Mot-clé - bugzilla-fr

Fil des billets

vendredi, octobre 21 2011

La sécurité, Bugzilla et Debian

Pendant un certain temps, j'ai été l'un des développeurs d'un Logiciel Libre qui s'appelle Bugzilla. Ça reste l'une de mes contributions les plus importants (si ce n'est *la* plus importante) au monde du libre.

Il y a quelques semaines, on m'a signalé sur le canal IRC de Parinux le ticket #638705 de Debian. Celui-ci a été crée par Moritz Muehlenhoff (membre de l'équipe sécurité de Debian) demandant qu'on retire le paquet de bugzilla des dépôts Debian. Il explique dans son ticket que le paquet de Bugzilla que distribue Debian souffre de plusieurs failles de sécurité et que le mainteneur n'a visiblement pas l'intention de publier une version qui les corrige. Alexander Reichle-Schmehl intervient alors dans le ticket pour dire le logiciel a été supprimé dans la base de données.

J'ai informé les développeurs de Bugzilla de cette action (des fois, je me dis qu'il y a de gros problèmes de communication entre les distributions et les projets qu'ils distribuent). Globalement, tout le monde a semblé se réjouir de cette décision. Il y a maintenant plus de chance que les gens qui souhaitent installer Bugzilla sur Debian le fassent à partir des sources fournis par l'équipe Bugzilla plutôt qu'avec le paquet Debian. Ils auront donc un Bugzilla plus facile à installer (celui-ci de Debian ne marchait que dans certains conditions) et les personnes qui l'utiliseront ne partiront pas du principe que Debian gère pour eux mêmes la sécurité de leur installation.

Le 10 octobre, l'équipe de sécurité a publié le bulletin d'alerte correspondant aux failles de sécurité en question. Malheureusement, on peut y lire la mention suivante "Pour la distribution oldstable (Lenny), il n'était pas pratique de rétroporter les correctifs pour corriger ces bogues. Nous recommandons très fortement aux utilisateurs de bugzilla sous Lenny de mettre à jour vers la version de la distribution Squeeze.".

C'est dommage. Je vous avoue que, là, Debian baisse dans mon estime.

mardi, mars 29 2011

Bugzilla 4.0

Hier, j'ai (enfin) soumis un paquet de la version 4.0 de Bugzilla dans le dépôt de Fedora. Ça aura pris du temps (la version 4.0 de Bugzilla est sorti le 15 février) mais ça aura été l'occasion de refaire le fichier bugzilla.spec (le fichier qui contient les commandes qui transforment une archive de code source en archive rpm).

L'avantage, c'est que le nouveau règle un certain nombre de problèmes qui existent depuis pas mal de temps. Il est plus facilement modifiable, plus facile à mettre à jour et plus simple à comprendre (on va donc supposer qu'il contient moins d'erreurs que le précédant).

Une bonne chose de faîte, donc