[Security-team] security-team policy

Vladimir Lettiev thecrux на gmail.com
Чт Апр 30 13:54:33 MSD 2009 

30 апреля 2009 г. 12:24 пользователь Michael Shigorin
<mike на osdn.org.ua> написал:
> On Tue, Apr 28, 2009 at 09:08:53AM +0400, Vladimir Lettiev wrote:
>> Предположим обнаружена уязвимость в пакете foo. foo
>> присутствует в sisyphus, и во всех поддерживаемых бранчах.
>> Как мне повесить баг на всех этих foo?
>
> Огульно вешать нельзя, дыры бывают внесёнными в относительно
> недавние версии.

да, надо проверять, но вешать руками несколько одинаковых багов на
разные ветки утомит после пары-тройки раз.

>
>> Вдруг выясняется, что из исходников foo собираются бинарные
>> пакеты libfoo и foo-tools, каждый из которых уязвим, на кого
>> повесить баг?
>
> На исходник, думаю.

а разве на исходник можно? пробовал повесить на wireshark недавно
багу, а ajax-подсказка показала, что wireshark нет, есть только
wireshark-base и подобное (только бинарники)

>> Нужен хотя бы какой-то посреднический инструмент, который по
>> имени src пакета выстрелит в багзиллу набором багов по всем
>> реинкарнациям foo + сделает один мета-баг на сущность
>> "security", зависяший от всех остальных багов.
>
> В текущей ситуации это приведёт лишь к плождению висяков --
> до назначения крайних по updates.  См. тж. недавнее обсуждение
> насчёт степени заинтересованности различных майнтейнеров в
> различных бранчах и того, насколько это получается выяснить.

майнтейнеры могут быть незаинтересованы в бранчах, это их право. Я
говорю о тех добровольцах, что вызовутся быть исправляющими и
тестерами на конкретном бранче. Если таких не обнаруживается, то баг
закрывается как WONTFIX и в анонсе делается упоминание о том, что
такие-то бранчи не содержат исправления.

>> Опять же нужен инструмент, который бы сформировал человеческий
>> security advisory по данным внесённым в багзиллу.  Или я всё
>> усложняю?
>
> IMHO немного да.  Т.е. лучше начинать с малого, но полезного
> и реализуемого, чем пытаться спроектировать всё и обломаться.

пока проектирую инструмент удобный для себя, так что не боюсь обломаться.

-- 
Vladimir Lettiev aka crux <theCrux на gmail.com>

Подробная информация о списке рассылки Security-team