Требуется создать отдельную категорию для регистрации мета-багов проблем с безопасностью в программах из репозитория Sisyphus и продуктов на его основе. Принцип работы с проблемами безопасности можно взять аналогичный, например, в Fedora: * Мета-баг регистрируется на продукт "Security" * Заголовок должен содержать зарегистрированное имя для проблемы в базе CVE, например, "CVE-2009-1573: xvfb-run places the magic cookie on the command line". Если номер CVE для проблемы ещё не существует, то заголовок составляется без этого номера, но как только номер появиться - заголовок должен быть изменён в соответствии с этим правилом. * Мета-баг всегда публично доступен * Исполнитель для мета-бага ставится на security-team@ * Для мета-бага устанавливается ключевое слово "security" После этого на каждый соответствующий продукт (Sisyphus, branchXX, ...) на пакеты развешивается отдельный баг, со следующими обязательными условиями: * На баг ставится зависимость от мета-бага * Исполнителем назначается текущий майнтейнер пакета в данном продукте * Описание бага не должно содержать информации о уязвимости, должна быть просто ссылка на мета-баг и собственно информацию о том как решить проблему * Для бага устанавливается ключевое слово "security"
Кто будет этот workflow поддерживать? Кроме этого, я не понимаю, что это даёт по сравнению с текущей ситуацией.
Ключевое слово в данном контексте не решает никаких проблем кроме, быть может, обратной совместимости с предыдущим workflow. Максимум -- возможность свободной подвески на другие ошибки, (не связанные зависимостями с security) -- но опять только теми, у кого editbugs. Возможно, надо сделать шаг назад и описать задачу. Например "Пользователь, считающий что столкнулся с проблемой безопасности (найденной самостоятельно или прочтенной уже с CVE) должен иметь возможность зарегистрировать ошибку в b.a.o, автоматически привлечь к ней внимание соответствующей рабочей группы, сделать ее до поры невидимой остальным и облегчить эскалацию майнтейнером пакета в исходный продукт."
(В ответ на комментарий №1) > Кто будет этот workflow поддерживать? security-team@. Пока просто группа заинтересованных заниматься безопасностью в ALT. > > Кроме этого, я не понимаю, что это даёт по сравнению с текущей ситуацией. Текущая ситуация - это отсутствие какой-либо информации о том, что происходит в репозиториях ALT в плане безопасности. Какая-то работа ведётся, но она делается молча и не охватывает всю пакетную базу. Если вопрос зачем нужна сущность "продукт Security" и зачем нужен мета-баг, то это очевидно: есть ошибка, которая может касаться пакетов в разных репозиториях и может относиться к нескольким разным пакетам, разделяющие какой-то общий код, в котором обнаружена ошибка. Чтобы собрать воедино все эти хвосты и нужен мета-баг, который свяжет эти баги в одну связку. Теперь достаточно одной ссылки и можно увидеть как была решена проблема и где. Список мета-багов на продукт Security - это готовый список всех решённых/нерешённых проблем с безопасностью в репозиториях ALT.
Тогда я жду заявлений кого-либо из Security Team (а кто в неё входит, кстати?), что им такое нужно и они будут этим заниматься. Создать неиспользуемый продукт просто, но непонятно, зачем.
Я специалист ИБ только по основному месту работы, в этом смысле могу высказать свое экспертное мнение. к Alt Linux отношения не имею. В Open Source я не более чем специалист по функционалу Bugzilla. По существу заявки: пока не вижу ничего кроме попытки заново изобрести SIRIOS. Или скажем Transifex (только в смысле модели, а не назначения) В качестве альтернативного подхода -- могу предложить обсудить реализацию этого дела в bugzilla.mozilla.org, где работают несколько Security teams (Firefox, собсно Bugzilla...). Где у вас подходящее место для обсуждения workflow -- не знаю
Вероятно, в районе sisyphus@lists.a.o
давайте обсудим. изначально эту тему я поднял здесь: http://lists.altlinux.org/pipermail/security-team/2009-April/000908.html , где возникло предложение использовать для этих целей bugzilla, возможно адаптировать её соответствующим образом...
ping Считает ли кто-нибудь целесообразным возобновить обсуждение вопроса о процессе работы над регистрацией и исправлением проблем безопасности в продуктах sisyphus? Или закрыть багу?
ping
Может быть, конечно, я вас не понял, но мне кажется, что мета-баги и тем более специальный продукт -- это лишняя сущность. Если одинаковый уязвимый код присутствует в нескольких пакетах, что бывает относительно редко, то все равно на каждый из них хорошо бы повесить отдельный баг.
актуально или закрывать?
Закрывать
Закрываю
