
<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">Le mar. 27 nov. 2018 à 15:22, Xavier <<a href="mailto:yadd@debian.org">yadd@debian.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 27/11/2018 à 15:03, Jonas Smedegaard a écrit :<br>

> Quoting Xavier (2018-11-27 14:00:42)<br>

>> Le 27/11/2018 à 11:55, Jonas Smedegaard a écrit :<br>

>>> Hi Xavier and Paolo,<br>

>>><br>

>>> Please allow me to highlight this security-related detail:<br>

>>><br>

>>> Quoting Xavier (2018-11-26 16:29:32)<br>

>>>> Embedding components without following them may be a lack of security. <br>

>>>> I think we should have a policy for embedding:<br>

>>>>  - components without major risks   => not used in version<br>

>>>>  - components that must be followed => declared as "group" in<br>

>>>>    debian/watch<br>

>>>>  - components that must be followed and used in many other packages<br>

>>>>    => packaged separately<br>

>>><br>

>>> Quoting Paolo Greppi (2018-11-27 10:52:37)<br>

>>>> With yesterday's news about the event-stream node module being pwned: <br>

>>>> <a href="https://github.com/dominictarr/event-stream/issues/116" rel="noreferrer" target="_blank">https://github.com/dominictarr/event-stream/issues/116</a><br>

>>>> the importance of these matters should be clear to anyone.<br>

>>>> Probably there is no component "without major risks", and even if it <br>

>>>> existed, it would be unfair to lay upon the busy maintainer the task <br>

>>>> of deciding if it is risky or not.<br>

>>><br>

>>> Thanks to _both_ of you (and others in the thread) for all your work <br>

>>> tackling these issues.<br>

>>><br>

>>> My point here is *not* to point fingers, but to emphasize an important <br>

>>> aspect of our task as (re)distributors of code: Ensure code integrity <br>

>>> towards our users.<br>

>>><br>

>>><br>

>>>  - Jonas<br>

>><br>

>> Thanks, so I propose this policy update - please review this:<br>

>>  - components used only during build => not used in version<br>

>>    (except if they inject some code)<br>

>>  - if upstream version isn't locked on dependencies (see Jérémy remark)<br>

>>    [or if upstream isn't serious?]:<br>

>>    * very little component => not used in version<br>

>>    * components that must be followed and maybe used in many other<br>

>>      packages              => packaged separately<br>

>>    * other components      => declared as "group" in debian/watch<br>

> <br>

> Sorry, I don't understand: Why not track code used during build?<br>

> <br>

> Seems you propose to systematically ignore potential upstream bugfixes.<br>

> <br>

> <br>

>  - Jonas<br>

<br>

I was thinking to modules used to generate documentation, to test,... So<br>

even if there is a security issue in them, risk doesn't exist in<br>

published binary<br></blockquote><div><br></div><div>If there's something able to inject code in documentation (especially in html) it's a big issue...</div><div><br></div><div>Jérémy</div></div></div>