Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
ja hallo erstmal,..
Am Montag, 27. Juni 2005 16:17 schrieb Philipp Kern:
> Jan Lühr wrote:
> > Auch dieser Bereich MUSS aber nach dem Debian social contract transparent
> > geführt werden. Dies ist - ohne Änderung des d-s-c - keine
> > Diskussionsgrundlage, sondern VERTRAGLICH vereinbart.
>
> Ach ja? Aber Bugs, die nicht im BTS stehen, weil sie noch nicht
> veröffentlicht sind, zählen nicht dazu:
>
> We will keep our entire bug report database open for public view at all
> times. Reports that people file online will promptly become visible to
> others.
Nein. Hier steht, dass die gesamte Bug Report Datenbank offen für die
öffentlichkeit ist.
Das Debian-Security-Team pflegt ihre eigene, inder die nicht offenen Dinge
behandelt werden.
Genau genommen heißt dies: Alles was ihr an Bugs veröffentlichen wollt, können
wir nicht unterbinden, aber alles was ihr nicht veröffentlichen könnt
veröffentlichen wir auch nicht.
Es ist nicht möglich den dsc so zu beugen, dass hier nur vom d-s-c gesprochen
wird.
Btw. Der D-S-C sieht vor, dass alle Probleme im debian bts gepostet werden.
Wenn offizielle Debian Kreise, dies nicht tun, trifft "We will not hide
problems" definitiv nicht zu.
> Koordination bei Sicherheitsupdates ist wichtig. Es zählt nicht, dass
> einer erster ist mit dem Fix, sondern eher, dass alle gleichzeitig den
> Bug fixen und somit der Zeitraum vom Bekanntwerden bis zum Fix möglichst
> gering gehalten wird. Das ist im Interessen aller.
Och ne - nicht full-disclosure gegen non-disclosure.
(Ich bin sowieso für ersteres)
fup2 /dev/null, falls fd vs. nd
Keep smiling
yanosz
Reply to: