O problema
Talvez alguns tenham percebido que o Arch Linux, por enquanto, ainda não tem uma equipe dedicada especialmente à segurança. Portanto, muitas vezes alguns pacotes ficam vulneráveis e as vulnerabilidades demoram a ser descobertas por seus mantenedores.
Apesar de o Arch Linux utilizar sempre a última versão dos pacotes, isso não basta. Muitas vezes o desenvolvedor demora para lançar uma nova versão com a correção. As distros, então, precisam aplicar patches em seus pacotes para corrigir as vulnerabilidades enquanto novas versões não são lançadas. Um exemplo é o atual pacote do Python, que se encontra vulnerável, e uma nova versão do mesmo não foi lançada.
A idéia
Para automatizar os esforços de segurança do Arch Linux, para que tenhamos segurança sem a necessidade de criar uma equipe para isso, tive a seguinte idéia:
O projeto NetBSD já possui uma lista muito bem organizada de pacotes vulneráveis, disponível em http://ftp.netbsd.org/pub/NetBSD/packages/vulns/pkg-vulnerabilities. Tudo o que temos a fazer é criar um banco de dados que relacione o nome dos pacotes do pacman com o nome dos pacotes do pkgsrc (sistema de pacotes do NetBSD). Dessa forma poderemos nos beneficiar do mesmo banco de vulnerabilidades.
Tendo as correspondências de nome entre os pacotes, podemos enviar emails automatizados para os mantenedores de pacotes possivelmente vulneráveis, e até mesmo para as mailing lists do Arch. Dessa forma, vulnerabilidades serão corrigidas mais rapidamente.




Advertência: O Linux pertence ao lado negro da força. Cuidado com ele, a cada mudança mínima de versão, toda a API é quebrada e seus módulos possuem 90% de chance de parar de funcionar.







