l.sillari ha scritto: > In particolare se le distribuzioni Debian tengono in dovuto conto > l’aspetto relativo alla cybersecurity.
volevo aggiungere che ci sono pacchetti che ti aiutano a mantenere il tuo sistema maggiormente sotto controllo, anche dal punto di vista della sicurezza. apt-listbugs questo pacchetto ti aiuta a vedere se sono presenti bug con gravità elevata durante gli aggiornamenti o installazioni. Ti segnala sia problemi di sicurezza che altri problemi gravi del pacchetto e andando a leggersi in dettaglio il bug indicato spesso riesci a capire come poter fare l'aggiornamento/installazione e risolvere anche il problema segnalato debian-security-support ti segnala quali pacchetti non hanno più il supporto di sicurezza o lo hanno solo parzialmente. Naturalmente va valutato il risultato con la propria situazione e va letto bene in dettaglio perché tale supporto non c'è più o non è completo. debsecan permette di avere un elenco delle vulnerabilità per i pacchetti installati. Per questo può essere utile sapere quali pacchetti hanno un bug di sicurezza e c'è un aggiornamento con una fix; altrimenti ritorna tutti i pacchetti con tutte le CVE, anche quelle risolte e non ho trovato un modo semplice per vedere solo quelle aperte. Ad esempio faccio così: $ debsecan --suite trixie --format report | most e cerco *** Vulnerabilities without updates Nota: devi sostituire trixie con la suite di Debian che stai usando e poi sostituire most con il pager che preferisci Infine, per alcuni pacchetti vengono introdotte nuove versioni anche su stable o una old-stable ancora supportata, anche per risolvere problemi di sicurezza e per motivi diversi (ad esempio per i pacchetti linux-* per offrire supporto ad hardware più recente; per firefox per problematiche varie con mozilla che rendono complesso portare le patch verso versioni precedenti; ...) Bisogna tenere conto che ci trova un bug e lo assegna come bug di sicurezza non corrisponde quasi mai con chi sviluppa/mantiene quel software. Quindi ci sono i casi più svariati, ad esempio gli sviluppatori upstream indicano che quello non è un bug di sicurezza (ad esempio dicendo che il loro software non fa quella cosa o non deve essere usato in quel modo... ma deve essere usato qualcos'altro per eseguire quel task) o magari indicano che la gravità non è corretta. Per questo motivo puoi trovare bug indicanti come bug di sicurezza che sono aperti da anni. Poi vari studi hanno dimostrato che un software commerciale tende a tenere nascosto un bug, anche di sicurezza, fino a quando non è sfruttato in maniera abbastanza consistente, al contrario con il software libero viene divulgato immediatamente appena possibile (il bug può coinvolgere più team e bisogna attendere che tutti siano pronti all'annuncio). Una volta che un bug di sicurezza è stato identificato se è su un software libero, allora la patch arriva molto velocemente, su un software commerciale ci possono volere mesi (c'era un ottimo articolo di un ex dirigente, se non erro, digital che spiegava i motivi) Ciao Davide -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI - If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to training your model and all the source of the program that use that model
