LINUX.ORG.RU

Дискуссия о потенциальных проблемах безопасности в Debian

 , ,


3

3

История началась с просьбы разработчика XScreenSaver к мейнтейнерам Debian удалить его программу из репозиториев дистрибутива. Автору программы надоело объяснять пользователям Debian, сообщающим об ошибках в XScreenSaver, что ошибки уже давно исправлены в новых версиях программы, но из-за политики Debian в репозиториях остаётся устаревшая версия программы (от 2014 года). Ранее разработчик даже добавил в XScreenSaver проверку обновлений и вывод уведомления о том, что на его сайте доступна свежая версия, но мейнтейнеры Debian написали патч, удаляющий это окно, чтобы не нервировать пользователей.

Пользователи создают сообщения об ошибках в багтрекере Debian, откуда их посылают с этими ошибками в апстрим к разработчикам программ. Тем самым, впустую тратится время мейнтейнеров (на закрытие багрепортов), пользователей (на сообщения об уже исправленных ошибках) и разработчиков (на разъяснения пользователям того, что ошибка уже не первый год, как исправлена). Страдает и репутация проектов.

К этому конфликту привлёк внимание сообщества Мэтью Гаррет, известный разработчик ядра Linux и один из директоров Фонда Свободного ПО. Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия. Порой, разработчики специально не выделяют устранение уязвимостей отдельно, или даже не догадываются, что исправленная ими ошибка могла использоваться злоумышленником. Зачастую, для этого нужно проводить аудит.

Мейнтейнеры Debian же не вникают подробно в каждое изменение кода в апстриме и не переносят такие неочевидные исправления к себе, поскольку, с виду, исправленная ошибка не имеет отношения к безопасности.

>>> Подробности

anonymous

Проверено: JB ()
Последнее исправление: JB (всего исправлений: 1)

Ответ на: комментарий от fehhner

Я раньше сидел на ubuntu, и мне казалось, что софт там достаточно свежий. А что несвежее, для того (почти всегда) есть ppa. Потом решил попробовать федору, и хотя она мне несколько меньше нравится, но обновления здесь устроены более понятно. Есть updates-testing, который по-умолчанию отключен, но из него свободно можно ставить софт, тестировать у себя и, если регрессий не замечено, поставить плюс в карму на сайте bodhi. Если таких плюсиков много, обновление апрувят прямо в updates. Таким образом, в пределах одного релиза федоры, в репозитории софт может обновляться не только на минорные релизы, но и на мажорные. Например, новые ядра приходят. После подобной системы, не совсем понятно, по какому приницу в дебиане\убунте выбирают, какую именно версию им запорозить, какую забэкпортировать целиков, а для какого софта бэкпортируют только патчи (и то, возможно, не все).

pod ★★
()
Ответ на: комментарий от pod

Это не дискуссия, а бурление говён.

anonymous
()
Ответ на: комментарий от lagavulin16

А ещё в дебиане не могут осилить jitsi из-за каких-то школьных проблем.

jitsi не нужен. Как и весь жаббир, который собственно говоря, более мёртв, чем жив.

anonymous
()
Ответ на: комментарий от darkenshvein

представляю себе, какой адок там с зависимостями

Не знаю как в арче, но в генту все очень печально. К примеру, недавно для glibс ввели use-флаг "-rpc". Я знаю, как минимум 2 программы, которые без него не соберутся, но в ебилдах этих программ ничего не исправлено, и естественно они не собираются. И это еще простой случай.

Мейнтейнеров набирают по объявлению, никто ничего не хочет делать, и всем наплевать на твои репорты в багзиллу. С такой моделью, они могли бы даже монетизировать своё безразличие. Типа, хочешь исправления бага, задонать бабла. И я не верю, конечно, что проблема в том, что им не хватает людей. Но и не могу понять в чем проблема... взять и обновить python до 3.5, ничего не ломая; взять и обновить стухшую программу, которая даже не собирается (в этом случае они ее удаляют из дерева); взять и добавить пакеты, которые есть в любом другом дистре линукса. К сожалению, я могу только ныть и сожалеть... и держать свой кривой оверлей с прямыми зависимостями, т.к. помогать генту-тим у меня нет желания и времени. Вряд ли что-то изменится.

PS. Здесь должна быть шутка про «верните мои деньги». хахаха. Никто не любит нытиков.

trupanka
()
Ответ на: комментарий от trupanka

никто ничего не хочет делать
помогать генту-тим у меня нет желания и времени

ССЗБ

RazrFalcon ★★★★★
()
Ответ на: комментарий от d_a

Энтерпрайз же (т.е. для предприятия), подразумевается что есть локал сайт вендор и он сам накомпиляет и будет сопровождать на своей инфраструктуре в своих корпоративные репах всё что надо и с той скоростью и политикой какой надо, пользуясь премуществами мега стабильной™ (в терминах API и ABI) платформы*. А так число поддерживаемых пакетов ничтожно, по меркам других дистрибутивов.

Чсх прям как на винде, 1 в 1.

anonymous
()
Ответ на: комментарий от anonymous

Ребята, признайте уже, что Linux выродился как идея уже давно, пока что всё по инерции движется, но не в сторону улучшения. С каждым годом становится только хуже по многим параметрам, не буду озвучивать, адекватные сами знают.

anonymous
()
Ответ на: комментарий от anonymous

выродился как идея уже давно, пока что всё по инерции движется, но не в сторону улучшения

Прям точно про винду. Даже отказались от новых версий ОС - не знают уже, куда ползти)

Deleted
()
Ответ на: комментарий от Deleted

Глупенькая... А ты сравни прибыли MS и всего СПО в мире вместе взятого. И что нужно быть провидцем, чтобы понимать, что так будет ВСЕГДА?!

anonymous
()
Ответ на: комментарий от anonymous

так будет ВСЕГДА

Наивный мальчег)

Deleted
()

«Дискуссия о потенциальных проблемах безопасности в Debian», обсуждается Арч, Слака, Убунта, небо и Аллах, всё кроме самого Дебиана. Так победим!

По сабжу: подписываюсь под каждым словом этого товарища.

Сначала мы просто пользуемся софтиной, потом начинаем создавать разработчику неудобства, а потом ещё и заявляем «а ты взвали на себя работу по фиксу ошибок не только в актуальной, а ещё и в прошлых версиях, тогда мы перестанем тебе мешать». А то, что в новой версии код уже не совпадает со старой и человеку надо тратить своё время, чтобы разбираться, как эту ошибку запатчить в старых версиях, на это нам плевать.

Вот про это я и говорил - потребитель нагл. Таких потребителей надо слать лесом, что автор скринсейвера и сделал с Дебианом.
anonymous (07.04.2016 16:14:07)

droserasprout ★★
()
Ответ на: комментарий от leg0las

скайпы, вайберы, стимы проще собрать под набор либ с определенной фиксированной версией.

Проприетарщина 100 лет в обед осилила статическую линковку и весь хлам может таскать с собой и выливать в /opt/ там им самое место. Если не освоили - ССЗБ. Стим вообще таскает с собой рантайм убунты 32бит и выливает его в хомяк.

zink ★★
()

обсуждается Арч, Слака, Убунта, небо и Аллах, всё кроме самого Дебиана.

Зачем обсуждать старых и убогих? Вон, Аршавина тоже уже не обсуждают давно.

Будущее за моделью развития Arch и точка.

Истина. Даже в MS это поняли.

бугога. представляю себе, какой там в Арче адок с зависимостями.

Вообще никакого, это же не deb-поделка.

То, что разработчики не выкладывают пакеты под арч, это проблема нового арча, а раньше под него все выкладывали?

В Арче всё есть в офиц. репах плюс AUR, больше ничего не надо, в отличие от Дебилианов, где куча софта отсутствует в репах или протухла.

Debian - огромное комьюнити.

Субъективное ощущение - у арча оно уже гораздо больше. Взять хотя бы официальный форум (что англ., что рус.), а у Дебиана 1.5 старпёра сливаются при более-менее серьёзном вопросе. Или Arch Wiki, что там у Дебиана в ответ? Я уже молчу про сторонние сайты, типа Reddit, там вообще о Дебиане не знают.

lagavulin16
()
Ответ на: комментарий от Dron

Как в Ubuntu. Они не доводят предпочитание древних версий до маразма. И вообще бэкпортят ядра, графический стек и много чего еще в LTS каждый раз после выхода новой версии. Поэтому их LTS - это не г... мамонта, как в Debian.

Rinaldus ★★★★★
()
Последнее исправление: Rinaldus (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ну хорошо, а что не выродилось? У чего сейчас восходящий тренд? Что ещё не скатили в задницу жадные капиталисты?

lagavulin16
()
Ответ на: комментарий от lagavulin16

Лоровская школота не понимает, что Линукс, и в частности Дебиан, используют взрослые дяди для зарабатывания денюжек. В этом деле Линукс и Дебиан уверенно занимают свои ниши, дела идут в гору.

Дескоптный Линукс, где упоротая школота смотрит аниме и слушает говномузычку - это 1%. Говноарчик - это 1% от 1%. Это просто ничтожная маргинальная кучка, которая вообще ни на что не влияет.

anonymous
()
Ответ на: комментарий от trupanka

В Генту очень сложный процесс превращения пользователя в разработчика, из-за этого разработчиков категорически не хватает.

liberte
()
Последнее исправление: liberte (всего исправлений: 1)
Ответ на: комментарий от anonymous

Лоровская школота не понимает, что Линукс, и в частности Дебиан, используют взрослые дяди для зарабатывания денюжек. В этом деле Линукс и Дебиан уверенно занимают свои ниши, дела идут в гору.

Дескоптный Линукс, где упоротая школота смотрит аниме и слушает говномузычку - это 1%. Говноарчик - это 1% от 1%. Это просто ничтожная маргинальная кучка, которая вообще ни на что не влияет.

А, ты видимо говнобизнесмен, да?

А нам лишь бы контрольную на 5-ку написать.

anonymous
()
Ответ на: комментарий от liberte

В Генту очень сложный процесс превращения пользователя в разработчика, из-за этого разработчиков категорически не хватает.

Надо знать питон и баш. Всё!

anonymous
()
Ответ на: комментарий от anonymous

Это просто ничтожная маргинальная кучка, которая вообще ни на что не влияет.

Как не на что, а кто баги тестировать будет в новом софте?

anonymous
()
Ответ на: комментарий от anonymous

Главное в баше это понимать, что писать на нём не нужно.

anonymous
()
Ответ на: комментарий от anonymous

А нам лишь бы контрольную на 5-ку написать.

Не льсти себе. Контрольные на 5-ки пишут пользователи Windows, для которых компьютер не помойка старья, в которую нужно нырять и копаться годами, а умный и удобный помощник, где все делается в пару кликов.

anonymous
()
Ответ на: комментарий от anonymous

Как не на что, а кто баги тестировать будет в новом софте?

Не осилят. Им же нужно обязательно форум на пыхапэ и сайт вуэб 2.0 разноцветный. Багтрекеры и списки рассылки для них это такие страшные места, где сидят злые «бюрократы» и даже смайлики не используют.

anonymous
()
Ответ на: комментарий от zink

Стим вообще таскает с собой рантайм убунты 32бит и выливает его в хомяк.

Сам ты хомяк. Научись излагать свои мысли (или, точнее, претензии на мысли) технически грамотно.

anonymous
()
Ответ на: комментарий от zink

Проприетарщина 100 лет в обед осилила статическую линковку

Расскажи это вайберу, который у меня на ~amd64 в Gentoo падал, а на стабильной ветке все ок. Статически слинкован, все свое ношу с собой (с)

leg0las ★★★★★
()
Ответ на: комментарий от Wind

Минует, мне на десктопе ничего жёстко зависящего от систумд не нужно. На сервере приходится мириться

upcFrost ★★★★★
()
Ответ на: комментарий от anonymous

Гентопроблемы

Оно ж статически собрано, и лежит в /opt. Так какие проблемы, а?

leg0las ★★★★★
()
Ответ на: комментарий от anonymous

Надо знать питон и баш. Всё!

Я про разработчика с правами доступа к репозиториям, закрытию багов, и т.д. Там целый процесс с менторством через IRC, рекомендациями, экзаменами (в т.ч. на знание всей внутренней бюрократии), срачами дискуссиями в рассылке gentoo-dev — далеко не у всех есть на это силы и время. Детали здесь.

И нет, просто питоном и башем не отделаетесь, написание ебилдов это доскональное знание соответствующих спецификаций, например.

liberte
()
Последнее исправление: liberte (всего исправлений: 1)

вы о чем в минте 17.3 щас тока openttd 1.3.3 нипаиграть деб пакет ставится а потом игра ниче не качает

anonymous
()
Ответ на: комментарий от anonymous

И собственно сам стор, где разработчик сможет собрать свой пакет нужной ему версии опираясь либо на системные зависимости дистрибутива либо на свои

А потом, когда в glibc найдут уязвимость, ждать, пока тыща разработчиков не обновяет его в своём бандле в сторе?

vzzo ★★★
()
Ответ на: комментарий от anonymous

Не льсти себе. Контрольные на 5-ки пишут пользователи Windows, для которых компьютер не помойка старья, в которую нужно нырять и копаться годами, а умный и удобный помощник, где все делается в пару кликов.

Как они видят мой новый ноут с пятой плазмой и эффектами после своей венды:
ヽ༼ ຈل͜ຈ༼ ▀̿̿Ĺ̯̿̿▀̿ ̿༽Ɵ͆ل͜Ɵ͆ ༽ノ
Всё очень красиво, под рукой в 2 клика, или ставится из репа)

fehhner ★★★★★
()
Ответ на: комментарий от anonymous

«Хомяк» это /home, грамотей.

Вот, своим детям так скажешь. И они станут такими же как ты. А я своим говорю, что /home - это каталог для расположения домашних каталогов пользователей в unix-подобных системах.

anonymous
()
Ответ на: комментарий от crutch_master

Когда я еще был молодым и глупым, сидел на федоре и в конфе РФР. Так, между прочим, уопнянул что у них pip в репах ~1.3 был, из pip ставился +7.На что Игнатэнко заявил мол да и хрен с ним, типа ничего важного и вообще не лезь, мы тут самые умные. Где-то через день обновили и в репах. С чего я сделал вывод что им просто-напросто лень. Ну сам посуди - то ли написать вменяемый PKGBUILD, то ли спек для этого гуана. Потому-то и пользуется Арчик такой популярностью у различных по возрасту и сути людей, а адепты говна мамонта только про арчешкольников слышали.

anonymous
()
Ответ на: комментарий от anonymous

Зачем ты в 16 лет детей завёл?

anonymous
()

Пропуская дистросрач, напишу по теме.

Есть такое понятие «free software», причём всегда уточняется, что это не «бесплатное», а «свободное» ПО.

Свобода касается не только потребителей софта, но и автора и вообще всех причастных. Это значит автор не может запретить использование ПО или включение своего софта в дистрибутив. Это значит автор не может запретить создание нового софта на основе его творения. Но также это значит, что никто, будь он даже император галактики или мейнтейнер самого лучшего в мире дистрибутива не может заставить автора поддерживать любую, даже актуальную версию софта.

Поэтому все претензии к автору скринсейвера смехотворны. Он не исправляет баги в старой версии? А он и не обязан. Он не ведёт багтрекер? А он и не должен. Он вставил проверку обновления/таймбомбу? Если нет прямого вреда - к автору претензий быть не может. Любые отсылки к политике дистрибутива к автору не относятся, так как он никаких договоров с создателями дистра не заключал.

Моральный урод в данном случае - это мейнтейнер из дебиана. Это он добровольно обязался поддерживать скринсейвер в дистре и следовать политике дебиана, соответственно именно он и должен либо обеспечить работоспособность софтины в своём дистрибутиве, либо отказаться от поддержки. Если вместо этого он переводит стрелки и ДДОСит программиста жалобщиками - он и виновен в сложившейся ситуации.

anonymous
()
Ответ на: комментарий от anonymous

Поэтому все претензии к автору скринсейвера смехотворны.

К нему никаких претензий и нету. Это он ноет.

Он не исправляет баги в старой версии? А он и не обязан.

А никто и не просит.

Это он добровольно обязался поддерживать скринсейвер в дистре и следовать политике дебиана, соответственно именно он и должен либо обеспечить работоспособность софтины в своём дистрибутиве, либо отказаться от поддержки.

Скринсейвер поддерживается, политика Дебиана соблюдается, софтина работает.

Моральный урод в данном случае - это мейнтейнер из дебиана.

Очередной иксперт, который нихрена не понял, но покукарекать вышел.

anonymous
()

на мой взляд, разработчик поступил глупо встроив уведомлялку вы скринсейвер/локер, и глупо в квадрате не завёв себе нормальный багтреккер.
почему я так думаю: мне не нравится, когда софтина занимается не своими делами. локер вообще не должен знать, что есть какой-то интернет, через который можно сверить версии!
по поводу багов в стабильной ветке: не нравятся баги стабильной - подключай тестируемую/сид, и любуйся багами свежачка.
стабильный тем и хорош, что ведёт себя предсказуемо, а баги есть в любом ПО вне зависимости от свежести.

Deleted
()
Ответ на: комментарий от anonymous

К нему никаких претензий и нету. Это он ноет.

Он не ноет. Он требует чтоб его не спаммили просьбами пофиксить баг в старой версии.

А никто и не просит.

Конечно не просит: требуют. Куча пользователей, которых хитрожопый мейнтейнер отсылает к автору скринсейвера.

Скринсейвер поддерживается, политика Дебиана соблюдается, софтина работает.

В чём выражается эта поддержка? Баги есть и они не исправляются. Только в том, что глючная версия остаётся в репозитории? Программист, наверное, должен памятник нерукотворный этому мейнтейнеру поставить, за то что добрый парень не удаляет скринсейвер из репозитория, я тебя правильно понял? Ещё раз, для полных дебилов: Мейнтейнер - это человек, который взял на себя обязательство по поддержке софта. Более того, он, как и позволяют открытые лицензии, пропатчил код, что, с точки зрения авторских прав (а GPL/LGPL - это лицензии, основанные на законе об авторских правах и они себя ему не противопоставляют), означает создание derived work на основе оригинального кода. Это уже его собственная ветка, это его собственный скринсейвер. Поэтому если мейнтейнер пытается свалить свои обязанности (исправление бага в его пакете - его обязанность) на кого-то другого, без согласия этого человека - он мудак. Точка. Правильные стратегии у мейнтейнера 3: 1) исправить баг самому. 2) нанять кого-нибудь (возможно, самого автора) на исправление бага. Сторонники свободного софта любят говорить о плате за поддержку - это именно тот случай. 3) отказаться от поддержки.

anonymous
()
Ответ на: комментарий от Deleted

на мой взляд, разработчик поступил глупо встроив уведомлялку вы скринсейвер/локер, и глупо в квадрате не завёв себе нормальный багтреккер.

Ваше мнение очень важно для автора скринсейвера. Когда он начал писать софт, ему, видимо, очень не хотелось этим заниматься, но он пересилил себя мыслью о бедных пользователях linux, которые сидят без скринсейвера. И ради этих людей он готов работать без выходных. Вы вообще читали о чём? Он пишет: «отъ***тесь от меня с вашим с***ым дебианом и его тупой политикой.» И он прав. Просто поймите, этот скринсейвер - это хобби, которым занимается программист для себя. Как выжигать по дереву. Если вам хочется пользоваться результатом - пользуйтесь. Если что-то не нравится - идите с миром.

anonymous
()
Ответ на: комментарий от anonymous

пересилил себя мыслью о бедных пользователях linux, которые сидят без скринсейвера. И ради этих людей он готов работать без выходных.

ну молодец, пусть возьмёт пирожок с полочки

скринсейвер - это хобби, которым занимается программист для себя. Как выжигать по дереву. Если вам хочется пользоваться результатом - пользуйтесь. Если что-то не нравится - идите с миром.

ну так и есть. я его трудом вообще не пользуюсь, не понравилось.
перечитав доступный материал, как я понял понял, нерадивые пользователи дебиана задолбуют его вопросами
но тут уже целиком его вина: не сделал бы он уведомляшки - 80% сообщений бы не получил. сделал бы нормальный багтреккер, где можно глянуть что зарепорчено и в каком состоянии находится - не получил бы ещё 15%
а к мейнтейнеру пакета и придраться толком не за что. пакет собран и работает. попросили выпилить уведомление - выпилил

Deleted
()
Ответ на: комментарий от anonymous

а по большому счёту он вообще вправе настроить у себя чёрные списки и радоваться пустому ящику входящих

Deleted
()
Ответ на: комментарий от anonymous

С чего я сделал вывод что им просто-напросто лень.

Не, они просто придерживаются правила «Работает - не трогай».

Потому-то и пользуется Арчик такой популярностью у различных по возрасту и сути людей, а адепты говна мамонта только про арчешкольников слышали.

На десктопе желательно иметь софт по-свежее, а на сервере - чтобы работал без сюрпризов. Кому охота переписывать половину конфигов после какого-нибудь обновления.

crutch_master ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.