Dernières nouvelles / Nouvelles du projet Debian / 2000 / 11 avril

Nouvelles hebdomadaires Debian - 11 avril 2000

Nous avons le plaisir de vous présenter la 11e DWN de l'année, la lettre d'information hebdomadaire de la communauté Debian.

Tout le monde est depuis longtemps conscient de l'existence d'un problème élémentaire de sécurité dans Debian : les paquets peuvent être modifiés sur les miroirs Debian et les utilisateurs n'ont aucun moyen de vérifier que le paquet qu'ils rapatrient est le même que celui que le développeur a introduit dans l'archive. Deux idées pour accroître la sécurité sont revenues à maintes reprises. La première consiste à ajouter des signatures au sein même des fichiers .deb, ce qui permet de contrôler qu'un développeur donné a bien généré un paquet donné. La seconde consiste à signer les fichiers Packages.gz, ce qui permet de vérifier que le paquet a été convenablement chargé. Aucune de ces solutions n'offre une sécurité parfaite. Beaucoup de failles demeurent ; par exemple, si la machine d'un développeur est piratée et que celui-ci n'est pas prudent avec ses clés, ces dernières peuvent être compromises. De par le passé, traditionnellement à l'esprit Debian, nous nous sommes gardés de faire quoi que soit car aucune solution parfaite ne s'était présentée.

Ce problème a refait surface cette semaine, et la tendance serait d'implémenter ces deux types de signatures, tout en sachant qu'elles sont toutes deux trop imparfaites pour pouvoir placer la barre de la sécurité un cran plus haut. À l'issue de longues discussions sur les listes de diffusion et sur irc, une majorité croissante de personnes semble parvenir à un consensus sur le sujet. Cependant, qui va l'implémenter ?

5 nouvelles listes de diffusion viennent d'être créées. Elles traitent de divers sujets allant du portage vers les architectures PA-RISC et S/390 à la localisation en néerlandais.

Il est désormais possible d'accéder directement au répertoire Incoming, utilisé par les développeurs Debian pour déposer leurs nouveaux paquets, via http://incoming.debian.org/. L'ancien réseau de miroirs de Incoming va être fermé.

IBM Global Services « Linux Support Line », en partenariat avec Alcôve, va offrir un support téléphonique pour Debian dans plusieurs pays. Leur communiqué de presse affirme de manière surprenante que Debian domine actuellement le marché (27%).

La liste des nouveaux paquets intégrés à Debian cette semaine inclut les paquets décrits ci-dessous ainsi que 24 autres :

• abook : carnet d'adresses en mode texte basé sur ncurses ;
• bass : application effectuant un audit de la sécurité sur Internet [non-free] ;
• debwrap : surcouche d'automatisation à dpkg/apt-get ;
• doxygen : système de documentation pour C, C++ et IDL ;
• dvipdfm : traducteur de DVI en PDF ;
• fujiplay : interface pour les appareils photo numériques Fuji ;
• gob : générateur d'interfaces GTK+.

Pour recevoir cette gazette chaque semaine dans votre boîte à lettres, abonnez-vous à la liste de diffusion debian-news pour la version anglaise ou à la liste de diffusion debian-news-french pour la version française.

Les dernières parutions de cette gazette sont disponibles.

Ce numéro de la Debian Weekly News a été édité par Joey Hess.