Debian diskutiert

Als Reaktion auf die heise-Security-Meldung über die fehlenden Security-Updates entbrennt eine Diskussion über die Zukunft des Security-Teams.

In Pocket speichern vorlesen Druckansicht 513 Kommentare lesen
Lesezeit: 2 Min.

Als Reaktion auf die heise-Security-Meldung über die fehlenden Security-Updates ist auf der Debian Sicherheits-Mailingliste eine heftige Diskussion entbrannt. Überrascht zeigt man sich dabei höchstens vom Ausmaß der Probleme -- nach dem ersten "das war nur eine Frage der Zeit" ging es zunächst vor allem darum, den aktuellen Status des Security-Teams zu ermitteln. Dabei stellte sich heraus, dass von den nominell fünf Mitgliedern des Security-Teams bereits seit geraumer Zeit de facto vier nicht mehr aktiv sind -- falls sie das überhaupt jemals waren.

Das heißt, dass es eigentlich schon seit längerem nur der unermüdlichen Arbeit von Martin Schulze aka Joey zu verdanken war, dass Security Advisories und Patches für Debian innerhalb eines vernünftigen Zeitraums bereitgestellt wurden. Und Martin Schulze war vergangene Woche an der Organisation des Linuxtags beteiligt und dabei vom Geschehen abgeschnitten -- was zumindest einen Teil der Verzögerungen erklärt. Technische Probleme bei der Umstellung der Testinfrastruktur auf Debian GNU/Linux 3.1 taten ein Übriges.

Derzeit diskutiert die Debian-Gemeinde, wie man das Security-Team erweitern beziehungsweise umstrukturieren kann, um wieder eine kontinuierliche Arbeit sicherzustellen. Eine Bestandaufnahme über die ausstehenden Sicherheits-Patches hat bereits stattgefunden; es beginnt offenbar die Arbeit daran, diese auf den Weg zu bringen. Noch diese Woche ist mit der Freigabe der ersten aufgelaufenen Patches zu rechnen. Eine offizielle Stellungnahme des Projekts zur aktuellen Situation und der zukünftigen Sicherheitsstrategie steht aber noch aus. (ju)