[Security-team] security-team policy

[Michael Shigorin]

On Tue, Apr 28, 2009 at 09:08:53AM +0400, Vladimir Lettiev wrote:
> Предположим обнаружена уязвимость в пакете foo. foo
> присутствует в sisyphus, и во всех поддерживаемых бранчах.
> Как мне повесить баг на всех этих foo?

Огульно вешать нельзя, дыры бывают внесёнными в относительно
недавние версии.

> Вдруг выясняется, что из исходников foo собираются бинарные
> пакеты libfoo и foo-tools, каждый из которых уязвим, на кого
> повесить баг?

На исходник, думаю.

> Нужен хотя бы какой-то посреднический инструмент, который по
> имени src пакета выстрелит в багзиллу набором багов по всем
> реинкарнациям foo + сделает один мета-баг на сущность
> "security", зависяший от всех остальных багов.

В текущей ситуации это приведёт лишь к плождению висяков -- 
до назначения крайних по updates.  См. тж. недавнее обсуждение
насчёт степени заинтересованности различных майнтейнеров в
различных бранчах и того, насколько это получается выяснить.

> Опять же нужен инструмент, который бы сформировал человеческий
> security advisory по данным внесённым в багзиллу.  Или я всё
> усложняю?

IMHO немного да.  Т.е. лучше начинать с малого, но полезного
и реализуемого, чем пытаться спроектировать всё и обломаться.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/