[devel] girar security
Денис Смирнов
=?iso-8859-1?q?mithraen_=CE=C1_altlinux=2Eru?=
Вс Фев 8 14:07:44 MSK 2009
On Sat, Feb 07, 2009 at 11:00:32PM +0200, Led wrote:
> L>> Исходники предоставлять следует по первому требованию. Т.е. даже если
>> это L> требование поступило через секунду после предоставления бинарника.
>> Кстати интересно, в GPL написано через сколько времени я обязан их
>> предоставить по этому самому требованию? В смысле я обязан делать это за 1
>> секунду, или пара дней у меня есть?
L> Вы пытаетесь найти "лазейки" в GPL?
Это не лазейка, а разумная ситуация.
GPL предполагает что я могу предоставить исходники различными способами, и
немедленное выкладывание на сайт это лишь один из них.
Повторяю еще раз -- речь идет о ситуации, когда исходники будут
предоставлены, но с задержкой 1-2 дня с целью нераскрытия информации о
найденой уязвимости.
Чаще всего как я вижу применяется подход "нераскрытие производится до
момента подготовки патчей, после чего одномоментно публикуются бинарники и
исходники с исправлениями". Проблема этого подхода в том, что даже при
большой оперативности может пройти 1-2 дня прежде чем даже те кто всерьез
озабочен своей безопасностью установят обновление.
А ситуация "эксплойт опубликован до того как существенная часть желающих
обновится" -- нехорошая.
Собственно меня интересовало возможна ли публикация бинарника с
исправлением до момента когда будет можно публиковать исходники. Ну нельзя
так нельзя, это не мои проблемы -- это проблемы пользователей. Просто они
получат одновременно бинарник с исходниками, но заметно позже чем могли
бы.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 197 bytes
Desc: Digital signature
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20090208/b44655d5/attachment.bin>
Подробная информация о списке рассылки Devel