Bug 20026 - [FR] Создать продукт "Security" для регистрации проблем безопасности
: [FR] Создать продукт "Security" для регистрации проблем безопасности
Status: NEW
: Infrastructure
(All bugs in Infrastructure/bugzilla.altlinux.org)
: unspecified
: all Linux
: P3 enhancement
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2009-05-13 15:59 by
Modified: 2011-02-26 01:16 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2009-05-13 15:59:49
Требуется создать отдельную категорию для регистрации мета-багов проблем с
безопасностью в программах из репозитория Sisyphus и продуктов на его основе.

Принцип работы с проблемами безопасности можно взять аналогичный, например,  в
Fedora:
 * Мета-баг регистрируется на продукт "Security"
 * Заголовок должен содержать зарегистрированное имя для проблемы в базе CVE,
например, "CVE-2009-1573: xvfb-run places the magic cookie on the command
line". Если номер CVE для проблемы ещё не существует, то заголовок составляется
без этого номера, но как только номер появиться - заголовок должен быть изменён
в соответствии с этим правилом.
 * Мета-баг всегда публично доступен
 * Исполнитель для мета-бага ставится на security-team@
 * Для мета-бага устанавливается ключевое слово "security"

После этого на каждый соответствующий продукт (Sisyphus, branchXX, ...) на
пакеты развешивается отдельный баг, со следующими обязательными условиями:
 * На баг ставится зависимость от мета-бага
 * Исполнителем назначается текущий майнтейнер пакета в данном продукте
 * Описание бага не должно содержать информации о уязвимости, должна быть
просто ссылка на мета-баг и собственно информацию о том как решить проблему
 * Для бага устанавливается ключевое слово "security"
------- Comment #1 From 2009-05-14 14:21:18 -------
Кто будет этот workflow поддерживать?

Кроме этого, я не понимаю, что это даёт по сравнению с текущей ситуацией.
------- Comment #2 From 2009-05-14 15:16:30 -------
Ключевое слово в данном контексте не решает никаких проблем кроме, быть может,
обратной совместимости с предыдущим workflow.  Максимум -- возможность
свободной подвески на другие ошибки, (не связанные зависимостями с security) --
но опять только теми, у кого editbugs.

Возможно, надо сделать шаг назад и описать задачу.  Например

 "Пользователь, считающий что столкнулся с проблемой безопасности (найденной 
 самостоятельно или прочтенной уже с CVE) должен иметь возможность 
 зарегистрировать ошибку в b.a.o, автоматически привлечь к ней внимание 
 соответствующей рабочей группы, сделать ее до поры невидимой остальным и 
 облегчить эскалацию майнтейнером пакета в исходный продукт."
------- Comment #3 From 2009-05-14 17:57:10 -------
(В ответ на комментарий №1)
> Кто будет этот workflow поддерживать?

security-team@. Пока просто группа заинтересованных заниматься безопасностью в
ALT.

> 
> Кроме этого, я не понимаю, что это даёт по сравнению с текущей ситуацией.

Текущая ситуация - это отсутствие какой-либо информации о том, что происходит в
репозиториях ALT в плане безопасности. Какая-то работа ведётся, но она делается
молча и не охватывает всю пакетную базу.

Если вопрос зачем нужна сущность "продукт Security" и зачем нужен мета-баг, то
это очевидно: есть ошибка, которая может касаться пакетов в разных репозиториях
и может относиться к нескольким разным пакетам, разделяющие какой-то общий код,
в котором обнаружена ошибка. Чтобы собрать воедино все эти хвосты и нужен
мета-баг, который свяжет эти баги в одну связку.
Теперь достаточно одной ссылки и можно увидеть как была решена проблема и где.
Список мета-багов на продукт Security - это готовый список всех
решённых/нерешённых проблем с безопасностью в репозиториях ALT.
------- Comment #4 From 2009-05-14 22:27:47 -------
Тогда я жду заявлений кого-либо из Security Team (а кто в неё входит, кстати?),
что им такое нужно и они будут этим заниматься.

Создать неиспользуемый продукт просто, но непонятно, зачем.
------- Comment #5 From 2009-05-15 09:52:17 -------
Я специалист ИБ только по основному месту работы, в этом смысле могу высказать
свое экспертное мнение.
к Alt Linux отношения не имею.
В Open Source я не более чем специалист по функционалу Bugzilla.

По существу заявки: пока не вижу ничего кроме попытки заново изобрести SIRIOS.
Или скажем Transifex (только в смысле модели, а не назначения)

В качестве альтернативного подхода -- могу предложить обсудить реализацию этого
дела в bugzilla.mozilla.org, где работают несколько Security teams (Firefox,
собсно Bugzilla...).  Где у вас подходящее место для обсуждения workflow -- не
знаю
------- Comment #6 From 2009-05-15 09:54:20 -------
Вероятно, в районе sisyphus@lists.a.o
------- Comment #7 From 2009-05-15 10:41:57 -------
давайте обсудим.

изначально эту тему я поднял здесь:
http://lists.altlinux.org/pipermail/security-team/2009-April/000908.html , где
возникло предложение использовать для этих целей bugzilla, возможно
адаптировать её соответствующим образом...
------- Comment #8 From 2010-09-23 21:22:26 -------
ping
Считает ли кто-нибудь целесообразным возобновить обсуждение вопроса о процессе
работы над регистрацией и исправлением проблем безопасности в продуктах
sisyphus? Или закрыть багу?
------- Comment #9 From 2011-02-23 09:49:10 -------
ping
------- Comment #10 From 2011-02-26 01:16:12 -------
Может быть, конечно, я вас не понял, но мне кажется, что мета-баги и тем более
специальный продукт -- это лишняя сущность.  Если одинаковый уязвимый код
присутствует в нескольких пакетах, что бывает относительно редко, то все равно
на каждый из них хорошо бы повесить отдельный баг.