Forum

Bonjour,

J'ai installé une Cauldron en VM pour l'instant et j'utilise Mageia avec les updates-testing d'activées.

Je fais principalement ça pour particitper à la remontée de bugs gênants, mais je voulais savoir s'il existait un outil qui permettait de vérifier à partir du système installé les failles de sécurité générales comme les CVE qui sont exploitables et non corrigées.

En toute franchise, je contribue aussi sur Archlinux et openSUSE Tumbleweed pour repérer les problèmes de sécurité sur des distributions bleeding edge en amont des distributions plus stables comme Mageia.

Pour ça, j'utilise sur ceux-ci les outils suivants : arch-audit et OBS (openBuildService)

Je n'ai pas trouvé d'équivalent sur Mageia (à part les mailing list de la team sécurité de Mageia).
Pour faire simple, j'exécute un programme ou je consulte sur OBS certains paquets et j'ai ensuite l'information si oui ou non les CVE sont corrigées.

ça permet de vérifier qu'il n'y a pas eu d'oubli dans les patchs faits par les packagers, et croyez-moi, même sur les grosses distributions, on est souvent surpris .

Est-ce que vous avez connaissance d'un équivalent sur Mageia ou plus généralement, comment faites-vous pour contribuer au niveau sécurité pour Mageia?

Bonjour Yoop

Je ne suis pas certain qu'ici tu trouves des personnes capables de te donner des réponses. A mon sens, tu peux sans doute d'inscrire aux listes de diffusions de Mageia et notamment celles relatives aux dev. Je pense notamment à celle nommée dev@ml.mageia.org où tu trouveras sans doute des interlocuteurs plus compétents.

Pense éventuellement à te connecter au salon IRC de Mageia . C'est peut être d'ailleurs la meilleure solution dans un premier temps.

Merci pour les conseils vouf, je vais jeter un oeil dans les mailing dans ce cas.

En tout cas, d'après ce que j'ai pu vérifier à droite à gauche, Mageia se débrouille vraiment pas mal au niveau de la réactivité face aux failles (en tout cas en testing, après, il est vrai que la stabilité de la version stable nécessite un décalage pour le QA, mais on ne peut pas tout avoir)

J'ai repéré des paquets assez sensibles qui en disent long sur la sécurité d'une distribution et je m'en sers pour me faire mon avis.

Puisque j'utilise Mageia-testing comme poste de travail, je souhaiterai aider dans ce que je connais (un peu).

Édité par yoop Le 16/11/2016 à 09h45

Bonjour

Je pense que toute aide est bienvenue. Ce genre de compétence, je pense est recherchée par Mageia.

Salut !

Concernant la sécurité on a quelqu'un qui suit les failles de très près et crée un rapport de bug pour chaque faille à corriger, dans https://bugs.mageia.org.

J'ai créé une page à ce sujet pour les lister. Cela peut faire peur quand on la voit comme ça mais ça montre surtout qu'il reste du boulot et que tu aide est la bienvenue http://madb.mageia.org/tools/security

Si tu te sens de rejoindre l'équipe de packaging pour appliquer toi-même les patchs, tu es le bienvenu. Sinon, l'autre équipe très utile dans ce contexte est l'équipe QA qui teste les mises à jour avant qu'elles ne soient envoyées à tout le monde, et tester les mises à jour de sécurité est une grosse partie de leur activité : https://wiki.mageia.org/en/QA_Team
Il y a d'ailleurs une réunion ce soir sur IRC à 21h, sur #mageia-qa, comme toutes les semaines. La sortie de la 5.1 sera le gros du sujet ce soir mais ils commencent toujours par un "who's new" où on peut se présenter et les MAJ de sécurité en cours seront peut-être abordées
Tu peux aussi tout simplement venir n'importe quand sur #mageia-qa et on trouvera bien quelqu'un pour t'expliquer en quoi consiste le boulot.
Leur page de "travail" : https://wiki.mageia.org/en/QA_Team

Voilà, sinon simplement remonter des bugs quand tu en trouves voire aider à en trouver la cause est aussi très utile.

Merci pour toutes les précisions stormi

d'après ce que j'ai compris, par rapport à ce que je fais comme tests, ça se rapprocherait de la personne qui suit les failles et alimente la liste des bugs dès qu'elles n'ont pas été corrigées dans une distribution.
Sinon, je fais du QA puisque j'utilise Mageia avec testing activé et que je reporte les bugs que je rencontre (rarement) en l'utilisant.

Je ne m'y connais pas en packaging mais j'ai déjà survolé quelques tutos pour fabriquer des backports et des RPM sur MLO.
Je pense que je vais d'abord me familiariser avec le packaging et renforcer un peu mes tests (essayer d'autres bureaux, logiciels ...)

J'ai loupé la réunion du 17, mais je vais essayé les IRC.

yoop:

Je suis sûr que la personne en question serait ravie d'avoir quelqu'un pour l'aider dans cette tâche, ce qui lui laisserait plus de temps pour corriger certaines des failles

Si tu passes sur IRC j'y suis sous le nom stormi également, et je vous mets en relation si ça te dit.

Je serai intéressé pour contacter cette personne.

J'ai commencé à jeter un oeil aux IRC mais je ne dois pas y aller aux meilleurs horaires, il n'y a que 2 ou 3 personnes sur mageia-dev et qa quand je m'y rends.

J'ai commencé à jeter un oeil sur le fonctionnement des outils utilisés par Mageia, je vais contribuer cette semaine pour commencer en douceur et bien comprendre.

Cela demande un peu de persévérance. Beaucoup restent connectés sur IRC en permanence donc il suffit d'être patient. Tu n'as pas tenté de me contacter personnellement pour le moment. Il faut savoir que citer le pseudo d'une personne équivaut à l'interpeler, on a tous des notifications pour ce cas de figure, et si tu restes connecté pour attendre la réponse tu es quasiment sûr d'avoir une réponse.

Sinon, tu peux aussi simplement te présenter sur la liste dev@ml.mageia.org

Samuel

Édité par stormi Le 05/12/2016 à 15h57