20026 2009-05-13 15:59:49 +0400 [FR] Создать продукт "Security" для регистрации проблем безопасности 2021-06-30 13:58:05 +0300 1 1 2 Infrastructure Infrastructure bugzilla.altlinux.org unspecified all Linux CLOSED WONTFIX P3 enhancement --- 1 crux mcpain erthad inger ldv php-coder radik rider vitaly.fedrushkov dottedmag oldest_to_newest 91127 0 crux 2009-05-13 15:59:49 +0400 Требуется создать отдельную категорию для регистрации мета-багов проблем с безопасностью в программах из репозитория Sisyphus и продуктов на его основе. Принцип работы с проблемами безопасности можно взять аналогичный, например, в Fedora: * Мета-баг регистрируется на продукт "Security" * Заголовок должен содержать зарегистрированное имя для проблемы в базе CVE, например, "CVE-2009-1573: xvfb-run places the magic cookie on the command line". Если номер CVE для проблемы ещё не существует, то заголовок составляется без этого номера, но как только номер появиться - заголовок должен быть изменён в соответствии с этим правилом. * Мета-баг всегда публично доступен * Исполнитель для мета-бага ставится на security-team@ * Для мета-бага устанавливается ключевое слово "security" После этого на каждый соответствующий продукт (Sisyphus, branchXX, ...) на пакеты развешивается отдельный баг, со следующими обязательными условиями: * На баг ставится зависимость от мета-бага * Исполнителем назначается текущий майнтейнер пакета в данном продукте * Описание бага не должно содержать информации о уязвимости, должна быть просто ссылка на мета-баг и собственно информацию о том как решить проблему * Для бага устанавливается ключевое слово "security" 91163 1 dottedmag 2009-05-14 14:21:18 +0400 Кто будет этот workflow поддерживать? Кроме этого, я не понимаю, что это даёт по сравнению с текущей ситуацией. 91168 2 vitaly.fedrushkov 2009-05-14 15:16:30 +0400 Ключевое слово в данном контексте не решает никаких проблем кроме, быть может, обратной совместимости с предыдущим workflow. Максимум -- возможность свободной подвески на другие ошибки, (не связанные зависимостями с security) -- но опять только теми, у кого editbugs. Возможно, надо сделать шаг назад и описать задачу. Например "Пользователь, считающий что столкнулся с проблемой безопасности (найденной самостоятельно или прочтенной уже с CVE) должен иметь возможность зарегистрировать ошибку в b.a.o, автоматически привлечь к ней внимание соответствующей рабочей группы, сделать ее до поры невидимой остальным и облегчить эскалацию майнтейнером пакета в исходный продукт." 91178 3 crux 2009-05-14 17:57:10 +0400 (В ответ на комментарий №1) > Кто будет этот workflow поддерживать? security-team@. Пока просто группа заинтересованных заниматься безопасностью в ALT. > > Кроме этого, я не понимаю, что это даёт по сравнению с текущей ситуацией. Текущая ситуация - это отсутствие какой-либо информации о том, что происходит в репозиториях ALT в плане безопасности. Какая-то работа ведётся, но она делается молча и не охватывает всю пакетную базу. Если вопрос зачем нужна сущность "продукт Security" и зачем нужен мета-баг, то это очевидно: есть ошибка, которая может касаться пакетов в разных репозиториях и может относиться к нескольким разным пакетам, разделяющие какой-то общий код, в котором обнаружена ошибка. Чтобы собрать воедино все эти хвосты и нужен мета-баг, который свяжет эти баги в одну связку. Теперь достаточно одной ссылки и можно увидеть как была решена проблема и где. Список мета-багов на продукт Security - это готовый список всех решённых/нерешённых проблем с безопасностью в репозиториях ALT. 91183 4 dottedmag 2009-05-14 22:27:47 +0400 Тогда я жду заявлений кого-либо из Security Team (а кто в неё входит, кстати?), что им такое нужно и они будут этим заниматься. Создать неиспользуемый продукт просто, но непонятно, зачем. 91197 5 vitaly.fedrushkov 2009-05-15 09:52:17 +0400 Я специалист ИБ только по основному месту работы, в этом смысле могу высказать свое экспертное мнение. к Alt Linux отношения не имею. В Open Source я не более чем специалист по функционалу Bugzilla. По существу заявки: пока не вижу ничего кроме попытки заново изобрести SIRIOS. Или скажем Transifex (только в смысле модели, а не назначения) В качестве альтернативного подхода -- могу предложить обсудить реализацию этого дела в bugzilla.mozilla.org, где работают несколько Security teams (Firefox, собсно Bugzilla...). Где у вас подходящее место для обсуждения workflow -- не знаю 91198 6 dottedmag 2009-05-15 09:54:20 +0400 Вероятно, в районе sisyphus@lists.a.o 91211 7 crux 2009-05-15 10:41:57 +0400 давайте обсудим. изначально эту тему я поднял здесь: http://lists.altlinux.org/pipermail/security-team/2009-April/000908.html , где возникло предложение использовать для этих целей bugzilla, возможно адаптировать её соответствующим образом... 112613 8 crux 2010-09-23 21:22:26 +0400 ping Считает ли кто-нибудь целесообразным возобновить обсуждение вопроса о процессе работы над регистрацией и исправлением проблем безопасности в продуктах sisyphus? Или закрыть багу? 118714 9 radik 2011-02-23 09:49:10 +0300 ping 118847 10 ldv 2011-02-26 01:16:12 +0300 Может быть, конечно, я вас не понял, но мне кажется, что мета-баги и тем более специальный продукт -- это лишняя сущность. Если одинаковый уязвимый код присутствует в нескольких пакетах, что бывает относительно редко, то все равно на каждый из них хорошо бы повесить отдельный баг. 199725 11 mcpain 2021-06-30 12:57:25 +0300 актуально или закрывать? 199726 12 rider 2021-06-30 13:03:54 +0300 Закрывать 199734 13 mcpain 2021-06-30 13:58:05 +0300 Закрываю