[Gelistirici] Güvenlik acigi Pardus gelistiricilerine nasil bildirilir?

[Eren Türkay]

On Thursday 28 January 2010 11:10:07 am selim ok wrote:
> Bu arada 2009 yol haritasinda bulunan "Pardus Security Team prosedürlerinin
> belirlenmesi" islemi tamamlanmis. Prosedürden kasit, ic isler mi yoksa
>  halka acik prosedür müdür? Erisilebiliyorsa nereden erisebiliriz?

Prosedür güvenlik açığı tespit edildikten sonraki kendi içimizde olan 
prosedür. Basit olarak güvenlik açığı geldiğinde ne yapılır, hata açıldıktan 
sonra paketçisine nasıl haber verilir gibi şeyleri düzenliyor. Genellikle 
paketçilerden önce güvenlik takımının güncellemelerden haberi oluyor ve 
paketçisine haber veriliyor. Ancak bir yerlerde "Güvenlik takımı ne yapar, bir 
güvenlik açığı çıktığında paketçiye nasıl ulaşırlar" gibi şeylerin yazması 
güzel olacaktır :) Önceki e-postamda belirttiğim gibi bunun için bir çalışma 
yapıyor olacağım.

(önceki e-postanın bir kısmına cevap)

> bu gibi durumlarda kullanicilar/gelistiriciler hangi yolu izlemeli, bu tip 
aciklari bildirmeden önce nelere bakilabilir bosuna ugrasmamak icin

Kullanıcılar eğer bir güvenlik açığı olduğunu düşünüyorlarsa, güvenlik 
açığının ne olduğunu açıklayan ve edindikleri kaynakları belirten bir e-posta 
atmaları yeterli. Kullanıcıların/geliştiricilerin e-posta atmadan önce bir 
şeyleri kontrol etmesini beklemiyoruz. Zira haber aldığımız çok kaynak var ve 
kullanıcılarımızın bu kaynaklardan haberdar olduğunu bekleyemeyiz :) Bize 
şüphelendiği konuyu bildirmesi ve bunun takibini paketçi yerine güvenlik 
takımının  yapması çok çok daha kolay.

İyi çalışmalar,
Eren