>Но что будет, если в апдейте есть намерено допущенная ошибка, ставящая
>безопасность системы под угрозу? для действительно критичных пакетов пользую самописные тесты... ну и мониторинг, в том числе сетевой активности.
>Краш-тесты скорее всего предназначены для оценки стабильности апдейта,
>а не его безопасности.
именно так, безопасность см. выше.
>>2. Вероятность того что кто-то кто подобно мне проводя подобный (хоть поверхностный)
>>аудит обнаружит что-то подозрительное не так мала...
>
>Специально сделанные ошибки? Вряд ли.
вероятность не нулевая. намеренно или нет судить трудно... но несколько случаев было. были отосланы репорты и ошибки исправлены.
>Непонятного поведения может и не быть — до взлома. Или до актвизации
>трояна,
>если кому-то удалось протащить свой код.
опять же, я ни в коем случае не говорю о 100% безопасности, ее не бывает но это довольно сильно помагает понимать процес апдейта и воздействие патчей на работающей системе.
>Итого, получается, что ваши действия затратны (требуют определенной квалификации
>и времени), но совсем не эффективны против намеренных атак. Да и против действительно
>серьезных ошибок — тоже. Nginx, ssh используют все. Про дыры в них помните?
еще раз, если процес отлажен то это не так накладно как Вам кажется. после апдейта через сутки двое просмотреть репорты... о критических вещах приходит письмо... но личная заинтересованность (мотивация) естественно должна быть, я понимаю никого не заставишь делать это.
кто-то же должен выявлять и исправлять эти самые дыры и ошибки, как вы считаете? :)
p.s. nginx - не пользую, ssh - проблем не было, хотя мелкие ошибки в конфигурации находил
