[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?

Am Montag, den 27.06.2005, 20:52 +0200 schrieb Andreas Pakulat:
> On 27.Jun 2005 - 20:10:03, Ingo Juergensmann wrote:
> > On Mon, Jun 27, 2005 at 07:15:25PM +0200, Andreas Pakulat wrote:
> > 
> > > > Ich glaube immernoch daran, dass die bezahlte Arbeit an Ubuntu auch
> > > > Debian zu Gute kommt, auch wenn natürlich erstmal User von Debian
> > > > abgezogen werden. Aber seit wann wollen wir die Weltherrschaft?
> > > Natürlich nicht, es ging mir darum, das nach Aussage von Ingo DD's des
> > > Debian-Security-Teams sich ebend nicht um die Patches gekümmert haben,
> > > sondern lieber bei Ubuntu werkeln. Bei normalen DD's ist das ja auch Ok,
> > > aber das Sec-Team hat da einen etwas anderen Stellenwert IMHO. Wer dort
> > > drin steckt, sollte sich auch vorrangig darum kümmern und nicht um seine
> > > Pakete bei Ubuntu. 
> > 
> > Naja, so speziell hab ich das ja nun nicht auf das Security-Team bezogen.
> > Joey macht da schon sehr gute Arbeit - aber offensichtlich weitestgehend nur
> > Joey. Von den Logins fuer Security Builds auf Arrakis (meinem buildd
> > damals), war auch bloss Joey, der sich dort vornehmlich einloggte und was am
> > bauen war. Sehr sehr selten tauchte mal ein anderer aus dem Team auf, obwohl
> > alle einen Login hatten.  
> 
> Hmm, hab ich dich vllt. falsch verstanden... Von deinen Mails hatte ich
> den Eindruck das u.a. die Sec-Team-Mitglieder (oder ein Teil derer)
> einfach nicht mehr bei Debian was tun (obwohl sie immernoch die Posten
> innehaben) sondern weils mehr Spass macht (oder warum auch immer) an
> Ubuntu mitarbeiten.

Lies Matt Zimmermann selbst: <4k6x5-8tj-39@gated-at.bofh.it>
bzw.
http://groups.google.de/group/linux.debian.security/msg/3a68e42bad6d9907?dmode=source

Dann stellt sich mir nur die Frage, warum diese Leute immer noch als
Mitglied des Teams geführt werden, wenn das Team so eigentlich schon
lange nicht mehr existiert. Wie können Leute, die "de facto inactive for
various reasons" sind, eigentlich "A strong level of trust" erreichen?
Wenn wegen hauptamtlicher Inaktivität der Team-Mitglieder, exploitbare
Anwendungen/Pakete nicht gefixt werden, kann man wohl kaum von
"Vertrauen" sprechen, andernfalls hätten wir diese Situation und diese
Diskussionen nicht. Wer hat da versagt? Und BTW: Ich stimme Andreas zu:
Sagt den Leuten "Danke" und entlasst sie höflich aus dem Security-Team.
Wenn dann nur noch Martin 'Joey' Schulze als einziges Mitglied auf der
Liste steht, ändert sich vielleicht was (und das hoffentlich schnell).

MfG Daniel
Reply to: