Propozycja zamieszczania na ftp (i www).pld.org.pl informacji o koniecznosci upgrade'u pewnych pakietow ze wzgl. na bezpieczenstwo systemu

[Roman Werpachowski]

Propozycja jest taka:

Czesc osob ze wzgl. finansowych, rodzinnych czy ideologicznych nie 
instaluje nowych wersji pakietow jak tylko sie one pojawia na 
ftp.pld.org.pl, tylko raz na miesiac-dwa robi zbiorczy upgrade 
wszystkiego. Ma to te wade, ze w razie pojawienia sie informacji o dziurze 
w jakims pakiecie i jej zalataniu, to o ile te osoby nie sa zapisane na 
pld-devel, to nie dowiedza sie o wyzej opisanej sytuacji i np. przez 
miesiac beda mialy, dajmy na to, dziurawego binda (wiem, ze na ogol o 
dziurach w bindzie pisze Gazeta Wyborcza, ale nie zawsze :).
Moja propozycja jest taka, zeby na ftp lezal maly plik tekstowy z nazwami 
i wersjami pakietow, ktore powinny byc zainstalowane, zeby usunac bledy w 
poprzednich wersjach (i napisane, z uzyciem operatorow logicznych 
(<,=,<=) ktore wersje zawieraja dziury, albo wersje 
pakietow ktore 
powinny byc usuniete (bo zawieraja dziure i inny pakiet moze przejac ich 
funkcje). Programy 
sluzace do sciagania pakietow z sieci (apt, 
wuch, autorpm etc) mialyby (trzeba napisac patche/dopisac do zrodel) 
parametr np. '--security-info' i po wywolaniu z tym parametrem sciagalyby 
ten plik, analizowaly zawartosc (czy jest zainstalowany pakiet o wersji 
wymienionej jako dziurawa, czy tez mozna te informacje zignorowac. Po czym 
wysylalyby mail pod wskazany adres (roota) i/lub sciagaly pakiety, 
instalujac je lub nie.

Wymagaloby to, zeby osoba wrzucajaca do CVS poprawki do dziurawych 
pakietow zamiast 'STBR' pisala w commit logu 'STBR-S' (od 'Security') i w 
nastepnej linijce pisala, jakie pakiety ta poprawka 'dezaktualizuje'.
Na przyklad commit log:

pakiet: bind-10.0.4-2

- added patch removing security hole in [blah blah blah]
- raised release number from 1 to 2
- STBR-S
bind(<10.0.4-2,>=9.0.7-1)

oznacza, ze wszystkie pakiety bind wczesniejsze niz 10.0.4-2 ale 
pozniejsze niz (wlacznie z) 9.0.7-1 powinny byc odswiezone.

w w/w pliku na ftp znalazlby sie wpis:

bind-10.0.4-2 <-- bind(<10.0.4-2,>=9.0.7-1)
%
[ commit log, zaw. date commitniecia - zeby po np. pol roku wpis w pliku 
zostal usuniety przez skrypt dodajacy nowe wpisy ]
%

a taki z kolei commit log:

pakiet: LPRng-23.0.5-1

- blah blah
- STBR-S
cups(>=0.0.1-1)

dawalby wpis

LPRng-23.0.5-1 <-- cups(>=0.0.1-1)
%
[ to co wyzej ]
%

Oczywiscie, to sa tylko przyklady :)

Zalety: Ulatwienie zycia adminom
Wady: Dodatkowy skrypt na builderach
      Koniecznosc modyfikacji istniejacych programo i/lub napisania nowego
      programu (np. skrypt w perl).

Aha, i na www.pld.org.pl powinna znalezc sie informacja o istnieniu tego 
pliku, opis jego uzycia (po napisaniu patchy do programow) i link do 
niego.

Pozdrawiam i czekam na komentarze,

Romek

-- 

------ Roman Werpachowski ------
-- roman w student.ifpan.edu.pl --
----- Szkoła Nauk Ścisłych -----