R: DEBIAN - Supporto OS e cybersecurity

To: "'Giuseppe Sacco'" <giuseppe@sguazz.it>, <debian-italian@lists.debian.org>
Subject: R: DEBIAN - Supporto OS e cybersecurity
From: <l.sillari@prc-el.it>
Date: Mon, 24 Jun 2024 11:19:06 +0200
Message-id: <!&!AAAAAAAAAAAYAAAAAAAAAOqcFT9ugoNNi94xMyFuPpHCgAAAEAAAAKKrSDSMNxpJhK0/Qpu1fU0BAAAAAA==@prc-el.it>
In-reply-to: <[🔎] 6de54c05adaf62de87dec7dc4f59ea603e33fca3.camel@sguazz.it>
References: <!&!AAAAAAAAAAAYAAAAAAAAAOqcFT9ugoNNi94xMyFuPpHCgAAAEAAAAOd2a+vpkb5IkCqSK7JI7scBAAAAAA==@prc-el.it> <[🔎] 6de54c05adaf62de87dec7dc4f59ea603e33fca3.camel@sguazz.it>

Ciao Giuseppe,
innanzi tutto volevo ringraziarti per il Tuo contributo.
In riferimento alla Tua risposta :

> quando hai un pacchetto Debian supportato (normale o LTS) allora tutti i problemi di sicurezza pubblici sono gestiti dal 
> supporto con aggiornamenti a impatto minimo. Se il software è ancora mantenuto anche upstream, allora la patch sarà quella > realizzata upstream (con eventuali aggiustamenti per Debian), altrimenti verrà fatta apposta dal supporto Debian

Mi stai dicendo che nel caso di pacchetti software in EOL, come l'esempio di nodejs ver.12 in DB11, eventuali problemi di sicurezza verranno eseguiti direttamente dal supporto Debian. Ho capito bene?

La mia perplessità però rimane. Anche se degli sviluppatori Debian modificassero il codice per eliminare le criticità, rimane il dubbio su chi rileva queste criticità.
Penso che su pacchetti in EOL non si ponga la dovuta attenzione ad eventuale falle sulla sicurezza, ma ci si limiti ad eseguire dei test sulle versione mantenute.
Tu hai esperienza diretta in questi casi? Puoi fornirmi esempi di patch di sicurezza rilasciate da Debian anche in caso di pacchetti in EOL?

Luca  

-----Messaggio originale-----
Da: Giuseppe Sacco <giuseppe@sguazz.it> 
Inviato: lunedì 24 giugno 2024 10:26
A: debian-italian@lists.debian.org
Oggetto: Re: DEBIAN - Supporto OS e cybersecurity

Ciao Luca,

Il giorno dom, 23/06/2024 alle 10.34 +0200, l.sillari@prc-el.it ha scritto:
> Buongiorno a tutti,
> Vi scrivo per ricevere dei chiarimenti sul concetto di supporto 
> offerto da Debian.
[...]

quando hai un pacchetto Debian supportato (normale o LTS) allora tutti i problemi di sicurezza pubblici sono gestiti dal supporto con aggiornamenti a impatto minimo. Se il software è ancora mantenuto anche upstream, allora la patch sarà quella realizzata upstream (con eventuali aggiustamenti per Debian), altrimenti verrà fatta apposta dal supporto Debian.

Il tutto considerando che viene fatto da volontari, quindi più un pacchetto è utilizzato, più ci sono sviluppatori, più velocemente arrivano gli aggiornamenti.

Ciao,
Giuseppe

Reply to:

Follow-Ups:
- Re: R: DEBIAN - Supporto OS e cybersecurity
  - From: Giuseppe Sacco <giuseppe@sguazz.it>

References:
- DEBIAN - Supporto OS e cybersecurity
  - From: <l.sillari@prc-el.it>
- Re: DEBIAN - Supporto OS e cybersecurity
  - From: Giuseppe Sacco <giuseppe@sguazz.it>

Prev by Date: Re: Portatile con processore RISC-V + Debian
Next by Date: Re: Portatile con processore RISC-V + Debian
Previous by thread: Re: DEBIAN - Supporto OS e cybersecurity
Next by thread: Re: R: DEBIAN - Supporto OS e cybersecurity
Index(es):
- Date
- Thread