X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/607d5592a208d7a8df8a242e106f64df77a6c7d1..773fef7d0474de26f7fb1378132edef6654476a9:/blog/archive/2011/01/index.html diff --git a/blog/archive/2011/01/index.html b/blog/archive/2011/01/index.html index d45d66b683..eefb29d003 100644 --- a/blog/archive/2011/01/index.html +++ b/blog/archive/2011/01/index.html @@ -1411,6 +1411,180 @@ well.

+
+
+ Skolelinux-intervju: Morten Amundsen +
+
+ 2011-01-23 12:00 +
+ +
+ +

Denne gangen er det Tromsøkontoret til Friprog-senteret, og nyvalgt +styremedlem i foreningen +FRISK jeg har fått i tale i min intervjuserie med +Skolelinux-folk.

+ +

Hvem er du, og hva driver du med til daglig?

+ +

Jeg heter Morten Amundsen og jobber i +Friprog.no, men er for tiden leid +ut til Bredbåndsfylket +Troms der jeg jobber med ett prosjekt som heter +"Skolefjøla" +Vi ser på en åpen løsning som integrerer eksisterende lukkete +løsninger sammen med fri programvare. Målet er å gi elever og lærere +en plattform som de kan tilpasse utfra behov.

+ +

Hvordan kom du i kontakt med Skolelinux-prosjektet?

+ +

Skolelinux har jeg møtt ved flere anledninger opp gjennom åra, både gjennom +entusiastiske skolelinuxbrukere og skeptiske "forståsegpåere" :-)

+ +

Jeg husker en leverandør av et stort OS for noen år siden mente at +Skolelinux var kun for hackere og nerder og at ingen seriøse skoler +kunne ta dette i bruk. Heldigvis er kunnskapen større nå og +skikkelige "IT-folk" søker alltid å utvide sin kunnskap. + +

Hva er fordelene med Skolelinux slik du ser det?

+ +

Ja det er mange fordeler. Uavhengighet, stabilitet, åpenhet, standarder +osv. Tror det er viktig at man ikke begrenser mulighetene på den plattformen +elevene skal jobbe.

+ +

Hva er ulempene med Skolelinux slik du ser det?

+ +

Det største hinderet er det vi opplever på andre områder rundt +fri programvare, nemlig kunnskap. For mange er det trygt å velge det vi +alltid har valgt. Fordi leverandørene rundt oss sitter på den kunnskapen og +de vi støtter oss på har den samme. Hvis vi klarer å riste løs litt og +glemme gamle kriger mellom operativsystemer og leverandører, men sette ned +hva som er viktig og velge ut fra det, så hadde man kanskje kommet ut med +litt andre resultat. Jeg tror IT-folk er konservative og velger tradisjonelt +og det er synd.

+ +

Hvilken fri programvare bruker du til daglig?

+ +

Jeg bruker Ubuntu, Android, Jolicloud, Open Office, Zimbra, Picasa +og Firefox samt en bråte med tjenester som er webbasert. Det eneste +som er betalingslisens for er OSX. Ser at jeg jobber mer og mer i +skyen og setter pris på alt jeg slipper egen klient til. Derfor er +jeg veldig sjarmert av små kjappe operativsystemer som krever minimalt +av maskinvaren.

+ +

Hvilken strategi tror du er den rette å bruke for å få +skoler til å ta i bruk fri programvare?

+ +

Tror en blanding av krav og informasjon er veien å gå. Krav om +sikkerhet, oppetid og åpne standarder. Informasjon om muligheter og +alternativer. Her har leverandører, IT-avdelinger og pedagoger en vei +å gå sammen. Det er til slutt LÆRING det dreier seg om, og da må man +få mest mulig læring for pengene man har.

+ +
+
+ + + + Tags: debian edu, intervju, norsk. + +
+
+
+ +
+
+ Using NVD and CPE to track CVEs in locally maintained software +
+
+ 2011-01-28 15:40 +
+ +
+ +

The last few days I have looked at ways to track open security +issues here at my work with the University of Oslo. My idea is that +it should be possible to use the information about security issues +available on the Internet, and check our locally +maintained/distributed software against this information. It should +allow us to verify that no known security issues are forgotten. The +CVE database listing vulnerabilities seem like a great central point, +and by using the package lists from Debian mapped to CVEs provided by +the testing security team, I believed it should be possible to figure +out which security holes were present in our free software +collection.

+ +

After reading up on the topic, it became obvious that the first +building block is to be able to name software packages in a unique and +consistent way across data sources. I considered several ways to do +this, for example coming up with my own naming scheme like using URLs +to project home pages or URLs to the Freshmeat entries, or using some +existing naming scheme. And it seem like I am not the first one to +come across this problem, as MITRE already proposed and implemented a +solution. Enter the Common +Platform Enumeration dictionary, a vocabulary for referring to +software, hardware and other platform components. The CPE ids are +mapped to CVEs in the National +Vulnerability Database, allowing me to look up know security +issues for any CPE name. With this in place, all I need to do is to +locate the CPE id for the software packages we use at the university. +This is fairly trivial (I google for 'cve cpe $package' and check the +NVD entry if a CVE for the package exist).

+ +

To give you an example. The GNU gzip source package have the CPE +name cpe:/a:gnu:gzip. If the old version 1.3.3 was the package to +check out, one could look up +cpe:/a:gnu:gzip:1.3.3 +in NVD and get a list of 6 security holes with public CVE entries. +The most recent one is +CVE-2010-0001, +and at the bottom of the NVD page for this vulnerability the complete +list of affected versions is provided.

+ +

The NVD database of CVEs is also available as a XML dump, allowing +for offline processing of issues. Using this dump, I've written a +small script taking a list of CPEs as input and list all CVEs +affecting the packages represented by these CPEs. One give it CPEs +with version numbers as specified above and get a list of open +security issues out.

+ +

Of course for this approach to be useful, the quality of the NVD +information need to be high. For that to happen, I believe as many as +possible need to use and contribute to the NVD database. I notice +RHEL is providing +a +map from CVE to CPE, indicating that they are using the CPE +information. I'm not aware of Debian and Ubuntu doing the same.

+ +

To get an idea about the quality for free software, I spent some +time making it possible to compare the CVE database from Debian with +the CVE database in NVD. The result look fairly good, but there are +some inconsistencies in NVD (same software package having several +CPEs), and some inaccuracies (NVD not mentioning buggy packages that +Debian believe are affected by a CVE). Hope to find time to improve +the quality of NVD, but that require being able to get in touch with +someone maintaining it. So far my three emails with questions and +corrections have not seen any reply, but I hope contact can be +established soon.

+ +

An interesting application for CPEs is cross platform package +mapping. It would be useful to know which packages in for example +RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and +this would be trivial if all linux distributions provided CPE entries +for their packages.

+ +
+
+ + + + Tags: debian, english, sikkerhet. + +
+
+
+

RSS Feed

@@ -1423,7 +1597,11 @@ well.

  • 2011
    • @@ -1511,21 +1689,21 @@ well.

  • bootsystem (10)
    • -
  • debian (47)
    • +
  • debian (48)
    • -
  • debian edu (58)
    • +
  • debian edu (62)
  • digistan (7)
    • -
  • english (85)
    • +
  • english (86)
    • -
  • fiksgatami (1)
    • +
  • fiksgatami (6)
  • fildeling (11)
    • -
  • intervju (4)
    • +
  • intervju (8)
    • -
  • kart (5)
    • +
  • kart (12)
  • ldap (8)
    • @@ -1535,13 +1713,13 @@ well.

  • multimedia (11)
    • -
  • norsk (105)
    • +
  • norsk (117)
  • nuug (116)
    • -
  • opphavsrett (18)
    • +
  • opphavsrett (20)
    • -
  • personvern (35)
    • +
  • personvern (36)
  • reprap (11)
    • @@ -1551,15 +1729,15 @@ well.

  • rss (1)
    • -
  • sikkerhet (22)
    • +
  • sikkerhet (23)
  • sitesummary (3)
    • -
  • standard (23)
    • +
  • standard (24)
  • stavekontroll (1)
    • -
  • surveillance (7)
    • +
  • surveillance (8)
  • video (19)