Processo e stato dei Security PadawansIl processo di reclutamento nel gruppo di sviluppatori di sicurezza è differente dal processo principale di reclutamento. La conoscenza delle specificità di Gentoo non è così importante come potrebbe esserlo per altri tipi di sviluppatore, dato che non saranno necessari i permessi di commit sul Portage tree. Detto in altre parole, è necessario possedere un buon background in ambito di sicurezza, buona conoscenza del'inglese scritto e si avranno progressivamente maggiori responsabilità.. Tutto il processo di reclutamento può estendersi da 2 a 3 mesi, in funzione delle capacità e conoscenze personali e dal tempo che si decide di investire nel progetto. Parlando proprio del tempo: la maggior parte delle attività che dovranno essere svolte coinvolgono meno di 10 minuti, ma bisogna poter reagire ai problemi con una bassa latenza. Perciò, la dedizione costante è più importante dell'avere grandi quantità di tempo libero. Le reclute del gruppo sicurezza in addestramento saranno chiamate all'interno di questo documento come padawan.
Per diventare un padawan, bisogna inviare una richiesta all'indirizzo security@gentoo.org. Una semplice mail che parli di te stesso (da dove vieni, hobby, lavoro, esperienze precedenti in progetti opensource e sicurezza) è sufficiente. Potresti collegarti al canale IRC #gentoo-security per avere una idea di come sono svolte le attività. È possibile leggere la guida Coordinatore GLSA e se si è interessati al lavoro si può iniziare come uno Scout (ndt, sentinella). Il primo passo nell'adesione al team è quello di essere uno scout. Si dovranno seguire le principali liste di discussione in materia di sicurezza e siti (a a scelta) sottomettendo bug non ancora elencati in Bug di Sicurezza correnti. È consigliabile ricercare eventuali bug duplicati prima di sottometterne uno. Sei invitato a chiedere informazioni nel canale IRC #gentoo-security. Gli attuali membri del team potrebbero anche mandarti direttamente una e-mail o commentare il bug da te aperto, con suggerimenti. È comunque saggio aggiunge la lista security@gentoo.org a quelle monitorate. Per fare questo, è sufficiente aprire le impostazioni del proprio account bugzilla, andare alla voce "Email Preferences" ed aggiungere security@gentoo.org nel box in basso. Fatto questo, ogni email inviata all'indirizzo security@gentoo.org, sarà recapitata al proprio indirizzo ad eccezione di quelle con restrizioni. Questo aiuterà a rimanere aggiornati. Oltre a compilare nuovi bug report di sicurezza, si è invitati a trovarne una eventuale soluzione ad essi (mettendo in CC i maintainer, modificando lo stato del bug come descritto nella guida al Coordinatore GLSA). Sfortunatamente, questo è permesso solo sui propri bug report. Si sarà autorizzati a modificare e muovere altri bug report quando si diventerà uno sviluppatore in prova (developer on probation). Cercare bug di sicurezza può essere molto difficoltoso e noioso, come un lavoro da schiavo. Ci sono diversi modi per rendersi la vita più facile. Alcuni canali principali, come Full-Disclosure, hanno un rateo segnale/rumore piuttosto basso, ma ci sono anche altre mailing list come oss-security che sono piu incentrate su venditori di distribuzioni. Potreste anche essere interessati a canali secondari, ad esempio ci si puo iscrivere a Secunia Advisories attraverso una mailing list, o BugTraq BIDs e CVE identifiers possono essere seguiti tramite i feed RSS. Si possono trovare anche mezzi per gestire agilmente identificativi CVE appena assegnati ed eseguire altri compiti di routine al link Security SVN. Si prega di consultare il file README lì disponibile. InoltreÈ è possibile anche provare a trovare altre attività di proprio interesse, come ad esempio aiutare altri sviluppatori che sono in ritardo con la pacchettizzazione di ebuild e/o stabilizzando o verificando una vulnerabilità dove non è sicuro se Gentoo ne sia affetta o meno. È possibile provare a chiedere nel canale IRC #gentoo-security o mandare una mail a security@gentoo.org chiedendo un incarico.
Se si è fatto un buon lavoro come scout, si sarà invitati a diventare un apprentice (ndt, allievo/apprendista), venendo aggiunti allo strumento segreto chiamato 'GLSAMaker'. Si dovrà rispondere a bozze, commenti e revisioni di avvisi di sicurezza. Si sarà anche responsabili della correzione di avvisi abbozzati nel minor tempo possibile. Inoltre si dovrebbe comunque mantenere le attività di scout. Abbozzare GLSA è solitamente più rilassante che andare a caccia di bug, rendendo a questo punto più divertente iniziare il proprio lavoro.
GLSA significativi e dedizione permettono di accedere alla fase successiva. Verrà aperto dal team di sicurezza un bug di reclutamento permettendo di attenere la magica potenza di poter modificare e muovere bug compilati da altri. Verrà avviato un periodo di prova di 30 giorni in cui bisognerà rispondere correttamente a quiz per poter diventare uno sviluppatore a pieno titolo. Durante il periodo di prova, sarà necessario usare le nuove responsabilità, dimostrando di essere pronti per gestire le stesse.
Alla fine del periodo di prova, si diventerà un Coordinatore GLSA a pieno titolo potendo inviare e confermare i propri GLSA. Gloria e fama saranno con voi.
Sviluppatore di sicurezza senior Per raggiungere il santo graal del percorso di padawan ed avere infiniti poteri, si dovrà passare attraverso i classici quiz per sviluppatori per guadagnare i diritti di commit sul CVS del portage. Si dovrà dimostrare di non avere altra vita fuori dal canale #gentoo-security. Quindi si avrà il potere di mascherare eventualmente gli ebuild.
I contenuti di questo documento sono rilasciati sotto la licenza Creative Commons - Attribution / Share Alike. |
|