Conférence Debian France au CNRS, Institut des sytèmes complexes

.Lieu mis à la disposition par la Mairie de Paris pour organiser des conférences et mettre en commun les savoirs, mélanger les savoirs, mélanger les personnes pour évoluer ensemble. Un tiers-lieu de sciences interdisciplinaire et collaboratif. Lieu idéal pour prendre des notes sur son ordinateur portable ou son smartphone

Merci à Aurélien , malgré la Debconf à Toulouse, certains sont restés à Paris

Merci à Nicolas, pour la com et les pizzas, qui nous invite à la fosdem.org

L'association c'est Debian France, qui soutient le communauté Debian en organisant des evenements, chasse aux bugs, une des organisations qui gère une partie du budget du projet Debian : achat de matériel pour les conférences, etc. Equipe de gens motivés qui organisent des evenements.

Une question? Posez-la ici

Flatpack

Flatpack, système de packaging pour publier ses logiciels sous toutes les distributions par Aurélien. On construit les packages, on distribue, on installe et on lance les applications.

On a notre propre cycle de vie, on n'est pas lié au cycle de vie du système (les fameuses LTS de 2 ans...)

La documentation officielle se trouve sur https://docs.flatpak.org/en/latest/introduction.html

C'est une application intégrée à Debian

https://wiki.debian.org/FlatpakHowto

Traditionnellement, on a les packages qui integrent des librairies qui sont mises à jour en même temps que le systeme. Avec Flatpak, on a un système complètement autonome de mises à jour, cela présente l'interet de pouvoir être mis à jour quand le développeur le veut, et on n'est pas obligé d'attendre les mises à jour système, enfin de se caler sur les mises à jour système obligatoires.

C'est un moteur d'installation, équivalent au moteur MSIEXEC pour ceux qui connaissent sous Windows. Il est supporté sur beaucoup de distributions linux, Debian, Gentoo, Fedora, Ubuntu, Solus, Voir sur flatpak.org/gettings

OSTree est utilisé pour gérer les versions des fichiers, c'est l'équivalent de GIT.

Sudo apt install aptitude

aptitude

gnome-maps 3,2,2

On l'installe facilement de manière très classique comme ceci :

apt install flatpak

ou par utilisateurs :

flatpak –user install – from $source

https://flathub.org est un « repository » qui contient des applications comme Blender, Gimp, GnomePampsqui sont packagées avec Flatpack

Ensuite on lance l'installation de gnome map depuis le repository et l'installation s'installe automatiquement,

Une question? Posez-la ici

Présentation des taches de sécurité de l’équipe Debian

Yves-Alexis, équipe de sécurité Debian.

Developpeur Debian, membre de l'équipe sécurité et travaille à l'ANSSI, intéréssé par la sécurité et les tests d'intrusion sur les packages et lors des installations.

Voir les projets sécurité sur la mailing list sécurité de debian

Que fait l'équipe de sécurité ?

DSA : Debian Security Advisories ; Préparation de la sécurité des packages des applications.

Revues de codes

Etude des CVEs

Pour voir le tracker du suivi de sécurité : https://security-tracker.debian.org/

Il y a toujours quelqu'un pour répondre aux soucis de sécurité, l'équipe se relaie toutes les semaines.

Exemple : j'ai une vulnérabilité dans la package de l'application que je maintiens, ou dans une dépendance, qu'est-ce que je fais ?

Tout le monde peut le faire, mais il faut se relayer pour qu'il y ait toujours quelqu'un de permanence.

Un script automatique tourne une fois par jour et ajoute les vulnérabilités trouvées en MITRE, CVEs dans le backlog, la liste todo. Des fois ce sont des bugs, etc. Comme ca, la personne de permanence peut dispatcher les taches aux développeurs présents

Une autre tache est la sortie des DSA

une fois que la vulnérability est découverte, le CVE identifié, la package est reconstruit de manière sécurisée, puis une fois réparé, il est uploadé partout là où il était buggé, ensuite le mail DSA est envoyé.

Il y a besoin d'aide externe : si vous avez envie d'etre un mainteneur Debian, vous pouvez postuler

La communication se fait via des mails sécurisés, avec clé de cryptage, genre PGP , clé publique, clé privée.

Il y a de plus en plus de vulnérabilités découvertes, mais de moins en moins de ressources pour s'en occuper : de plus en plus de CVEs.

Prévoir davantage de coordination avec les mainteneurs des packages car ils ne sont pas assez sensibles à la sécurité.

Quelques taches possibles pour les développeurs Debian :

Revues de codes sur le security-master

Une question? Posez-la ici

Aide au développement d'applications 

Envoi du mail DSA

Besoin de développeurs pour créer/mettre à jour l'interface, les scripts, les archives Deian (DAK)

Exemple de patchs à corriger dans le workflow security-tracker:

#817225 soucis de sécurité PGP avec la signature des emails

CVE-2017-16799 in CMS Made Simple 2.2.3.1 addcategory.php

Avec une note jointe sur ce qui a été fait et ce qui reste à faire.

CVE-2017-16796 i SWFTools 0,9,2, the png_load function…

fixed by DSA

Le top des trous de sécurité dans les pacages d'installation:

Kernel

Navigateurs

applications web PHP

CVE-2017-16543 Zoho ManageEngine Applications Manager 13 allows SQL injection via...

CVE-2017-16541 Tor Browser before 7.0.9 on MACOS and LINUX allows remote attackers to...

voir https://security-tracker.debian.org

Il ya de plus en plus d'applications, de plus en plus de lignes de code, et donc de plus en plus de vulnérabilités. Malheureusement, il n'y a pas assez de développeurs pour réparer les programmes qui posent problème. Il y a des priorités données à certains packages en fonction de l'utilisation qui en est faite.

Si vous voulez donner un coup de main, n'hésitez pas à contacter l'équipe sur Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Une question? Posez-la ici

Aide au développement d'applications