Re: Tempi di rilascio fix security per *alcuni* pacchetti
Il 01/03/2012 13:02, dea ha scritto:
[cut]
Background:
Uso un server Debian per erogare corsi on-line utilizzando la diffusissima
piattaforma Moodle.
La macchina è una 100% stable ma il pacchetto Moodle non è quello di Debian,
lo seguo e lo aggiorno dal sito ufficiale.
[cut]
Ora mi chiedo:
Dal rilascio pubblico delle patch al pacchetto Debian corretto sono passati 52
giorni.
Sbaglierò qualcosa io, ma penso sarebbe meglio *NON* includere un pacchetto
mantenuto con tempi di risposta così lunghi, non sarebbe meglio dire:
Vuoi questo software su Debian ? Installa queste dipendenze, quindi scarichi
il sorgente dal sito ufficiale.
Sarà una mia idea ed aprirà certo dei flame, ma penso sia meglio.. "pochi
pacchetti ma buoni e ben mantenuti" piuttosto che il contrario.
E' solo una mia idea ?
Luca comprendo il tuo pensiero, ed in fattore di "sicurezza" lo
sposo volentieri.
Esprimo un mio pensiero, al di là del singolo caso Debian - stable
Te in questo arco di tempo ti sei focalizzato "solamente" su Moodle,
ma nello stesso arco di tempo, quanti altri pacchetti hanno sofferto
di problemi di "sicurezza", anche ben più gravi?
Vero è che gli sviluppatori, in questo esempio Moodle, hanno provveduto
alle patch, ma quante volte una patch genera ulteriori errori e magari
più gravi rispetto a quelli che doveva risolvere?
(Vedasi di recente il caso di una patch per PHP ....)
Considerando il lavoro volontario, i tempi di test,
non dimenticando che bisogna pure esaminare se le varie patch di
aggiornamento possano influire su altri pacchetti forniti con Debian,
50 giorni per me non sono molti (1 mese e mezzo circa) IMHO.
Ovvio che, se per me il software X è cruciale, io che lo gestisco
farò in modo di mantenerlo al meglio delle mie capacità, come
giustamente fai avendolo installato manualmente e seguendone i vari
bollettini di sicurezza.
Ma, dovresti seguirne anche di tutti gli altri, ossia tutti quelli
che riguardano gli applicativi che sono sul tuo sistema.
Richiede tempo :-)
Alla fine si deve per forza raggiunge un compromesso fra
tempo + capacità + risorse uomo e mantenimento sicurezza del proprio
sistema (che non sarà mai 100% sicuro) sempre IMHO.
Dario
Reply to: