[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?

On 27.Jun 2005 - 22:36:27, Ingo Juergensmann wrote:
> On Mon, Jun 27, 2005 at 10:13:42PM +0200, Daniel Leidert wrote:
> 
> > Lies Matt Zimmermann selbst: <4k6x5-8tj-39@gated-at.bofh.it>
> > bzw.
> > http://groups.google.de/group/linux.debian.security/msg/3a68e42bad6d9907?dmode=source
> > Dann stellt sich mir nur die Frage, warum diese Leute immer noch als
> > Mitglied des Teams geführt werden, wenn das Team so eigentlich schon
> > lange nicht mehr existiert. Wie können Leute, die "de facto inactive for
> > various reasons" sind, eigentlich "A strong level of trust" erreichen?
> 
> Inaktiv != zuruecktreten/Posten abgeben

Da sollte es einen Mechanismus geben, so dass jemand nach einer gewissen
Zeit von Inaktiv in Zuruecktreten ueberfuehrt wird...

> Es ist ein Unterschied zwischen "Hey, ich bin momentan mit was anderem
> ausgelastet und kann deswegen fuer einen gewissen Zeitraum nicht im Team
> mitarbeiten." und "Hey, ich kann leider den Posten nicht mehr so ausfuellen,
> wie es noetig waere und trete deshalb lieber von diesem Posten zurueck, um
> den Weg fuer jemand anderes freizumachen, der sich mehr einbringen kann als
> ich."

Ja, vollkommen klar (mir jedenfalls) und auch vollkommen in Ordnung,
wenn die Leute das letztere auch wirklich sagen.

> Wenn Matt nur von "inactive" redet, aber letztendlich sich gar nicht mehr
> involviert, dann sollte er zuruecktreten und dies auch kundtun. Letztendlich
> ist er selber schuld, wenn andere Leute ihn noch zum Team zaehlen. 

IMHO ist er nicht alleine Schuld, es ist natuerlich nicht sehr
verantwortungsvoll von ihm dies nicht kund zu tun. Andersrum muessen
aber die entsprechenden Leute bei Debian sich auch mal ein wenig
umgucken ob denn die DD's auch wirklich was tun. Klaro ist das alles
Freiwillig und wie schon gesagt bei normalen DD's sollte da auch kein
Druck herrschen. Aber wer im Security-Team arbeitet (oder an anderen
wichtigen Stellen im Team) der sollte auch Druck bekommen, entweder was
zu tun oder den Posten aufzugeben.

> > Wenn wegen hauptamtlicher Inaktivität der Team-Mitglieder, exploitbare
> > Anwendungen/Pakete nicht gefixt werden, kann man wohl kaum von
> > "Vertrauen" sprechen, andernfalls hätten wir diese Situation und diese
> > Diskussionen nicht. Wer hat da versagt? Und BTW: Ich stimme Andreas zu:
> > Sagt den Leuten "Danke" und entlasst sie höflich aus dem Security-Team.
> > Wenn dann nur noch Martin 'Joey' Schulze als einziges Mitglied auf der
> > Liste steht, ändert sich vielleicht was (und das hoffentlich schnell).
> 
> Aber auch dann bleibt ein generisches Problem bei Debian bestehen: man
> wartet, bis irgendwann ein Freiwilliger zufaelligerweise sich mal selber
> aufrafft und taetig wird.

Jetzt ernsthaft? Mein Einblick in die Interna des Projekts sind
reichlich beschraenkt (nur das was man hier manchmal so mitkriegt), aber
ich dachte wengistens bei solchen Dingen wie Sec-Team gaebe es so ne Art
Call-For-DD's auf debian-devel, wo halt das Projekt die Entwickler fragt
ob sie nicht ein bisschen Zeit für Security-Fixes übrig haben...

Andreas

PS: Ach Ingo, sag mal kannst du das CC an mich abstellen?

-- 
You are sick, twisted and perverted.  I like that in a person.
Reply to: