[Gelistirici] Güvenlik güncellemeleri?=, 2009 test-stable =?UTF-8?B?Z2XDp2nFn2k= ?

[Onur Küçük]

On Sun, 16 Aug 2009 19:51:03 +0300
Mehmet Nur Olcay <mnurolcay at gmail.com> wrote:

> 
> Merhaba,
> 
> Son  okuduğum Pardus incelemesinde (distrowatch'daki idi sanırım),
> Firefox 3.5.2 örneğinden hareketle, güvenlik güncellemelerinin geç
> alındığı gibi bir eleştiri vardı. Geçen pardus-users listesine de
> böyle bir ileti[1] düşünce dikkatimi çekti, ayın 11'inde test
> deposuna giren ve güvenlik güncellemeleri de içeren Firefox 3.5.2
> hala test deposunda bekliyor. Özel bir nedeni var mıdır ?
> 
> 1. http://lists.pardus.org.tr/pardus-users/2009-August/000507.html

 Test ekibinin test etmesini bekliyoruz. Paketin sorumlusu paketin test
edilmesini tercih etti ve Pınar'ın da söylediği paketçi -> test ekibi
-> kararlı depo yolunu izliyor şu anda.

 Bunun dışında kullanıcıların güvenlik anlayışı fazla yüzeysel. Bir
yazılımda güvenlik açığı çıkıp da yeni sürümü çıkınca illa o yazılımın
o sürümü ile sorunun çözüleceğini düşünüyorlar. Oysa;

 - ilgili düzeltme yama ile alınabilir, illa sürüm güncellemesi
yapmaya gerek yok, hatta pakette sorun olma ihtimalini azaltmak için
bu tarz bir güncelleme genelde tercih edilmelidir

 - ilgili güvenlik sorunu illa o pakette çözülmesi gerekmeyebilir. Pek
çok yazılımı depomuzda parçalara bölüyoruz, o paketin bağımlılığı olan
bir pakette ya da eklenti olan bir pakette sorun düzelebilir. Örneğin
supertuxkart da güvenlik açığı olsa, ama bu sadece enet kısmında olsa,
artık bu güvenlik açığını düzeltmek için sadece enet paketi
güncellenecek. Ya da kernel de uvcvideo da güvenlik açığı çıksa aslında
biz module-*uvcvideo paketlerini güncelleyeceğiz.

 vs. vs.

 Bunların dışında, "güvenlik güncellemesii" diyen kullanıcılar
denemeden depoya alınıp da patlayan paketlerde de emin olun "bu niye
bozuldu test edilmedi mi" diye gelecekler, daha önce bunu yaşadık.
Büyük değişiklikler içeren kritik paketleri gözü kapalı depoya
alamayız.

 Bahsedilen güvenlik sorunlarının bir kısmı başka paketlerde çözüldü
(mesela [1]), hatta 2009 için konuşursak 2009-08-03, 2009-08-06-
2009-08-14 de ard arda bir kaç gün arayla güvenlik güncellemesi
yapılmış kararlı depoya girmiş.

 Test ekibine iletilen güvenlik güncellemesi testinin son tarihi [2]
yarın sabah 09:00, şu ana kadar bir sorun iletilmediğine göre ilgili
güncelleme de yarın depoya girecek.

 Test ekibinin bu konuda kesinlikle daha hızlı olması gerekiyor (ayın 11
i öğleninde derlenen güvenlik güncellemeleri için test duyurusu iki gün
sonra yapılmamalı !) ama bunun dışındaki (2009 u daha dikkatli takip
ettiğim için 2009 sürümü için konşuyorum) güvenlik güncellemelerinin
yavaş yapıldığını düşünmüyorum. 


 
[1] http://bugs.pardus.org.tr/show_bug.cgi?id=10814
[2] http://liste.pardus.org.tr/testci/2009-August/003196.html

-- 
 Onur Küçük                                      Knowledge speaks,
 <onur.--.-.pardus.org.tr>                       but wisdom listens