[Linuxtrent] Re: riflessione sulla sicurezza di alcune applicazioni LAMP
- From: Flavio Visentin <THe_ZiPMaN@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Tue, 23 Feb 2010 20:00:13 +0100
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Marco Ciampa wrote:
| Quanto è sicuro usare questi archivi piuttosto che installarsi a mano
l'applicazione e
| aggiornarsela quando ci sono bollettini di sicurezza che invitano a farlo?
Tanto uguale e talvolta è più sicuro l'uso dei repositories.
Quando esce una patch di sicurezza questa viene applicata al pacchetto di
Debian dal mantainer o dal Debian Security Team (se è grave). Normalmente il
giorno stesso o al più il giorno dopo il pacchetto aggiornato è disponibile
ed installabile; quando si parla di Stable la versione è sempre la stessa
con l'applicazione delle patch di sicurezza (eventualmente back-portate),
quindi nel 99.9% dei casi si può fare l'aggiornamento senza farsi troppi
problemi e con una buona garanzia di risultato (AKA una stable la puoi
aggiornare automaticamente con apticron senza particolari rischi).
Viceversa il patching dell'applicazione ufficiale viene fatto solo per la
versione supportata (normalmente solo l'ultima) il che può comportare la
necessità di cambiare versione di software con possibili controindicazioni
per le altre applicazioni che girano sul sistema (magari devi aggiornare
anche la libreria o l'applicazione PHP non funziona più correttamente,
ecc.ecc.). Questo comporta tempi di applicazione degli aggiornamenti
normalmente più lunghi, necessità di test e talvolta attività di sviluppo
per il backporting delle patch alla versione corrente (non alla portata di
tutti), quindi in sostanza un dispendio di tempo e di energie.
Dato che uno può dimenticarsi di fare l'aggoirnamento o può non avere il
tempo di leggere tutti i bollettini o può essere in ferie e non avere una
copertura adeguata delle competenze da parte dei colleghi, mediamente si può
dire che l'uso dei repos ufficiali è certamente consigliabile.
L'aggiornamento automatico con apticron o comunque un apt-get dist-upgrade
sono alla portata di tutti a prescindere dalle competenze, a differenza
dell'onerosa gestione del patching manuale.
- --
Flavio Visentin
GPG Key: http://www.zipman.it/gpgkey.asc
There are only 10 types of people in this world:
those who understand binary, and those who don't.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iEYEARECAAYFAkuEJb0ACgkQusUmHkh1cnp6pQCghnNW058zF4hUa+6F/BQeMUzm
4MMAn12jugkfwy8UyIpKBSEFkCO6JL06
=8U91
-----END PGP SIGNATURE-----
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
