Le site Distrowatch propose un très intéressant tableau comparatif pour voir le temps de réaction des principales distributions lors de la récente alerte de sécurité du noyau Linux.
Quel a été le délai entre la publication générale de l'alerte sur tous les sites (le 11 février) et la mise à disposition du patch correcteur par les différentes distributions ?
Distribution => Delay
Debian GNU/Linux => +0 hours
Fedora => +8 hours
Slackware Linux => +12 hours
Mandriva Linux => +19 hours
Frugalware Linux => +21 hours
openSUSE => +23 hours
rPath Linux => +26 hours
Red Hat Enterprise Linux => +27 hours
Ubuntu => +27 hours
CentOS => +37 hours
Le site Distrowatch souligne néanmoins qu'il ne faut pas surinterpréter ces chiffres. Certaines distros proposent le support de diverses architectures alors que d'autres ne sont disponibles pour les CPU les plus répandus. Il est évident que le temps de réaction ne sera pas le même.
De même les grosses distros commerciales (Red et Suse) testent certainement plus longtemps leurs patchs car les clients qui payent n'aiment pas les problèmes lors des mises à jour.
L'article de Distrowatch indique également que certaines distros (Arch ou Zenwalk par exemple) n'ont toujours pas proposé le patch correcteur à leurs utilisateurs.
Quel a été le délai entre la publication générale de l'alerte sur tous les sites (le 11 février) et la mise à disposition du patch correcteur par les différentes distributions ?
Distribution => Delay
Debian GNU/Linux => +0 hours
Fedora => +8 hours
Slackware Linux => +12 hours
Mandriva Linux => +19 hours
Frugalware Linux => +21 hours
openSUSE => +23 hours
rPath Linux => +26 hours
Red Hat Enterprise Linux => +27 hours
Ubuntu => +27 hours
CentOS => +37 hours
Le site Distrowatch souligne néanmoins qu'il ne faut pas surinterpréter ces chiffres. Certaines distros proposent le support de diverses architectures alors que d'autres ne sont disponibles pour les CPU les plus répandus. Il est évident que le temps de réaction ne sera pas le même.
De même les grosses distros commerciales (Red et Suse) testent certainement plus longtemps leurs patchs car les clients qui payent n'aiment pas les problèmes lors des mises à jour.
L'article de Distrowatch indique également que certaines distros (Arch ou Zenwalk par exemple) n'ont toujours pas proposé le patch correcteur à leurs utilisateurs.
> Lire le journal (33 commentaires, moyenne: 2,9).
Vous avez demandé le commentaire #905632.
Run by 
Cette page a été générée par Templeet en 0.0516s (dont 0.0053 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Debian rules !
Ce n'est pas encore vendredi, mais j'arriverais pas à retenir mon troll jusque là :
Debian rules !
Bon ok, en dehors du troll :
0 heures , c'est quoi ce chiffre ?
Ca voudrais dire que le correctif serait parru dans l'heure ? impressionnant.
Doit-on en conclure que Debian c'est mieux que %%Votre distrib préférée%%, (je pense que oui :) ).
Sachant que l'ecart entre Debian et son suivant est de 8 heures, ne doit on pas y voir de la précipitation du côté de Debian ? (je pense que non)
[^]Re: Debian rules !
0 heures , c'est quoi ce chiffre ?
Ca voudrais dire que le correctif serait parru dans l'heure ? impressionnant.
Pour les failles critiques les "vendors" sont generalement prevenus a l'avance. Generalement, ca se passe en 3 temps (sans compter la premiere etape ou le projet apprend qu'il a un joli trou de secu ;))
1. Annnonce de la failles aux security officers/maintainers, avec souvent un correctif
2. Quand les principaux acteurs sont prevenus/prets, une date et une heure sont choisies pour l'annonce publique.
3. une fois annoncee, tout le monde applique le fix (commits dans les repos, mise a jour des packages, etc...)
Note: il peut s'ecouler plusieurs jours/semaines/mois entre la phase 1 et 3.
[^]Re: Debian rules !
0 heures , c'est quoi ce chiffre ?
Ca voudrais dire que le correctif serait parru dans l'heure ? impressionnant.
Non, c'est n'est pas ça.
Sur la page c'est bien marqué que la faille a été découverte le 8 et corrigée à partir du 11.
À partir de ce moment là Debian est pris comme temps de référence. Et le nombre d'heure des autres distribs, c'est le temps en plus qu'elles ont mis à corriger.
Un peu comme dans une course automobile, la première au vainqueur correspond le temps qu'il a mis. Pour les autres, on met un différentiel par rapport au premier.
J'aurai préféré qu'on mette le temps de l'annonce en référence, ce serait plus parlant. On verrai bien qu'entre 3 jours et 3 jours et 8 heures, la différence n'est pas si grande que ça. Par contre entre 3 jours et 5 jours, ça commence à faire beaucoup. (Pas pour dénigrer Debian, c'est ma distrib et je suis content de voir qu'elle a été la plus réactive. Juste parce que je trouve que ça aurait été plus parlant).
Une autre chose aussi. Dommage que Distrowatch soit à ce point imprécis. Ils donnent des dates et des heures, pas pas de fuseau horaire de référence... En général ça ne m'étonne pas de cerains habitants des États Unis (pas tous hein, je ne généralise pas) qui sont relativement ignorant qu'il y a quelque chose en dehors de leur frontières, mais là... Même aux USA il y a plusieurs fuseaux horaires. Ils devraient le savoir non ?
Bref on n'est pas le 8/02 partout dans le monde en même temps, et pour les heures de référence, c'est encore pire... D'autant que leurs commentaires sont exprimés en GMT. Probablement le fuseau retenu pour ce comparatif ?
[^]Re: Debian rules !
Un peu comme dans une course automobile, la première au vainqueur correspond le temps qu'il a mis. Pour les autres, on met un différentiel par rapport au premier.
Si seulement le systeme sous-jacent pouvait etre aussi simple que ca...
/me retourne a la réecriture de son projet actuel, poetiquement appelé "FOMTeamClient"
"While a monkey can be a manager, it takes a human to be an engineer" Erik Zapletal
[^]Re: Debian rules !
>>> En général ça ne m'étonne pas de cerains habitants des États Unis (pas tous hein, je ne généralise pas) qui sont relativement ignorant qu'il y a quelque chose en dehors de leur frontières, mais là...
Ladislav (l'auteur de Distrowatch) vit à Taiwan je crois.
[^]Re: Debian rules !
ça veut surtout dire que les debianneux bossent le dimanche car ils ont pas de probléme avec la drh ou l'inspection du travail /o\
( non, j'ai pas dit qu'ils ont aucune vie, pas du tout )
[+] [^]Re: Debian rules !
> Debian rules !
C'est pour un bug seulement !
> Doit-on en conclure que Debian c'est mieux que %%Votre distrib préférée%%, (je pense que oui :) ).
Pour ce bug, oui.