l.sillari ha scritto:
In particolare se le distribuzioni Debian tengono in dovuto conto
l’aspetto relativo alla cybersecurity.
volevo aggiungere che ci sono pacchetti che ti aiutano a mantenere
il tuo sistema maggiormente sotto controllo, anche dal punto di vista
della sicurezza.
apt-listbugs
questo pacchetto ti aiuta a vedere se sono presenti bug con gravità
elevata durante gli aggiornamenti o installazioni. Ti segnala sia
problemi di sicurezza che altri problemi gravi del pacchetto e andando
a leggersi in dettaglio il bug indicato spesso riesci a capire come
poter fare l'aggiornamento/installazione e risolvere anche il problema segnalato
debian-security-support
ti segnala quali pacchetti non hanno più il supporto di sicurezza o
lo hanno solo parzialmente. Naturalmente va valutato il risultato
con la propria situazione e va letto bene in dettaglio perché tale
supporto non c'è più o non è completo.
debsecan
permette di avere un elenco delle vulnerabilità per i pacchetti
installati.
Per questo può essere utile sapere quali pacchetti hanno un bug di
sicurezza e c'è un aggiornamento con una fix; altrimenti ritorna
tutti i pacchetti con tutte le CVE, anche quelle risolte e non ho
trovato un modo semplice per vedere solo quelle aperte.
Ad esempio faccio così:
$ debsecan --suite trixie --format report | most
e cerco
*** Vulnerabilities without updates
Nota: devi sostituire trixie con la suite di Debian che stai usando
e poi sostituire most con il pager che preferisci
Infine, per alcuni pacchetti vengono introdotte nuove versioni anche
su stable o una old-stable ancora supportata, anche per risolvere
problemi di sicurezza e per motivi diversi (ad esempio per i pacchetti
linux-* per offrire supporto ad hardware più recente; per firefox per problematiche varie con mozilla che rendono complesso portare le patch
verso versioni precedenti; ...)
Bisogna tenere conto che ci trova un bug e lo assegna come bug di
sicurezza non corrisponde quasi mai con chi sviluppa/mantiene quel
software. Quindi ci sono i casi più svariati, ad esempio gli
sviluppatori upstream indicano che quello non è un bug di sicurezza
(ad esempio dicendo che il loro software non fa quella cosa o non
deve essere usato in quel modo... ma deve essere usato qualcos'altro
per eseguire quel task) o magari indicano che la gravità non è
corretta. Per questo motivo puoi trovare bug indicanti come bug di
sicurezza che sono aperti da anni.
Poi vari studi hanno dimostrato che un software commerciale tende a
tenere nascosto un bug, anche di sicurezza, fino a quando non è
sfruttato in maniera abbastanza consistente, al contrario con il
software libero viene divulgato immediatamente appena possibile (il
bug può coinvolgere più team e bisogna attendere che tutti siano
pronti all'annuncio).
Una volta che un bug di sicurezza è stato identificato se è su un
software libero, allora la patch arriva molto velocemente, su un
software commerciale ci possono volere mesi (c'era un ottimo articolo
di un ex dirigente, se non erro, digital che spiegava i motivi)
Ciao
Davide
--
La mia privacy non è affar tuo
https://noyb.eu/it
- You do not have my permission to use this email to train an AI -
If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to
training your model and all the source of the program that use that model
--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)