Gentoo Logo

Processo e stato dei Security Padawans

Indice:

1.  Reclute Progetto Sicurezza

Padawan

Il processo di reclutamento nel gruppo di sviluppatori di sicurezza è differente dal processo principale di reclutamento. La conoscenza delle specificità di Gentoo non è così importante come potrebbe esserlo per altri tipi di sviluppatore, dato che non saranno necessari i permessi di commit sul Portage tree. Detto in altre parole, è necessario possedere un buon background in ambito di sicurezza, buona conoscenza del'inglese scritto e si avranno progressivamente maggiori responsabilità..

Tutto il processo di reclutamento può estendersi da 2 a 3 mesi, in funzione delle capacità e conoscenze personali e dal tempo che si decide di investire nel progetto. Parlando proprio del tempo: la maggior parte delle attività che dovranno essere svolte coinvolgono meno di 10 minuti, ma bisogna poter reagire ai problemi con una bassa latenza. Perciò, la dedizione costante è più importante dell'avere grandi quantità di tempo libero. Le reclute del gruppo sicurezza in addestramento saranno chiamate all'interno di questo documento come padawan.

Nota: Gli sviluppatori, gli sviluppatori senior e gli attuali padawan compaiono sulla pagina del Progetto Sicurezza.

2.  Fasi del reclutamento

Per diventare un padawan, bisogna inviare una richiesta all'indirizzo security@gentoo.org. Una semplice mail che parli di te stesso (da dove vieni, hobby, lavoro, esperienze precedenti in progetti opensource e sicurezza) è sufficiente. Potresti collegarti al canale IRC #gentoo-security per avere una idea di come sono svolte le attività. È possibile leggere la guida Coordinatore GLSA e se si è interessati al lavoro si può iniziare come uno Scout (ndt, sentinella).

Scout

Il primo passo nell'adesione al team è quello di essere uno scout. Si dovranno seguire le principali liste di discussione in materia di sicurezza e siti (a a scelta) sottomettendo bug non ancora elencati in Bug di Sicurezza correnti. È consigliabile ricercare eventuali bug duplicati prima di sottometterne uno. Sei invitato a chiedere informazioni nel canale IRC #gentoo-security. Gli attuali membri del team potrebbero anche mandarti direttamente una e-mail o commentare il bug da te aperto, con suggerimenti. È comunque saggio aggiunge la lista security@gentoo.org a quelle monitorate. Per fare questo, è sufficiente aprire le impostazioni del proprio account bugzilla, andare alla voce "Email Preferences" ed aggiungere security@gentoo.org nel box in basso. Fatto questo, ogni email inviata all'indirizzo security@gentoo.org, sarà recapitata al proprio indirizzo ad eccezione di quelle con restrizioni. Questo aiuterà a rimanere aggiornati.

Oltre a compilare nuovi bug report di sicurezza, si è invitati a trovarne una eventuale soluzione ad essi (mettendo in CC i maintainer, modificando lo stato del bug come descritto nella guida al Coordinatore GLSA). Sfortunatamente, questo è permesso solo sui propri bug report. Si sarà autorizzati a modificare e muovere altri bug report quando si diventerà uno sviluppatore in prova (developer on probation).

Cercare bug di sicurezza può essere molto difficoltoso e noioso, come un lavoro da schiavo. Ci sono diversi modi per rendersi la vita più facile. Alcuni canali principali, come Full-Disclosure, hanno un rateo segnale/rumore piuttosto basso, ma ci sono anche altre mailing list come oss-security che sono piu incentrate su venditori di distribuzioni. Potreste anche essere interessati a canali secondari, ad esempio ci si puo iscrivere a Secunia Advisories attraverso una mailing list, o BugTraq BIDs e CVE identifiers possono essere seguiti tramite i feed RSS. Si possono trovare anche mezzi per gestire agilmente identificativi CVE appena assegnati ed eseguire altri compiti di routine al link Security SVN. Si prega di consultare il file README lì disponibile.

InoltreÈ è possibile anche provare a trovare altre attività di proprio interesse, come ad esempio aiutare altri sviluppatori che sono in ritardo con la pacchettizzazione di ebuild e/o stabilizzando o verificando una vulnerabilità dove non è sicuro se Gentoo ne sia affetta o meno. È possibile provare a chiedere nel canale IRC #gentoo-security o mandare una mail a security@gentoo.org chiedendo un incarico.

  • Si avrà bisogno di: un account su Gentoo bugzilla
  • Verrà fornito: Nulla
  • Tempo stimato per la promozione: da due settimane ad un mese, in funzione dalle capacità ed abilità personali.

Nota: Sapete come cercare un bug tramite un identificatore CVE nel Bug tracker di altre distribuzioni? Se no, trovatelo o chiedete a noi su IRC

Allievo/Apprendista

Se si è fatto un buon lavoro come scout, si sarà invitati a diventare un apprentice (ndt, allievo/apprendista), venendo aggiunti allo strumento segreto chiamato 'GLSAMaker'. Si dovrà rispondere a bozze, commenti e revisioni di avvisi di sicurezza. Si sarà anche responsabili della correzione di avvisi abbozzati nel minor tempo possibile. Inoltre si dovrebbe comunque mantenere le attività di scout. Abbozzare GLSA è solitamente più rilassante che andare a caccia di bug, rendendo a questo punto più divertente iniziare il proprio lavoro.

Nota: Avete gia' letto piu' di una pagina su oss-security wiki?

Sviluppatore (in prova)

GLSA significativi e dedizione permettono di accedere alla fase successiva. Verrà aperto dal team di sicurezza un bug di reclutamento permettendo di attenere la magica potenza di poter modificare e muovere bug compilati da altri. Verrà avviato un periodo di prova di 30 giorni in cui bisognerà rispondere correttamente a quiz per poter diventare uno sviluppatore a pieno titolo. Durante il periodo di prova, sarà necessario usare le nuove responsabilità, dimostrando di essere pronti per gestire le stesse.

  • Si avrà bisogno di: tutto quello richiesto per diventare uno sviluppatore Gentoo
  • Verrà fornito: Un account di sviluppatore Gentoo, adesione a security@gentoo.org e diritti potenziati sul bugzilla
  • Tempo stimato per la promozione: 30 giorni.

Sviluppatore

Alla fine del periodo di prova, si diventerà un Coordinatore GLSA a pieno titolo potendo inviare e confermare i propri GLSA. Gloria e fama saranno con voi.

  • Vi serviranno: Lacrime e sudore
  • Vi forniremo: Diritti di commit GLSA, diritti di invio di gentoo-announce e potere di approvazione di padawan

Sviluppatore di sicurezza senior

Per raggiungere il santo graal del percorso di padawan ed avere infiniti poteri, si dovrà passare attraverso i classici quiz per sviluppatori per guadagnare i diritti di commit sul CVS del portage. Si dovrà dimostrare di non avere altra vita fuori dal canale #gentoo-security. Quindi si avrà il potere di mascherare eventualmente gli ebuild.

  • Si avrà bisogno di: superare con successo i quiz per sviluppatore Gentoo
  • Verrà fornito: Diritti di commit sul Portage per mascherare i pacchetti


Stampa

Aggiornato il 29 gennaio 2012

Oggetto: Questo documento descrive le procedure che si applicano al processo di reclutamento del team di sicurezza e l'attuale stato di reclutamento.

Thierry Carrez
Autore

Stefan Cornelius
Autore

Raphael Marichez
Autore

Robert Buchholz
Autore

Tim Sammut
Redazione

Luigi 'Comio' Mantellini
Traduzione

Massimo Zanetti
Traduzione

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.