Инцидент с проблемами безопасности в Debian | автор: admin | 9 апреля 2016
Категория: GNU/Linux
История началась с обращения разработчика популярного скринсейвера XScreenSaver к сопровождающим пакетной базы Debian, удалить его программу из дистрибутива. Пользователи Debian часто обращаются к автору программы по поводу ошибок и автору программы приходится объяснять что в новых версиях ошибки давно исправлены, но согласно политике Debian в хранилищах до сих пор остается устаревший XScreenSaver 2014 года. А политика Debian подразумевает использование только старого и проверенного временем софта. Я не знаю ни одного человека, который бы пользовался стабильным Дебианом (Debian stable).
Если вы думаете что в линуксе можно как и в виндовс просто скачать и установить последний выпуск программы, то глубоко заблуждаетесь. Во первых, многие линукс разработчики специально или преднамеренно забывают выложить готовый скомпилированный софт, они ограничиваются лишь архивом исходного кода. Во вторых, даже если разработчик и выложит готовый бинарник, вряд ли он у вас запуститься. Ибо в лучшем случае, вам придется доустановить необходимые библиотеки. В худшем случае подходящих библиотек просто не окажеться в вашем дистрибутиве, и тогда вам придётся либо собрать их самостоятельно, либо сменить дистрибутив.
Ранее разработчик XScreenSaver добавил в программу вывод уведомления о новой версии, но сопровождающие Debian удалили это объявление, чтобы не нервировать пользователей, с нетерпением ждущих когда же сопровождающие Debian удосужаться обновить пакет. Сразу стоит заметить что обновить только один пакет не всегда возможно, могут нарушиться зависимости. В большинстве случаев, без обновления всей пакетной базы невозможно обновить один конкретный пакет.
Пользователи отправляют сообщения об ошибках в Дебиан, откуда их посылают к разработчикам программ. Тем самым сопровождающие впустую тратят время на закрытие обращений пользователей, а разработчики на объяснения пользователям что ошибка исправлена уже не первый год. Страдает и репутация проектов.
К этому конфликту привлёк внимание Мэтью Гаррет, один из директоров Фонда Свободного ПО и известный разработчик ядра GNU/linux. Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия. Порой, разработчики специально не выделяют устранение уязвимостей отдельно, или даже не догадываются, что исправленная ими ошибка могла использоваться злоумышленником. Зачастую, для этого нужно проводить аудит.
Мейнтейнеры Debian же не вникают подробно в каждое изменение кода в апстриме и не переносят такие не очевидные исправления к себе, поскольку, с виду, исправленная ошибка не имеет отношения к безопасности.
Прочитано 90925 раз
История началась с обращения разработчика популярного скринсейвера XScreenSaver к сопровождающим пакетной базы Debian, удалить его программу из дистрибутива. Пользователи Debian часто обращаются к автору программы по поводу ошибок и автору программы приходится объяснять что в новых версиях ошибки давно исправлены, но согласно политике Debian в хранилищах до сих пор остается устаревший XScreenSaver 2014 года. А политика Debian подразумевает использование только старого и проверенного временем софта. Я не знаю ни одного человека, который бы пользовался стабильным Дебианом (Debian stable).
Если вы думаете что в линуксе можно как и в виндовс просто скачать и установить последний выпуск программы, то глубоко заблуждаетесь. Во первых, многие линукс разработчики специально или преднамеренно забывают выложить готовый скомпилированный софт, они ограничиваются лишь архивом исходного кода. Во вторых, даже если разработчик и выложит готовый бинарник, вряд ли он у вас запуститься. Ибо в лучшем случае, вам придется доустановить необходимые библиотеки. В худшем случае подходящих библиотек просто не окажеться в вашем дистрибутиве, и тогда вам придётся либо собрать их самостоятельно, либо сменить дистрибутив.
Ранее разработчик XScreenSaver добавил в программу вывод уведомления о новой версии, но сопровождающие Debian удалили это объявление, чтобы не нервировать пользователей, с нетерпением ждущих когда же сопровождающие Debian удосужаться обновить пакет. Сразу стоит заметить что обновить только один пакет не всегда возможно, могут нарушиться зависимости. В большинстве случаев, без обновления всей пакетной базы невозможно обновить один конкретный пакет.
Пользователи отправляют сообщения об ошибках в Дебиан, откуда их посылают к разработчикам программ. Тем самым сопровождающие впустую тратят время на закрытие обращений пользователей, а разработчики на объяснения пользователям что ошибка исправлена уже не первый год. Страдает и репутация проектов.
К этому конфликту привлёк внимание Мэтью Гаррет, один из директоров Фонда Свободного ПО и известный разработчик ядра GNU/linux. Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия. Порой, разработчики специально не выделяют устранение уязвимостей отдельно, или даже не догадываются, что исправленная ими ошибка могла использоваться злоумышленником. Зачастую, для этого нужно проводить аудит.
Мейнтейнеры Debian же не вникают подробно в каждое изменение кода в апстриме и не переносят такие не очевидные исправления к себе, поскольку, с виду, исправленная ошибка не имеет отношения к безопасности.
ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 9 апреля 2016-го года !
Прочитано 90925 раз