Re: Tempi di rilascio fix security per alcuni pacchetti

To: debian-italian@lists.debian.org
Subject: Re: Tempi di rilascio fix security per *alcuni* pacchetti
From: "dea" <dea@corep.it>
Date: Thu, 1 Mar 2012 18:32:02 +0100
Message-id: <[🔎] 20120301171339.M27348@corep.it>
In-reply-to: <[🔎] 4F4F99A8.2070008@gmail.com>
References: <201201302341.45010.in3dzz@gmx.de> <201202032151.15816.in3dzz@gmx.de> <[🔎] CAC2nX3nD+BCqoH9hAS5ZPCcVLucgQB2gOv5fqsk56nuP=4RdsQ@mail.gmail.com> <[🔎] 201203011224.56191.in3dzz@gmx.de> <[🔎] 20120301113213.M48515@corep.it> <[🔎] 20120301114816.M13236@corep.it> <[🔎] 4F4F6CF9.3010605@gmail.com> <[🔎] 20120301123946.M64742@corep.it> <[🔎] 4F4F99A8.2070008@gmail.com>

[mega cut]

Dario che dire.. non posso contraddire ogni singola tua parola, è
assolutamente corretto quanto dici.

:)

Capisco molto bene che la gestione della security non sia affatto facile,
lavorare in security Stable è una responsabilità ENORME, quindi posso capire
che chi rilascia non controlli una volta, ma "n".

Da molti anni sono abbonato a Secunia e noto che i rilasci security Debian
sono praticamente allineati a quelli delle altre distro, non noto scompensi.
Nel 90% dei casi uso applicativi Debian stable (sui server) mentre nel
rimanente 10% uso applicativi gestiti "a mano", come Moodle, Limesurvey, ecc.

Va da se che questa soluzione offre più flessibilità ma anche più
responsabilità (devi essere iscritto alle ML di sicurezza, ecc.), non usi i
pacchetti già pronti di "mamma" Debian che ti aiuta a gestire l'intero
sistema, quindi devi fare tu.

E' qui che ho notato il ritardo tra i rilasci di security, proprio con il
software applicativo, marginale se vogliamo. 
Moodle non è altro che un corposo insieme di codice PHP che si appoggia a
diversi servizi ed è per questo che mi sono chiesto... se la gestione delle
patch la fa il team principale, se la loro applicazione non può influenzare
altri pacchetti (se fosse un demone o PHP stesso sarebbe un bel problema, ma
un applicativo PHP totalmente a se stante, no), come può essere così lunga la
gestazione ?

Come dicevo non ho notato disallineamenti verso altri pacchetti, bene o male
quando c'è un bug di security in Apache (per esempio) le distro inserite in
Secunia rilasciano praticamente in parallelo.

Poi l'idea di inserire un indice di responsività nella gestione delle patch di
security può essere interessante o meno, ma per un patito di statistiche come
lo sono io... già mi farebbe brillare gli occhi.

Immagino una situazione come UniRO che ha appunto all'Università di Roma la
più grande installazione di Moodle con migliaia e migliaia di utenti.
Potrebbe avere dei sistemi unpatched per 52 giorni con le specifiche pubbliche
dei bachi di sicurezza ? Penso di no. Probabilmente non riuscirei a gestire un
sistema così, mi verrebbero le palpitazioni.

:)

Luca

Reply to:

References:
- Re: debian squeeze squid3 e antivirus
  - From: Dario Pilori <penguin90@gmail.com>
- Re: debian squeeze squid3 e antivirus
  - From: Luigi di Lazzaro <in3dzz@gmx.de>
- Re: debian squeeze squid3 e antivirus
  - From: "dea" <dea@corep.it>
- Tempi di rilascio fix security per *alcuni* pacchetti
  - From: "dea" <dea@corep.it>
- Re: Tempi di rilascio fix security per *alcuni* pacchetti
  - From: Dario <dario.java@gmail.com>
- Re: Tempi di rilascio fix security per *alcuni* pacchetti
  - From: "dea" <dea@corep.it>
- Re: Tempi di rilascio fix security per *alcuni* pacchetti
  - From: Dario <dario.java@gmail.com>

Prev by Date: Re: Tempi di rilascio fix security per *alcuni* pacchetti
Next by Date: File server
Previous by thread: Re: Tempi di rilascio fix security per *alcuni* pacchetti
Next by thread: Re: debian squeeze squid3 e antivirus
Index(es):
- Date
- Thread

Re: Tempi di rilascio fix security per *alcuni* pacchetti

Re: Tempi di rilascio fix security per alcuni pacchetti