Bug 20026

Summary: [FR] Создать продукт "Security" для регистрации проблем безопасности
Product: Infrastructure Reporter: Vladimir Lettiev <crux>
Component: bugzilla.altlinux.orgAssignee: Олег Соловьев <mcpain>
Status: CLOSED WONTFIX QA Contact: Mikhail Gusarov <dottedmag>
Severity: enhancement    
Priority: P3 CC: erthad, inger, ldv, php-coder, radik, rider, vitaly.fedrushkov
Version: unspecified   
Hardware: all   
OS: Linux   

Description Vladimir Lettiev 2009-05-13 15:59:49 MSD
Требуется создать отдельную категорию для регистрации мета-багов проблем с безопасностью в программах из репозитория Sisyphus и продуктов на его основе.

Принцип работы с проблемами безопасности можно взять аналогичный, например,  в Fedora:
 * Мета-баг регистрируется на продукт "Security"
 * Заголовок должен содержать зарегистрированное имя для проблемы в базе CVE, например, "CVE-2009-1573: xvfb-run places the magic cookie on the command line". Если номер CVE для проблемы ещё не существует, то заголовок составляется без этого номера, но как только номер появиться - заголовок должен быть изменён в соответствии с этим правилом.
 * Мета-баг всегда публично доступен
 * Исполнитель для мета-бага ставится на security-team@
 * Для мета-бага устанавливается ключевое слово "security"

После этого на каждый соответствующий продукт (Sisyphus, branchXX, ...) на пакеты развешивается отдельный баг, со следующими обязательными условиями:
 * На баг ставится зависимость от мета-бага
 * Исполнителем назначается текущий майнтейнер пакета в данном продукте
 * Описание бага не должно содержать информации о уязвимости, должна быть просто ссылка на мета-баг и собственно информацию о том как решить проблему
 * Для бага устанавливается ключевое слово "security"
Comment 1 Mikhail Gusarov 2009-05-14 14:21:18 MSD
Кто будет этот workflow поддерживать?

Кроме этого, я не понимаю, что это даёт по сравнению с текущей ситуацией.
Comment 2 Vitaly Fedrushkov 2009-05-14 15:16:30 MSD
Ключевое слово в данном контексте не решает никаких проблем кроме, быть может, обратной совместимости с предыдущим workflow.  Максимум -- возможность свободной подвески на другие ошибки, (не связанные зависимостями с security) -- но опять только теми, у кого editbugs.

Возможно, надо сделать шаг назад и описать задачу.  Например

 "Пользователь, считающий что столкнулся с проблемой безопасности (найденной 
 самостоятельно или прочтенной уже с CVE) должен иметь возможность 
 зарегистрировать ошибку в b.a.o, автоматически привлечь к ней внимание 
 соответствующей рабочей группы, сделать ее до поры невидимой остальным и 
 облегчить эскалацию майнтейнером пакета в исходный продукт."
Comment 3 Vladimir Lettiev 2009-05-14 17:57:10 MSD
(В ответ на комментарий №1)
> Кто будет этот workflow поддерживать?

security-team@. Пока просто группа заинтересованных заниматься безопасностью в
ALT.

> 
> Кроме этого, я не понимаю, что это даёт по сравнению с текущей ситуацией.

Текущая ситуация - это отсутствие какой-либо информации о том, что происходит в
репозиториях ALT в плане безопасности. Какая-то работа ведётся, но она делается
молча и не охватывает всю пакетную базу.

Если вопрос зачем нужна сущность "продукт Security" и зачем нужен мета-баг, то
это очевидно: есть ошибка, которая может касаться пакетов в разных репозиториях
и может относиться к нескольким разным пакетам, разделяющие какой-то общий код,
в котором обнаружена ошибка. Чтобы собрать воедино все эти хвосты и нужен
мета-баг, который свяжет эти баги в одну связку.
Теперь достаточно одной ссылки и можно увидеть как была решена проблема и где.
Список мета-багов на продукт Security - это готовый список всех
решённых/нерешённых проблем с безопасностью в репозиториях ALT.
Comment 4 Mikhail Gusarov 2009-05-14 22:27:47 MSD
Тогда я жду заявлений кого-либо из Security Team (а кто в неё входит, кстати?), что им такое нужно и они будут этим заниматься.

Создать неиспользуемый продукт просто, но непонятно, зачем.
Comment 5 Vitaly Fedrushkov 2009-05-15 09:52:17 MSD
Я специалист ИБ только по основному месту работы, в этом смысле могу высказать свое экспертное мнение.
к Alt Linux отношения не имею.
В Open Source я не более чем специалист по функционалу Bugzilla.

По существу заявки: пока не вижу ничего кроме попытки заново изобрести SIRIOS. Или скажем Transifex (только в смысле модели, а не назначения)

В качестве альтернативного подхода -- могу предложить обсудить реализацию этого дела в bugzilla.mozilla.org, где работают несколько Security teams (Firefox, собсно Bugzilla...).  Где у вас подходящее место для обсуждения workflow -- не знаю
Comment 6 Mikhail Gusarov 2009-05-15 09:54:20 MSD
Вероятно, в районе sisyphus@lists.a.o
Comment 7 Vladimir Lettiev 2009-05-15 10:41:57 MSD
давайте обсудим.

изначально эту тему я поднял здесь: http://lists.altlinux.org/pipermail/security-team/2009-April/000908.html , где возникло предложение использовать для этих целей bugzilla, возможно адаптировать её соответствующим образом...
Comment 8 Vladimir Lettiev 2010-09-23 21:22:26 MSD
ping
Считает ли кто-нибудь целесообразным возобновить обсуждение вопроса о процессе работы над регистрацией и исправлением проблем безопасности в продуктах sisyphus? Или закрыть багу?
Comment 9 Radik Usupov 2011-02-23 09:49:10 MSK
ping
Comment 10 Dmitry V. Levin 2011-02-26 01:16:12 MSK
Может быть, конечно, я вас не понял, но мне кажется, что мета-баги и тем более специальный продукт -- это лишняя сущность.  Если одинаковый уязвимый код присутствует в нескольких пакетах, что бывает относительно редко, то все равно на каждый из них хорошо бы повесить отдельный баг.
Comment 11 Олег Соловьев 2021-06-30 12:57:25 MSK
актуально или закрывать?
Comment 12 Anton Farygin 2021-06-30 13:03:54 MSK
Закрывать
Comment 13 Олег Соловьев 2021-06-30 13:58:05 MSK
Закрываю