,
а не решать -- извини, не помогает.

> Тут не баня, чтобы меряться скиллами.

Dixi.

> Нужно чтобы инструменты в мастерской всегда были под рукой, а
> не были выброшены заботливой хозяйкой, потому что не заточены и
> ручки разболтались. Извини, я не понимаю, почему пакеты одних
> должны быть ровнее других.

Потому что это основа.  Например, в community@ витали мысли
сделать livecd в т.ч. на основе wks; как думаешь, можно ли его
рекомендовать в качестве основы с таким отношением?

Возможно, это всё те же неоправданные ожидания... да только очень
уж хорошо помню, когда лучше бы выложил _срочное_ обновление
mod_ssl в 2003 со сломанным %post, чем полгода в три подхода
выяснял, из-за чего при обновлении apache стопился.

Такое полиси мне лично тогда бы помогло сделать правильный выбор.
А так... получился ощутимый удар по доверию к дистрибутиву и по
сообществу.  Ещё несколько лет потом это узнавал.

Потому и попросил выкинуть wyrd, когда там нашли глупую дырку,
но лезть в камлёвый код её затыкать было совсем не с руки.
Починили в апстриме -- вернул пакет и собрал update.
Без никаких проблем.

> > > Сначала придумайте, потом реализуйте на практике.
> > Там было приведено "три недели".  Предлагаю для remote exec
> > неделю, для local root -- две.  На третьей у меня лично глаза
> > на лоб полезли, *случайно* заметив такое безобразие.
> > По данному прецеденту -- думаю, лучше сразу расставить точки
> > над "ы", чем делать вид, что всё в порядке.  Бишь или
> > починить, или выкинуть.
> это еще одна личная точка зрения.

Выскажи свою.

> > > И верните компонент в багзиллу.
> > К dottedmag@, а ещё лучше -- к /incoming.
> т.е. мне создали проблемы, а теперь предлагают еще и самому их
> решать. Ну спасибо за советский сервис.

Как один из наиболее громко вопящих при очередных закручиваниях
гаек в sisyphus_check, вопрошаю: и ты ещё удивлён?
Здесь так принято, дядьку :)


On Sun, Mar 09, 2008 at 02:14:28AM +0300, Alexey Gladkov wrote:
> >Эта ссылка является ссылкой на аргумент предельной силы по
> >смежному с непосредственно поднятым тобой вопросу.
> Миш, ситуации бывают разные.

Дык.  И аргумент (NMU с исправлением) был действительно сильный.

> >И пока ты собираешься так пренебрежительно отзываться
> >о мнении коллег именно что своим трёпом, его ценность
> >будет плавно скатываться к нулю и дальше.
> Давайте, все успокоимся. Друзья, коллеги не стоит продолжать не
> конструктивный разговор ... тем более в таком русле.

Прошу прощения, кого чем обидел.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20080309/84306833/attachment-0002.bin>

Подробная информация о списке рассылки Devel