Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Buenas,
On Sun, Jan 17, 2010 at 10:29:50AM -0800, Rodrigo Gallardo wrote:
> On Sun, Jan 17, 2010 at 03:25:43PM +0100, ga wrote:
> >
> > On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera wrote:
> > >
> > > Hasta que punto es auditable que el .deb que descargamos coincida
> > > 100% con el código fuente publicado?
> >
> > [Un paquete upstream podría añadir un backdor entre versiones]
> >
> > Si un desarrollador de Debian ve que hay una versión nueva del programa
> > que mantiene, se baja las fuentes, lo empaqueta y lo sube, sin hacer
> > nada más, el paquete será un .deb perfectamente válido, pero con una
> > bonita puerta trasera.
>
> (Aquí si me siento personalmente ofendido)
>
> No, la mayoría de los empaquetadores no hacen eso. ¿Alguna vez has
> notado que las nuevas versiones tardan más de 15 minutos en estar
> empaquetadas? ¿Te has preguntado por qué? La respuesta, en muchas
> ocasiones, es precisamente que el mantenedor no va a simplemente
> cambiar el .orig.tar.gz y compilar. Hay que leer el diff, entender (a
> grandes razgos, por lo menos) qué cambió, actualizar los parches
> (algunos de seguridad) que se le aplican al paquete. Sí, hay gente que
> no hace eso, y también es posible que uno meta la pata. Pero, en
> general, ese comentario tuyo es una falta de respeto a la gran mayoría
> de los empaquetadores.
Pues no quería que te sintieras ofendido (ni nadie) por ninguno de mis
comentarios, simplemente es una posibilidad, somos humanos :).
Nos gusta Debian, pero (personalmente) creo que ciertas cosas hay que
analizarlas friamente, sin el corazón en la mano.
Por cierto, mantengo un pequeño paquete, y no hago eso.
Saludos.
>
> --
> Rodrigo Gallardo
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
Reply to: