Является ли запуск пакетов из вселенной Ubuntu более рискованным, чем запуск тех же пакетов в Debian? [закрыто]
Я использую Ubuntu LTS Server. Есть ли какие-либо проблемы с установкой исправлений безопасности для пакетов юниверса? Я имею в виду, рискую ли я запустить уязвимую систему при наличии пакетов юниверса по сравнению с альтернативой запуска аналогичного сервера Debian?
1 ответ
Даже в Debian, существуют много много пакетов, которые не получают регулярные обновления системы защиты. От безопасного канала Debian на IRC OFTC:
служба безопасности оказывает поддержку для всех пакетов, с помощью специалистов по обслуживанию пакета (и восходящие разработчики).
Из общего обсуждения, мы можем предположить, что главные поломки безопасности привлекают свое внимание, но существует, очевидно, порог для серьезности.
От FAQ безопасности Debian для вопроса, "Как безопасность обрабатывается в Debian?":
, Как только служба безопасности получает уведомление об инциденте, один или несколько участников рассматривают ее и рассматривают его влияние на стабильную версию Debian (т.е. если это уязвимо или не). Если наша система уязвима, мы работаем над фиксацией для проблемы. Со специалистом по обслуживанию пакета связываются также, если они уже не связались со службой безопасности. Наконец, фиксация тестируется, и новые пакеты подготовлены, которые тогда компилируются на всей стабильной архитектуре и загружаются впоследствии. После того, как все это сделано, консультация публикуется.
Однако точка соображения - то, что служба безопасности не будет быстрой во всех пакетах и будет полагаться на поддержку от специалистов по обслуживанию пакета и восходящего devs также для 'решения' проблем.
После дальнейшего обсуждения в канале IRC безопасности Debian, было сказано, что мой анализ здесь подводит итог ситуации приятно:
служба безопасности Debian оказывает поддержку для всех с помощью специалистов по обслуживанию пакета и в восходящем направлении, но они лично не исправляют все.
- <час> teward
Ubuntu не отличается, за исключением того, что общественные поддержки 'вселенная'. Пакеты Вселенной активно не сохраняются Службой безопасности Ubuntu, и исправления безопасности для тех пакетов являются предоставленным сообществом (за некоторыми исключениями, такими как nginx пакет, для которого почти исключительно я обеспечиваю патчи Службе безопасности Ubuntu). В то время как Вам не гарантируют обновлений для этих пакетов, много популярных будет иметь достаточно внимания для обычного имения кого-то работающего, чтобы попытаться исправить проблемы безопасности.
Для специфического ответа, тем не менее, необходимо было бы предоставить список (списки) пакета, Вам любопытно на предмет, но не на этом сайте, поскольку это становится открытым законченным бесконечным рядом вопросов и ответами.
, Чтобы действительно ответить на вопрос 'уязвимой системы' невозможно в рамках этого сайта хотя, потому что, в то время как существуют 'гарантии', которые можно взять для смягчения части неисправленного программного обеспечения из-за природы тех пакетов, анализируя варианты использования и решив, что смягчение для каждой вещи также выходит за пределы объема этого сайта и способности ответить в ограничениях, сформулированных здесь.