Moritz Mühlenhoff von Debians Security-Team hat in einer Rundmail an die Projektmitglieder einige Neuerungen bekannt gegeben. Dazu gehört eine umfassende Security-Datenbank für Debian.
Dieser Debian Security Tracker enthält die Informationen aus sämtlichen veröffentlichten Debian Security Advisories (DSA) sowie jene CVE-Einträge aus der Mitre-Datenbank, die Debian betreffen. Daneben werden auch Security-relevante Informationen aus dem Debian-Bugtracker gespeichert. Die Datenbank reicht bis ins Jahr 2003 zurück und soll zentraler Anlaufpunkt für Security-Recherchen in Sachen Debian werden. Eine ausführliche Beschreibung findet sich im Subversion-Repository des Projekts.
In seinem Rundschreiben begrüßt Moritz Mühlenhoff außerdem zwei neue Mitglieder im Security-Team. Die Neuzugänge sind Florian Weimer aus Karlsruhe und der niederländische Entwickler Thijs Kinkhorst.
Wie alle Hersteller von Linux-Distributionen wird auch das Debian-Projekt in einigen Fällen vertraulich über Security-Probleme informiert. Daher werden auch die Fixes für diese Fälle unter Ausschluss der Öffentlichkeit vorbereitet. Aus praktischen Gründen hieß das bei Debian bis jetzt: Alle Fixes. Doch nun hat Anthony Towns eine zweite, öffentliche Queue geschaffen, in der die Security-Updates ohne Schweigeübereinkommen vor aller Augen erstellt werden. Einen Überblick über diese Queue gibt derzeit eine provisorische Webseite.
Neben der allgemeinen Aufforderung zur Kommunikation mit dem Security-Team richtet das Rundschreiben eine spezielle Bitte an die Debian-Entwickler: Sie sollten möglichst Shared Libraries benutzen, statt denselben Code in zahlreiche Pakete zu kopieren, was die Arbeit der Security-Leute erschwert. Als Negativbeispiel nennt Mühlenhoff den XPDF-Code, der sich in zehn verschiedenen Sarge-Paketen wiederfand. In der aktuellen Debian-Version Etch sei die Zahl glücklicherweise bereits reduziert.
