Heliox a écritJ'ai une petite question, vu qu'il semble y avoir des connaisseurs avancés de Debian : comment se fait la gestion de la sécurité de Debian pour des logiciels d'utilisation quotidienne ?
C'est pas très clair, je m'explique : J'ai Lenny sur un système et en 1 an d'utilisation, il ne me propose pas de mise à jour de sécurité pour des logiciels comme Firefox, Thunderbird (leurs noms équivalent Debian). La version a beau être ancienne comment se fait-il qu'il n'y ait pas beaucoup correctif à télécharger ?
Comme pour tous les paquets maintenus par Debian, le responsable d'un paquet suit normalement de près les sorties et l'actualité au niveau développement du logiciel à packager. Quand un bug/une faille est découverte, l'équipe de dev upstream la corrige (via un patch qui leur a été transmis ou d'eux même, peu importe). Suivant le degré d'importance de ce qui a été corrigé, ceci peut donner lieu à une nouvelle version mineure du logiciel, et le responsable du paquet fait son boulot. Parfois même le responsable du paquet n'attend pas l'approbation du patch upstream, et il prend la responsabilité de patcher directement le logiciel distribué dans Debian.
Dans le cas de Debian stable, les versions restent généralement fixes, du coup le responsable du paquet fait de son mieux pour backporter les patchs correctifs (et uniquement ceux-ci, les patchs touchant aux fonctionnalités ne sont pas pris en compte) sur la version de la branche stable quand c'est possible. Bien sûr il ne faut pas oublier que c'est un projet bénévole, il n'y a aucune obligation de résultat... ceci-dit Debian n'a pas la réputation de faire les choses à moitié non plus.
Un autre point important aussi concernant les produits Mozilla, c'est leur faible durée de support. Par exemple, c'est Iceweasel 3.5 qui sera distribué pour Squeeze (et Icedove etc, tout ce qui dépend de xulrunner-1.9.1 en fait), version qui ne sera plus supportée par Mozilla ce mois-ci (août 2010). Du coup Debian prend en charge le support total de cette version jusqu'à 1 an après la sortie de la nouvelle stable. Forcément les responsables ne doivent pas connaître aussi bien le code du logiciel que l'équipe upstream, du coup la tâche ne doit pas être toujours aisée.
Comme exemple, je vais prendre un moment un peu vieux maintenant (à l'époque de Etch stable) : la faille mondiale qui a touché SSL (pas celle de Debian qui est plus récente). Je me souviens que tous les gros "morceaux d'Internet" se sont transmis le message en toute confidentialité pour sortir un patch à leur produit à peu près en même temps.. Je me souviens que sous Debian Etch , il n'y a jamais eu de mise à jour pour SSL (pourtant stable), ce qui fait que l'accès à Gmail (enter autre) m'a dès lors toujours été refusé avec mon navigateur Iceweasel 1.5 je crois à l'époque.
Aucune idée vraiment, essais de demander sur debian-fr.org ? (je n'ai jamais utilisé Etch).
Et de manière générale, il y a peu de mise à jour proposées. Évidemment le fait que ce soit une version stable y est pour quelque chose, mais n'est pas un argument valable pour des bugs (médiatisé, je connais que ceux-là) découverts après la sortie de ladite version stable... Les seules mises à jour que je vois sur Debian c'est des trucs internes comme Linux, libc6 etc...
Le fait que ça soit stable y est quand même pour quelque chose oui 🙂 La période avant et pendant le freeze est justement faite pour se débarrasser d'une grande partie des bugs.
Alors que ce passe-t-il ? manque de suivi de la part de Debian ? Ou alors, ai-je loupé quelque chose ? (plus probable à mon avis).
J'ai pourtant le dépôt de sécurité dans mon sources.list tel qu'ajouté de base par l'installateur et signalé dans la plupart des tuto sur Internet que j'ai consulté.
Il pourrait y avoir un manque de suivi sur quelques logiciels, ce n'est pas à écarter en particulier pour un projet bénévole.
Plus récemment mes investigations m'ont amené à voir du coté de dépôt "proposed" qui propose des mies à jours suggérées. Ce dépôts règle-t-il mon problème ? (je préfère demander avant de faire des bêtises, ma Debian roule tellement bien 🙂)
Ce dépôt ne t'apportera rien de plus, il sert juste à tester les paquets mis à jour avant qu'ils ne rentrent dans
update.
