[Security-team] security-team policy
Michael Shigorin
mike на osdn.org.ua
Чт Апр 30 12:24:39 MSD 2009
On Tue, Apr 28, 2009 at 09:08:53AM +0400, Vladimir Lettiev wrote:
> Предположим обнаружена уязвимость в пакете foo. foo
> присутствует в sisyphus, и во всех поддерживаемых бранчах.
> Как мне повесить баг на всех этих foo?
Огульно вешать нельзя, дыры бывают внесёнными в относительно
недавние версии.
> Вдруг выясняется, что из исходников foo собираются бинарные
> пакеты libfoo и foo-tools, каждый из которых уязвим, на кого
> повесить баг?
На исходник, думаю.
> Нужен хотя бы какой-то посреднический инструмент, который по
> имени src пакета выстрелит в багзиллу набором багов по всем
> реинкарнациям foo + сделает один мета-баг на сущность
> "security", зависяший от всех остальных багов.
В текущей ситуации это приведёт лишь к плождению висяков --
до назначения крайних по updates. См. тж. недавнее обсуждение
насчёт степени заинтересованности различных майнтейнеров в
различных бранчах и того, насколько это получается выяснить.
> Опять же нужен инструмент, который бы сформировал человеческий
> security advisory по данным внесённым в багзиллу. Или я всё
> усложняю?
IMHO немного да. Т.е. лучше начинать с малого, но полезного
и реализуемого, чем пытаться спроектировать всё и обломаться.
--
---- WBR, Michael Shigorin <mike на altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
Подробная информация о списке рассылки Security-team