Re: Tempi di rilascio fix security per alcuni pacchetti

To: debian-italian@lists.debian.org
Subject: Re: Tempi di rilascio fix security per *alcuni* pacchetti
From: Dario <dario.java@gmail.com>
Date: Thu, 01 Mar 2012 13:35:05 +0100
Message-id: <[🔎] 4F4F6CF9.3010605@gmail.com>
In-reply-to: <[🔎] 20120301114816.M13236@corep.it>
References: <201201302341.45010.in3dzz@gmx.de> <201202032151.15816.in3dzz@gmx.de> <[🔎] CAC2nX3nD+BCqoH9hAS5ZPCcVLucgQB2gOv5fqsk56nuP=4RdsQ@mail.gmail.com> <[🔎] 201203011224.56191.in3dzz@gmx.de> <[🔎] 20120301113213.M48515@corep.it> <[🔎] 20120301114816.M13236@corep.it>

Il 01/03/2012 13:02, dea ha scritto:

[cut]

Background:

Uso un server Debian per erogare corsi on-line utilizzando la diffusissima
piattaforma Moodle.
La macchina è una 100% stable ma il pacchetto Moodle non è quello di Debian,
lo seguo e lo aggiorno dal sito ufficiale.

[cut]

Ora mi chiedo:

Dal rilascio pubblico delle patch al pacchetto Debian corretto sono passati 52
giorni.
Sbaglierò qualcosa io, ma penso sarebbe meglio *NON* includere un pacchetto
mantenuto con tempi di risposta così lunghi, non sarebbe meglio dire:

Vuoi questo software su Debian ? Installa queste dipendenze, quindi scarichi
il sorgente dal sito ufficiale.
Sarà una mia idea ed aprirà certo dei flame, ma penso sia meglio.. "pochi
pacchetti ma buoni e ben mantenuti" piuttosto che il contrario.

E' solo una mia idea ?


Luca comprendo il tuo pensiero, ed in fattore di "sicurezza" lo
sposo volentieri.

Esprimo un mio pensiero, al di là del singolo caso Debian - stable

Te in questo arco di tempo ti sei focalizzato "solamente" su Moodle,
ma nello stesso arco di tempo, quanti altri pacchetti hanno sofferto
di problemi di "sicurezza", anche ben più gravi?

Vero è che gli sviluppatori, in questo esempio Moodle, hanno provvedutoalle patch, ma quante volte una patch genera ulteriori errori e magaripiù gravi rispetto a quelli che doveva risolvere?

(Vedasi di recente il caso di una patch per PHP ....)

Considerando il lavoro volontario, i tempi di test,

non dimenticando che bisogna pure esaminare se le varie patch diaggiornamento possano influire su altri pacchetti forniti con Debian,

50 giorni per me non sono molti (1 mese e mezzo circa) IMHO.

Ovvio che, se per me il software X è cruciale, io che lo gestisco

farò in modo di mantenerlo al meglio delle mie capacità, comegiustamente fai avendolo installato manualmente e seguendone i varibollettini di sicurezza.


Ma, dovresti seguirne anche di tutti gli altri, ossia tutti quelli
che riguardano gli applicativi che sono sul tuo sistema.

Richiede tempo :-)

Alla fine si deve per forza raggiunge un compromesso fra

tempo + capacità + risorse uomo e mantenimento sicurezza del propriosistema (che non sarà mai 100% sicuro) sempre IMHO.


Dario

Reply to:

Follow-Ups:
- Re: Tempi di rilascio fix security per *alcuni* pacchetti
  - From: "dea" <dea@corep.it>

References:
- Re: debian squeeze squid3 e antivirus
  - From: Dario Pilori <penguin90@gmail.com>
- Re: debian squeeze squid3 e antivirus
  - From: Luigi di Lazzaro <in3dzz@gmx.de>
- Re: debian squeeze squid3 e antivirus
  - From: "dea" <dea@corep.it>
- Tempi di rilascio fix security per *alcuni* pacchetti
  - From: "dea" <dea@corep.it>

Prev by Date: Tempi di rilascio fix security per *alcuni* pacchetti
Next by Date: Re: Tempi di rilascio fix security per *alcuni* pacchetti
Previous by thread: Tempi di rilascio fix security per *alcuni* pacchetti
Next by thread: Re: Tempi di rilascio fix security per *alcuni* pacchetti
Index(es):
- Date
- Thread

Re: Tempi di rilascio fix security per *alcuni* pacchetti

Re: Tempi di rilascio fix security per alcuni pacchetti