Spotkanie to odbyło się w dniach 14–16 stycznia b.r. w Linux Hotel w niemieckim Essen. Członkowie zespołu w jego trakcie przedyskutowali wiele tematów. W dalszej części tekstu prezentujemy listę najważniejszych z nich.

Usprawnienia w systemie pracy zespołu

Wiele dyskusji dotyczyło różnych aspektów usprawniania systemu pracy zespołu. Postanowiono, że co tydzień poszczególni członkowie zespołu będą zasiadali w „recepcji”, aby zapewnić, że wszelkie komunikaty i zgłaszane problemy spotkają się z należytą uwagą. Pozostali członkowie będą mogli w tym czasie skoncentrować swoje starania na naprawianiu zgłoszonych problemów.

Zespół od dłuższego czasu korzysta z systemu śledzenia próśb, zachęca jednak opiekunów do bezpośredniego kontaktu. Dokumantacja na ten temat zostanie wkrótce uaktualniona.

Od kilku lat Zespół ds. Bezpieczeństwa odracza naprawę niewielkich lub teoretycznych luk bezpieczeństwa (których załatanie nadal będzie w pewnym momencie pożądane), takich jak niektóre rodzaje ataków DoS, do momentu wydania aktualizacji stabilnego wydania. Zespół poszukuje osoby, która chciałaby koordynować to działanie: monitorować system śledzenia bezpieczeństwa Security Tracker w poszukiwaniu tego rodzaju luk, rozmawiać z opiekunami pakietów aby zaktualizowali pakiety oraz skoordynować to z menedżerami stabilnego wydania. Ponieważ nie są wymagane prawa do dodawania pakietów, chętny nie musi być Deweloperem Debiana.

Proces wydawania ogłoszeń dotyczących bezpieczeństwa został całkowicie przeprojektowany, celem wyeliminowania możliwie całej ręcznej pracy przy przygotowaniu poszczególnych ogłoszeń. Ponadto Zespół zdefiniował jakie informacje chce w nich publikować, a jakich nie. Opracowana została nowa metoda tworzenia ogłoszeń, które będą bardziej przystępne do przetwarzania automatycznego. Możliwe będzie podpisywanie logów z procesu budowania pakietów, wprowadzone również zostanie wiele usprawnień do serwisu Security Tracker. Te plany nadal wymagają znaczących prac przy wdrożeniu, Zespół ma nadzieję wprowadzić zmiany w życie w ciągu kilku miesięcy.

„Hartowanie” (hardening) flag kompilatora

Debian jest obecnie jedną z kilku dystrybucji, które nie stosują specjalnych flag do kompilatorów, które zabezpieczają pakiety przed pewnymi rodzajami podatności. Od dłuższego czasu trwają prace nad ich wprowadzeniem, jednak jak dotąd nie zostały one zrealizowane. Zorganizowane zostaną dyskusje na ten temat podczas najbliższego DebConfu, podczas których Zespół ma nadzieję zebrać zainteresowane tym osoby i rozpocząć implementację.

Dłuższe wsparcie bezpieczeństwa dla stabilnego wydania

Obecne wydania Debiana wspierane są przez rok po wydaniu kolejnej wersji. Niektórzy chcieliby, aby trwało to dłużej, powiedzmy pięć lat. Zespół badał jakie warunki muszą zostać w tym celu spełnione, jednak przed wprowadzeniem tego planu w życie wymagane są dalsze dyskusje.

„Beta testy” aktualizacji bezpieczeństwa

Miniona edycja Google Summer of Code ukierunkowana była m.in na dostarczenie nie ograniczonych, ale jednak oznaczonych jako „w toku”, aktualizacji bezpieczeńtwa dla beta testerów (np. testowe środowiska w systemach korporacyjnych), dzięki którym można byłoby otrzymywać wczesny odzew na wypadek jakiś problemów. Niestety dotąd nie zostało to zrealizowane, zespół nadal jednak jest zainteresowany wdrożeniem tego pomysłu.

README.test

Jakkolwiek wiele pakietów zawiera zestaw testów wykonywanych po zbudowaniu pakietu, pewna część go nie posiada, a przynajmniej nie taki, który może zostać uruchomiony jak element procesu budowania. Zaproponowano ustandaryzowanie pliku README.test, analogicznie do README.source, który będzie zawierał informacje dla osób, które nie są opiekunami pakietu, jak prawidłowo przetestować działanie pakietu. Zespół ds. Bezpieczeństwa chciałby przedyskutować i wprowadzić go podczas cyklu rozwojowego Debiana Wheezy.

Wsparcie bezpieczeństwa dla backportów

Gerfried Fuchs zaproszony został na spotkanie celem przedyskutowania kwestii wsparcia bezpieczeństwa dla backportów. Fuchs jest praktycznie jedyną osobą, która nad tym pracuje. Część osób przygotowujących backporty nie śledzi stanu swoich pakietów regularnie, przez co posiadają one niezałatane błędy bezpieczeństwa. Należy podnieść świadomość istniania strony ze stanem backportów w serwisie Security Tracker. Pomoc będzie mile widziana.

Problemy w pewnych pakietach

Zespół przedyskutował również pewne problematyczne pakiety. Jednym z nich jest np. ia32-libs, który jest ciężkim przypadkiem, gdyż zawiera w sobie ponad 100 pakietów źródłowych. W Squeeze deweloperzy chcą radzić sobie z nim lepiej: upewnią się, że będzie możliwie aktualny podczas wydania, następnie będą uaktualniali pakiet podczas aktualizacji wydania, aby dołączać najnowsze wersje pakietów z repozytorium security (lub samego stabilnego wydania).

Dla pewnych pakietów Zespołowi ds. Bezpieczeństwa ciężko jest utworzyć właściwe środowisko do przeprowadzania testów, przykładem mogą być wymagające specyficznego sprzętu aplikacje VoIP lub kompleksowe aplikacje webowe. Członkowie Zespołu chcą zbadać możliwości otworzenia procesu dodawania aktualizacji bezpieczeństwa, aby deweloperzy danych pakietów mogli bardziej się zaangażować w ich wydawanie

Ochotnicy poszukiwani

Zespół ds. Bezpieczeństwa poszukuje ochotników, którzy mogliby pomóc na kilka sposobów:

• objęcie stanowiska koordynatora kandydatów do aktualizacji wydania. Jego zadaniem będzie koordynowanie mniej poważnych aktualizacji bezpieczeństwa z opiekunami pakietów, menedżerami wydania i oczywiście resztą Zespołu
• pomoc przy bezpieczeństwie repozytorium na backports.debian.org. To głównie obejmuje backportowanie nowszych wersji pakietów, które zawierają poprawki bezpieczeństwa. Zainteresowani powinni skontaktować się z Gerfried Fuchsem
• osoby, które śledzą bugtraq, oss-security i inne wieści nt. bezpieczeństwa mogą zostać członkami Zespołu ds. Bezpieczeństwa. Na początek można zacząć pracę przy Security Tracker, tak zaczęła większość obecnych członków Zespołu. Instrukcja rozpoczęcia współpracy znajduje się na svn.debian.org/wsvn/secure-testing/doc/narrative_introduction — zainteresowani powinni się z nią zapoznać, następnie wejść na kanał #debian-security na serwerze irc.debian.org

Na wiki Debiana dostępne jest pełne sprawozdanie ze spotkania.

Źródło: lists.debian.org/debian-devel-announce/2011/01/msg00006.html