Felix Perez escribió:
El día 17 de enero de 2010 15:49, ga <g...@kutxa.homeunix.org> escribió:
Buenas,
On Sun, Jan 17, 2010 at 10:29:50AM -0800, Rodrigo Gallardo wrote:
On Sun, Jan 17, 2010 at 03:25:43PM +0100, ga wrote:
On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera wrote:
Hasta que punto es auditable que el .deb que descargamos coincida
100% con el código fuente publicado?
[Un paquete upstream podría añadir un backdor entre versiones]
Si un desarrollador de Debian ve que hay una versión nueva del programa
que mantiene, se baja las fuentes, lo empaqueta y lo sube, sin hacer
nada más, el paquete será un .deb perfectamente válido, pero con una
bonita puerta trasera.
(Aquí si me siento personalmente ofendido)
No, la mayoría de los empaquetadores no hacen eso. ¿Alguna vez has
notado que las nuevas versiones tardan más de 15 minutos en estar
empaquetadas? ¿Te has preguntado por qué? La respuesta, en muchas
ocasiones, es precisamente que el mantenedor no va a simplemente
cambiar el .orig.tar.gz y compilar. Hay que leer el diff, entender (a
grandes razgos, por lo menos) qué cambió, actualizar los parches
(algunos de seguridad) que se le aplican al paquete. Sí, hay gente que
no hace eso, y también es posible que uno meta la pata. Pero, en
general, ese comentario tuyo es una falta de respeto a la gran mayoría
de los empaquetadores.
Pues no quería que te sintieras ofendido (ni nadie) por ninguno de mis
comentarios, simplemente es una posibilidad, somos humanos :).
Nos gusta Debian, pero (personalmente) creo que ciertas cosas hay que
analizarlas friamente, sin el corazón en la mano.
Por cierto, mantengo un pequeño paquete, y no hago eso.
¿No haces "eso" que?
¿no revisas?
¿no usas diff?
¿no entiendes los cambios?
Si es así por favor danos el nombre del paquete, para estar alertas
cuando haya algún cambio, no vaya a ser cosa que algo "no deseado" se
te pase.
Saludos.
Me parece que lo que no se puede lograr de forma preventiva (Analizar
minuciosamente el código para ver que no se haya infiltrado código
malicioso) en la comunidad open source se compensa con el modelo
reactivo de la comunidad.
Un claro ejemplo es el tema del bug SSL que afectó a Debian más o menos
un año atrás. La difusión fue tal y los esfuerzos de los desarrolladores
que no se registraron incidentes importantes. Fue tanta la publicidad y
la cooperación que cualquier atacante malicioso dejó de ver el la
posible vulnerabilidad como algo "explotable".
Viéndolo de ese lado eso es un punto a favor. Además la solución se basa
en un modelo de muchas personas auditanto el código contra uno o dos
desarrolladores (a veces sin conocimientos profesionales de seguridad)
preocupándose por la seguridad de su proyecto o paquete.
Saludos
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
