БагБаунти с АстраЛинукс или то, что нужно знать о защищённости защищённой ОС

Ну так это наверняка где-то прописано.

начал читать вода-водой, можно краткую выдержку что там за проблемы?

Поделить между всеми

С такой уравниловкой соревновательный дух упадёт.

Они хотя бы выкладывают сразу в паблик то, что уже найдено? Хотя бы краткое описание без подробностей.

А то ведь некоторые могли бы сказать, что якобы найдено уже то и то раньше всех, а по факту не раньше, а после получения писем :)

IMHO по итогам нужен какой-то перечень всех отправленных сообщений с никами передавших и точным временем, желательно с юридически значимыми метками времени на тексте оригинальных сообщений. Теоретически это не мешает перечислить несуществующие ники, якобы подавшие свои варианты раньше всех других реальных. Я конечно не утверждаю, что что-то подобное кто-то делает, но чисто теоретически такая возможность, наверно, существует?

Да все равно они козлы все. Я на тех же госуслугах и прочем дерьме кучу багов находил, когда я им писал, эти додики отвечали, что все норм и тп… Ну прошло каких-то два года и их взломали, данные слили, спам с серверов разослали… Они просто раньше никому особо не были нужны, так как эти Анти-Ланнистеры никогда не платят. И вообще оно верно для всего экс-совка. Еще забавнее негры. Помню читал как банк Зимбабве взломали, просили выкуп, негр сфоткал свой член и отослал его с предложением отсосать… В принципе культура на уровне негров. То что ОПу заплатили - это уже ПРОГРЕСС в мире этих животных

Капитан очевидность: уязвимости существуют всегда.

Да это требование какого-то закона бредового аудит проводить. Им для галки нужно чтобы букву закона соблюсти, а то из реестра отечественного по исключат

В любом случае идея здравая. Это как минимум обязывает использовать продукт юридического лица, который: по запросу будет обязан вносить известные исправления; не сможет отказаться от сопровождения продукта в пределах срока договора по желанию левой пятки и зажать оплаченные деньги.

Можешь аудит для ubuntu делать и предоставлять их дистрибутивы, тебе это никто не запретит.

Оно не имеет смысла. Да и эти продолжатели дела Дениски Жопова занимаются хотели срубить бабла по-быстрому и решили халявой торговать, которая вся опенсорс такая, а значит исходники открытые, доступные любому для изучения, а => разного рода сплойтов доступных для школоты пруд-пруди, если неадекваты в порыве законотворческого поноса потребуют разрабов возмещать ущерб от взломов, сия контора разорится в один день. Я считаю, что все кто паразитируют на госконтрактах уже сами по себе отрицательные персонажи. Условно -99 к карме. Мож поэтому я так реагирую, что они еще автора кидануть решили. От перетекания денег из их кармана в карман любого гражданина общество ничего не потеряет (деньги внутри страны крутятся), а у этих персонажей сверхприбыли, которые не снились наркоторговцам, маржа 1200%

Тут уже интересовались насчёт поддержки Debian. Максимум, что местные защитники «свободного рынка» выдавали в ответ - ссылку на «полтора землекопа», полтора в прямом смысле. На вопрос, как они смогут заниматься поддержкой организаций, ответ «откуда мне знать». Так что продолжай наблюдение.

Цитата, взятая с само-презентации компании звучит предвзято? В каком же месте?

По мне - должны были сделать нормальную выплату первому, кто зарепортил. По факту же, они поступили с ним не хорошо.

Они хотя бы выкладывают сразу в паблик то, что уже найдено?

Они могут разрешить это выложить, но должно пройти не менее 6 месяцев, на сколько я понимаю. Могут и не разрешить.

… желательно с юридически значимыми метками времени на тексте оригинальных сообщений

По идее, на Платформе багбаунти это реализовано. Конечно, врядли там присутствует юридическая значимость, но таймстемпы точно есть. И хронология может быть восстановлена, если что.

уязвимости существуют всегда

В данном случае уязвимости существовали >10 лет ввиду того, что у команды высококвалифицированных специалистов не нашлось компетенций провести ревью (аудит безопасности) кода ключевого механизма защиты, который был забесплатно (то есть даром) взят из Интернета где-то в районе 2006-2008 года и с того времени не менялся.

В данном случае уязвимости существовали >10 лет

и что? просто выборка, в Linux нет уязвимостей даже?

16.10.2023 Удалённо эксплуатируемая уязвимость в драйвере NVMe-oF/TCP из состава ядра Linux

11.10.2023 Уязвимости в библиотеках X.Org, две из которых присутствуют с 1988 года

03.10.2023 Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux

28.09.2023 Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере

19.09.2023 Критическая уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем

25.08.2023 Уязвимость в Linux-драйвере exFAT, позволяющая поднять привилегии в системе

19.07.2023 Удалённо эксплуатируемая уязвимость в OpenSSH ssh-agent

статья гавно, слишком пафосная, отсылка к drakylar - плач малометки. какие то намеки на IPO и стоимость акций в технической статье - просто глюпые до ужаса - щас RedHat по багзилле будем оценивать.

взят из Интернета где-то в районе 2006-2008 года и с того времени не менялся

и что? ты провел его аудит? да многие старые проекты на порядок лучше.. ваших новых перделок!

не нравится работа фстэк - пиши в роскомнадзор а не на пикабу.

и что? ты провел его аудит? да многие старые проекты на порядок лучше.. ваших новых перделок!

Да, я провёл его аудит. И на это у меня ушло достаточно мало времени. Более того эксплуатация оказалась тривиальной.

Да, я провёл его аудит.

да мне вообще пофиг если что :D живи с этим :D

теперь уже придётся, ага

Вот видишь, 15 лет кусок не менялся, никого он не беспокоит. Наверное за 15 лет во всём мире не нашлось специалистов это исправить.

Отнюдь. Просто разработку проекта digsig забросили еще в 2006 году, а Астра так и осталась сидеть на нем вместо того, чтобы задаться вопросом почему именно его больше не развивают и какие вообще есть альтернативы?

У вас в заголовке, в названии дистрибутива, буква «к» отвалилась.

Почему вы не оформили своё сообщение следующим образом?

Здравствуйте, уважаемые!

Я думаю вы должны оценить (авторство моё).

Ё-моё, вот это внимательность!

В чем разница?

Во втором случае текст сообщения лаконичнее.