LINUX.ORG.RU

Дискуссия о потенциальных проблемах безопасности в Debian

 , ,


3

3

История началась с просьбы разработчика XScreenSaver к мейнтейнерам Debian удалить его программу из репозиториев дистрибутива. Автору программы надоело объяснять пользователям Debian, сообщающим об ошибках в XScreenSaver, что ошибки уже давно исправлены в новых версиях программы, но из-за политики Debian в репозиториях остаётся устаревшая версия программы (от 2014 года). Ранее разработчик даже добавил в XScreenSaver проверку обновлений и вывод уведомления о том, что на его сайте доступна свежая версия, но мейнтейнеры Debian написали патч, удаляющий это окно, чтобы не нервировать пользователей.

Пользователи создают сообщения об ошибках в багтрекере Debian, откуда их посылают с этими ошибками в апстрим к разработчикам программ. Тем самым, впустую тратится время мейнтейнеров (на закрытие багрепортов), пользователей (на сообщения об уже исправленных ошибках) и разработчиков (на разъяснения пользователям того, что ошибка уже не первый год, как исправлена). Страдает и репутация проектов.

К этому конфликту привлёк внимание сообщества Мэтью Гаррет, известный разработчик ядра Linux и один из директоров Фонда Свободного ПО. Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия. Порой, разработчики специально не выделяют устранение уязвимостей отдельно, или даже не догадываются, что исправленная ими ошибка могла использоваться злоумышленником. Зачастую, для этого нужно проводить аудит.

Мейнтейнеры Debian же не вникают подробно в каждое изменение кода в апстриме и не переносят такие неочевидные исправления к себе, поскольку, с виду, исправленная ошибка не имеет отношения к безопасности.

>>> Подробности

anonymous

Проверено: JB ()
Последнее исправление: JB (всего исправлений: 1)

в генте последний свежий блендер — за ноябрь 2014 года, по похожей причине.

kep
()

Вообще, проблема поднята интересная. С одной стороны, разработчик. Он пишет этот софт. Он не против, чтобы этот софт распространялся под свободной лицензией. Но когда политика дистрибутива, который в этот софт ни грамма кода не внёс, приводит к тому, что на голову разработчика начинают, простите, срать, это тоже неправильно. Это поведение потребителя. И бог бы с ним, но это поведение наглого потребителя. Ты там, чувак, горбаться, а мы будем тебе создавать неудобства. Почему? А потому что право имеем.

Быть наглецом, конечно, можно. Но «можно» это далеко не всегда «правильно».

anonymous
()

В топку дебиан, софт как говно мамонта. Я думаю он там может быть не рабочим в силу древности.

Gibson1980 ★★
()
Ответ на: комментарий от Gibson1980

В топку (убунту|центос|слакварь|даже федора|...), софт как говно мамонта...

Проблема уже сотню раз всплывала. При всём удобстве репозиториев, у них есть масса недостатков. Один из них - назван в новости.

pod ★★
()
Последнее исправление: pod (всего исправлений: 1)
Ответ на: комментарий от Gibson1980

В красношляпе еще древнее, и, прикинь, на этом серьёзно работают. Дело не в древности софта, а в том, что стухший софт не убирают/обновляют.

crutch_master ★★★★★
()
Последнее исправление: crutch_master (всего исправлений: 1)

в стабильной версии дебиана после загрузки выскакивает этот самый хскринсейвер и говорит что он устарел. проблема тут даже не в старости софта а в том что сами разработчики дистрибутивов неадекватные на всю голову, они очевидно не пользуются тем что натворили

theurs ★★
()

колхоз какой то!!! а не сообщество

anonymous
()
Ответ на: комментарий от Gibson1980

Я думаю он там может быть не рабочим в силу древности.

Глупо.

sevenredlines
()

Всегда знал, что в дебиане ШГ и куча патчей, не имеющих дело с безопасностью.

Но, тем не менее, дебианщик уже 15 лет. Вменяемый инсталл, большой и везде доступный репозиторий.

pacify ★★★★★
()

разработчик даже добавил в XScreenSaver проверку обновлений и вывод уведомления о том, что на его сайте доступна свежая версия, но мейнтейнеры Debian написали патч, удаляющий это окно, чтобы не нервировать пользователей

А вот это прям вообще эпик.

sudopacman ★★★★★
()

Мда... при Мердоке такого не было, жаль, дистрибутив начинает скатываться...

И проблем помимо сабжа много, пример одной из многих проблем плохая интеграция systemd в дистрибутив.

Wind ★★★
()
Ответ на: комментарий от pod

Репозиторий-то чем виноват?

Виновниками торжества могут быть разработчик и мэйнтейнер. Первый из-за отсутствия явного разграничения стабильной и тестовой версий (исправлены старые баги, добавлены новые - пользователь выбирает между двумя стульями), второй - из-за нежелания заниматься бэкпортами, если разработчик сам этого не сделал (если качественную поддержку пакета обеспечить невозможно, уж лучше не поддерживать совсем).

Myau ★★★★
()

я с дебианом не очень знаком, расскажите пожалуйста, а тестинг разве не для таких вот случаев ?

dada ★★★★★
()

Действительно нужен аудит... Причем систематический.

ElSuerte
()

К этому конфликту привлёк внимание сообщества Мэтью Гаррет

Эта истеричка уже не знает куда сунуться

Sunderland93 ★★★★★
()
Ответ на: комментарий от Gibson1980

Я думаю он там может быть не рабочим в силу древности.

Вот вот! Есть же такие разумные люди как вы. Которые понимают что раньше писали исключительно не рабочий софт. Не то что сейчас.

snaf ★★★★★
()
Ответ на: комментарий от voltmod

А в дебиан попадают уже оттестенные баги, становящиеся фичами.
--
Ваш Капитан

greenman ★★★★★
()
Ответ на: комментарий от Wind

Мда... при Мердоке такого не было, жаль, дистрибутив начинает скатываться...

Как раз этот самый Мёрдок эту политику и придумал.

пример одной из многих проблем плохая интеграция systemd в дистрибутив.

использую Debian как Workstation, проблемы с systemd не замечал.

snaf ★★★★★
()
Ответ на: комментарий от dada

Почти. Тэстинг времени замораживают. Для таких случаев можно считать Unstable.

snaf ★★★★★
()

Модель debian'a и аналогичных устарела вот и всё. В современном мире требуется выше темп и объём данных. Поддержка debian будет отставать всё больше. Будущее за моделью развития Arch и точка.

surefire ★★★
()
Ответ на: комментарий от voltmod

идите в арч багти тестить.

Чуть больше года назад паралельно с дебианом начал использовать арч, багов попадалось очень мало ( и я бы не назвал их дистроспецифичными )

Wind ★★★
()

Опять освежители версий всполошились, а ведь это не баг, а фича дэбиана, просто надо уметь пользоваться ей правильно.

ionanahin ★★★
()

Новость, так новость. Хороший наброс, ещё и ссылка на блог SJW-ой истерички.

Как эти проблемы решают Red Hat и CentOS? У них срок поддержки больше, видимо, выделяют core-репу с минимальным набором, или с баблом лучше, и оно решает проблемы?

FedyaPryanichkov ★★
()
Последнее исправление: FedyaPryanichkov (всего исправлений: 1)
Ответ на: комментарий от voltmod

У меня стоит Debian Stable и Arch. И в арче проблем заметно меньше. По сравнению с Debian Testing - на порядок меньше.

Сам раньше думал, что арч это глюкодром, пока не установил его.

curufinwe ★★★★★
()
Ответ на: комментарий от Wind

Мёрдок ушёл в 96ом. 20 лет как скатывается.

anonymous
()
Ответ на: комментарий от surefire

ага, даже винда на ролинг перешла

anonymous
()
Ответ на: комментарий от pod

При всём удобстве репозиториев, у них есть масса недостатков. Один из них - назван в новости.

У Арча или Федоры нет репозиториев? Или там софт несвежий? Или проблема вообще не в них?

zink ★★
()
Ответ на: комментарий от greenman

Скорее, просто навертели слишком много костылей ради обратной совместимости.

ionanahin ★★★
()
Ответ на: комментарий от ionanahin

Ну да, когда табло полезло - снёс этот раздражитель и не жалею.

anonymous
()

Автору программы надоело объяснять пользователям Debian, сообщающим об ошибках в XScreenSaver, что ошибки уже давно исправлены в новых версиях программы

Лол, офигенные дебианопроблемы

разработчик даже добавил в XScreenSaver проверку обновлений и вывод уведомления о том, что на его сайте доступна свежая версия, но мейнтейнеры Debian написали патч, удаляющий это окно, чтобы не нервировать пользователей.

А вот это вообще пушка. Не, ну правда. Неужели среди разрабов дебиана так много гноморазрабов? Это же в их стиле - выпиливать без разбору. Веселуха, однако.

Vier_E ★★★
()

Разработчики Debian не могут понять, что стабильность != древность. В этом все дело. Они тупо стараются не обновлять версии пакетов и искренне верят, что этим они обеспечивают стабильность. У Ubuntu LTS более взвешенная политика, и в качестве серверного дистрибутива он мне нравится куда больше.

Rinaldus ★★★★★
()
Последнее исправление: Rinaldus (всего исправлений: 1)

Ах, как обманывающ был заголовок «Дискуссия о потенц...»

buratino ★★★★★
()
Ответ на: комментарий от Rinaldus

Это ты не можешь понять, что у Дебиан свои пользователи, своя целевая аудитория, своя ниша... и куча разных веток. И решил тут своей видение выдать за мнение всех этих людей.

У Дебиана всё нормально. Он ещё вас всех переживёт.

buratino ★★★★★
()
Ответ на: комментарий от snaf

Я не говорю что старый софт не рабочий, я имел ввиду что в дистре со временем что то меняется, те же либы и старый софт без должной поддержки может глючить. Вообще мне конкретно про блендер не понравилось, уж такую быстро развивающуюся софтину могли бы и посвежее держать.

Gibson1980 ★★
()
Ответ на: комментарий от Rinaldus

Rinaldus> У Ubuntu LTS более взвешенная политика

Настолько более взвешенная, что были случаи убивания системы обновлениями.

Quasar ★★★★★
()
Ответ на: комментарий от Rinaldus

Хороший коммент с опеннета (4.111)

Проблема в том, что автора хрен убедишь, что кроме багфикса НИКАКИХ изменений быть не должно. И багфикс видимых снаружи изменений вносить не должен, если это вообще возможно. Но авторы обычно при таких условиях на стену лезут - особенно те, что пихают в свой софт подобные предупреждения.

Главное - НИКАКИХ изменений. Особенно видимых. Лучше привычные баги.

В общем, кто к чему привык.

greenman ★★★★★
()
Последнее исправление: greenman (всего исправлений: 1)

На самом деле, мне в дебиан тестинг в последнее время всё чаще попадаются баги. Уже не раз думал сменить на что-нибудь другое, но опасаюсь, что будет хуже. Например, когда читаю про проблемы арчеюзеров - аж жуть берёт.

anonymous
()

Ну и что тут такого? Ничего особо криминального и дебианспецефичного тут не вижу. Просто разработчик и мэйнтейнер не смогли договориться и каждый гнёт свою линию.

skvorli
()

Так хуле он сам не собирает? Забацал бы свою репу и живи спокойно. Или вообще в dd подался бы.

anonymous
()

Лишний раз убеждаюсь что майнтейнеры дебиана злые...

weare ★★
()
Ответ на: комментарий от Gibson1980

я имел ввиду что в дистре со временем что то меняется

ясно-понятно. Поциент с дебианом не знаком.

софт без должной поддержки может глючить

откуда вы взяли что там нету поддержки?

snaf ★★★★★
()

Будущее за моделью развития Arch и точка.

Школьный максимализм - это нормально. С возрастом пройдет.

Polugnom ★★★★★
()

Глупости какие. Xомякопроблемы.

anonymous
()

свободное сообщество вольнО делать все, что ему вздумается

kto_tama ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.