Security-Fixes und Gentoo Entwickler-Community

[andreask]

Hi!

Habe mal eine Frage zur Entwickler-Community von gentoo.
Erstmal, gibt es eigentlich Firmen die Gentoo unterstützen? Also dass Entwickler z.B. ganztags... dran arbeiten können?

Und dann, wie ist das mit dem Beheben von Sicherheitslücken? Wenn ich in irgendwelchen Newstickern was von irgendwelchen kritischen Bugs oder Sicherheitslücken mitbekomme, kommt sowas meist von Entwicklern von RedHat oder Suse, die dann mit der Veröffentlichung auch meist schon ein entsprechendes Patch online haben. Das ist in meinen Augen eigentlich der größte Vorteil eben dieser Distributionen.

Wie läuft das dagegen bei Gentoo ab? Wenn ein kritischer Bug oder eine Sichertheitslücke im Kernel oder einem wichtigen Package gefunden wird, was passiert dann? Soweit ich das gehört habe wird von gentoo-devs nichts gepatched, oder? Das heißt man wartet darauf dass die Entwickler der original-Pakete die Bugs fixen, erstellt schnell ein ebuild und spielt das ganze in den Portage-Tree, richtig?

Soweit ich weiß unterrichten die Entwickler von RedHat & Co. wenn sie einen Bug fiinden ja auch den Autor des Paketes vor der Veröffentlichung und geben dem so Zeit ein eigenes Patch zu erstellen. (Wobei - wieso machen sie sich dann die Arbeit mit einem eigenen Patch?)

Das heißt ja, dass meistens nach der Veröffentlichung "nur noch" das ebuild erstellt werden muss und so gibt es kaum Verzögerung gegenüber RedHat & Co, oder? (Außer wenn das Kompilieren lange dauert )

Es kann sein dass ich jetzt sehr viel Schwachsinn erzählt habe, aber das ist mein Eindruck als bisheriger RedHat-Nutzer der erst vor wenigen Tagen auf Gentoo umgestiegen ist.

Mich interessiert nur, wie genau das ganze mit Bug-Fixes und Beheben von Sicherheitslücken hier läuft. An sich finde ich die Patcherei gar nicht unbedingt so toll weil das auch andere Probleme verursachen kann.


Viele Grüße
Andreas

[citizen428]

In der Mailingliste gentoo-announce werden auch (und hauptäschlich) die GLSAs (Gentoo Linux Security Announcements) veröffentlicht. Das sieht dann z.B. so aus:

[borlander]

Wenn man sich mal anschaut wie lange es dauert bis eine Sicherheitslücke dauert, finde ich es gar nicht so schlimm wenn man 1-2 Wochen auf einen Patch warten muss. Ich finde das Patch-Tempo von Gentoo ist sehr gut. Doch muss ich aus meiner Erfahrung (die nicht groß ist) sagen, dass die Quallität der Patches in Redhat, Debian usw. oftmals besser ist. Ich kann mich auch da irren, aber ich hab es schon ein paar mal erlebt, das sich ein Packet nicht installieren ließ. Und erst nach ein paar Tagen nach einem erneuten emerge sync lief es dann.
(Bei einem emerge -UD world)

[andreask]

Hallo!

Danke für die Antworten, sowas in der Art hatte ich mir erhofft. Die Mailingliste, ist die auch über das Usenet abrufbar?

also ist das dasselbe wie "linux.gentoo.announce"?

@borlander: Was war das denn zum Beispiel? Was mich besonders interessiert sind Sicherheitslücken die man von außen ausnutzen könnte. Also Lücken in openssh oder openssl, oder apache, php... sowas halt.

Und wie ist das mit den Entwicklern bei gentoo? Sind das "nur" Freiwillige die das in Ihrere Freizeit als Hobby betreiben, oder auch manche beruflich/vollzeit?

Was mich sehr beeindruckt sind die Dokumentation und der "Forums-Support", wenn ich das mal vergleiche mit Suse, da hatte ich Handbücher und einen Support-Vertrag, aber ich würde behaupten dass sowohl die Doku als auch der "Support" bei gentoo um Längen besser ist, und auch in alles in deutsch.

Was dazu kommt, wenn man bei RedHat oder Suse sich nicht mit den "Feinheiten" der Distribution beschäftigen muss, und dann doch mal ein paar "tiefergehende" Dinge tut, macht man da mehr falsch als hier wo man es direkt von Anfang an "richtig" beigebracht bekommt.

Naja, wollte ich nur mal anmerken!

Viele Grüße
Andreas

[sirro]

Eine kleine Diskussion über 'emerge security' gibts unter [1]

[1] https://forums.gentoo.org/viewtopic.php?p=807396