[Security-team] Anybody alive?

[Michael Shigorin]

On Fri, Apr 24, 2009 at 02:45:46AM +0400, Dmitry V. Levin wrote:
> > Как сейчас обстоят дела с этим списком рассылки?
> Сюда сейчас никто не пишет...

Да, вообще непонятно, что делаем с апдейтами.

У меня со времени заметной активности этой рассылки произошли
следующие сдвиги:

- перестал читать secunia.com RSS (заспамился сильно)
  и тем более bugtraq@;
- сузилось число пакетов, для которых бывает нужным выпускать
  исправления дырок -- что-то отдал, что-то в orphaned.

Соображения примерно такие:

- нужен живой в смысле нагрузки "дежурный" координатор проекта,
  который бы имел физическую возможность отслеживать происходящее
  -- возможно, при помощи подписки на ту же secunia +/- скриптов
  для сопоставления поступающей информации с пакетной базой
  сизифа и бранчей;
- также и ты в качестве устоявшегося доверенного лица по особо
  ответственным случаям и каналам, но не перегруженный мелочами;
- механизм оповещения майнтейнеров и расширение действительной
  security-team@ теми, кто изъявит желание поучаствовать с целью
  подстраховки майнтейнеров, которые не читают почту достаточно
  активно или иным образом не имеют возможности, чтоб своевременно
  реагировать (я бы ещё предложил дать стипендию php-coder@);
- и всё-таки security announces, даже если автогенерируемые
  из --lastchange для пакетов с CVE-*/SA-* в таковом.

<dreams>
Если для git.alt будет нечто на тему "отношение к бранчам",
то туда же было бы неплохо и "отношение к updates".  Ещё это
всё бы на sisyphus.ru втягивать, конечно... а ещё лучше оттуда
и задавать иметь возможность.
</dreams>

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/