Software::Distributionen::Debian
Debian macht Sicherheits-Informationen zugänglich
Das Debian-Security-Team meldet eine Reihe von Verbesserungen, darunter die teilweise Öffnung von sicherheitsrelevanten Informationen.
Das Debian-Security-Team ist für die Behebung von Sicherheitsproblemen in Paketen und die Herausgabe von Updates zuständig. Alle Sicherheitsprobleme sind nun in einer Datenbank »Security Bug Tracker« gespeichert, die von jedem abgefragt werden kann. Sie enthält alle Daten von 2003 bis heute über von Debian ausgegebene Sicherheitsmeldungen, Informationen über CVE-Einträge, Referenzen und Einzelheiten zu betroffenen Versionen, Tests usw. Eine ausführlichere Anleitung steht zur Verfügung.
Da manche Sicherheitsprobleme nicht veröffentlicht werden sollen, bevor eine Korrektur vorliegt, hielt Debian alle Informationen zunächst unter Verschluss. Einige Probleme dürfen jedoch von Anfang an publiziert werden. Für diese hat das Projekt eine separate Generier-Queue eingerichtet, die öffentlich einsehbar ist. Eine vorläufige Übersicht ist vorhanden.
Das Team erinnert die Entwickler nochmals daran, keinen Code von anderen Projekten zu integrieren, sondern Bibliotheken zu verwenden. Falls in einer Bibliothek ein Problem auftaucht, muss es nur in einem Paket korrigiert werden. Andernfalls muss jedes betroffene Paket ausfindig gemacht und korrigiert werden. Ein extremes Beispiel hierfür war xpdf, dessen Code in rund zehn Paketen verwendet wurde. In diesem Fall lag das jedoch daran, dass es keine Bibliothek mit der Funktionalität von xpdf gab. Mit Poppler ist das nun behoben.
Zwei neue Mirror-Server stehen für Sicherheitsupdates zusätzlich zur Verfügung: security.eu.debian.org und security.us.debian.org ergänzen das bisherige security.debian.org. Hinter jeder Adresse können wiederum mehrere Server stecken. Das Team verstärkte sich außerdem mit zwei weiteren Mitarbeitern.
