Processo e stato dei Security Padawans

0.3.4 2007/01/22 Reclute Progetto Sicurezza

Padawan

Il processo di reclutamento nel gruppo di sviluppatori di sicurezza =C3=A8= differente dal processo principale di reclutamento. La conoscenza delle specificit=C3= =A0 di Gentoo non =C3=A8 cos=C3=AC importante come potrebbe esserlo per altri ti= pi di sviluppatore, dato che non si avranno in generale i permessi di commit su= l Portage tree. Detto in altre parole, =C3=A8 necessario possedere un buon = background in ambito di sicurezza, buona conoscenza del'inglese scritto e si avranno progressivamente maggiori responsabilit=C3=A0.

Tutto il processo di reclutamento pu=C3=B2 estendersi da 2 a 3 mesi, in f= unzione delle capacit=C3=A0 e conoscenze personali e dal tempo che si decide di i= nvestire nel progetto. Parlando proprio del tempo: la maggior parte delle attivit=C3=A0= che dovranno essere svolte coinvolgono meno di 10 minuti, ma bisogna poter re= agire ai problemi con una bassa latenza. Perci=C3=B2, la dedizione costante =C3= =A8 pi=C3=B9 importante dell'avere grandi quantit=C3=A0 di tempo libero. Le reclute de= l gruppo sicurezza in addestramento saranno chiamate all'interno di questo documen= to come padawan.

Stato corrente dei padawan Tobias HeinleinkeytoasterScout (ndt, sentinella)Lars HartmannpsychoschlumpfScout (ndt, sentinella)NeilKmu-bScout (ndt, sentinella)Emanuele GentilibathymScout (ndt, sentinella)Matt FlemingmjfApprentice (ndt, allievo)Shyam Manifox2mikeApprentice (ndt, allievo)Jule SlootbeekdizzutchApprentice (ndt, allievo)Daniel BlackdragonheartApprentice (ndt, allievo)Adir AbrahamadirApprentice (ndt, allievo)

Nome del Padawan	Nome utente	Rank (ndt, livello)

Gli sviluppatori ed gli sviluppatori senior compaiono sulla pagina del Progetto Sicurezza.

Fasi del reclutamento

Per diventare un padawan, bisogna inviare una richiesta contenente inform= azioni riguardanti le proprie conoscenze e qualifiche all'indirizzo security@gentoo.org e collegarsi al c= anale IRC #gentoo-security per avere una idea di come sono svolte le attivit=C3=A0.= =C3=88 possibile leggere la guida Coordin= atore GLSA e se si =C3=A8 interessati al lavoro si pu=C3=B2 iniziare come= uno Scout (ndt, sentinella).

Scout

Il primo passo nell'adesione al team =C3=A8 quello di essere uno scout. S= i dovranno seguire le principali liste di discussione in materia di sicurezza e siti= (a a scelta) sottomettendo bug non ancora elencati in Bug Sicurezza correnti. =C3=88 co= nsigliabile ricercare eventuali bug duplicati prima di sottometterne uno. Uno svilupp= atore senior sar=C3=A0 assegnato come proprio 'Mentore'. Lui sar=C3=A0 una guid= a rispondendo alle proprie domande (comunque, non si esiti a contattare ulteriori svilu= ppatori senior per ulteriore aiuto). =C3=88 comunque saggio aggiunge la lista security@gentoo.org a quelle monitorate. Per fare questo, =C3=A8 sufficie= nte aprire le impostazioni del proprio account bugzilla, andare alla voce "Email Preferences" ed aggiungere security@gentoo.org nel box in basso. Fatto qu= esto, ogni email inviata all'indirizzo security@gentoo.org, sar=C3=A0 recapitat= a al proprio indirizzo ad eccezione di quelle con restrizioni. Questo aiuter=C3=A0 a r= imanere aggiornati.

Oltre a compilare nuovi bug report di sicurezza, si =C3=A8 invitati a tro= varne una eventuale soluzione ad essi (mettendo in CC i maintainer, modificando lo = stato del bug come descritto nella guida al Coordinatore GLSA). Sfortunatamente= , questo =C3=A8 permesso solo sui propri bug report. Si sar=C3=A0 autorizza= ti a modificare e muovere altri bug report quando si diventer=C3=A0 uno sviluppatore in pro= va (developer on probation).

Cercare bug di sicurezza pu=C3=B2 essere molto difficoltoso e noioso, com= e un lavoro da schiavo. =C3=88 possibile anche provare a trovare altre attivit=C3=A0 = di proprio interesse, come ad esempio aiutare altri sviluppatori che sono in ritardo= con la pacchettizzazione di ebuild e/o stabilizzando o verificando una vulnerabi= lit=C3=A0 dove non =C3=A8 sicuro se Gentoo ne sia affetta o meno. =C3=88 possibile = provare a chiedere al proprio mentore per eventuali altre attivit=C3=A0.

Si avr=C3=A0 bisogno di: un account su Gentoo bugzilla
Verr=C3=A0 fornito: Nulla
Tempo stimato per la promozione: da due settimane ad un mese, in funz= ione dalle capacit=C3=A0 ed abilit=C3=A0 personali.

Apprentice (ndt, Allievo)

Se si =C3=A8 fatto un buon lavoro come scout, si sar=C3=A0 invitati a div= entare un apprentice (ndt, allievo/apprendista), venendo aggiunti allo strumento se= greto chiamato 'GLSAMaker'. Si dovr=C3=A0 rispondere a bozze, commenti e revisi= oni di avvisi di sicurezza. Si sar=C3=A0 anche responsabili della correzione di = avvisi abbozzati nel minor tempo possibile. Inoltre si dovrebbe comunque mantene= re le attivit=C3=A0 di scout. Abbozzare GLSA =C3=A8 solitamente pi=C3=B9 rilass= ante che andare a caccia di bug, rendendo a questo punto pi=C3=B9 divertente iniziare il pr= oprio lavoro.

Si avr=C3=A0 bisogno di: Imparare le Politiche di gestione = delle vulnerabilit=C3=A0 in Gentoo Linux e la Guida Coordinatore GLSA con cura
Verr=C3=A0 fornito: Un account GLSAMaker
Tempo stimato per la promozione: finch=C3=A9 non si sar=C3=A0 confide= nti sulle capacit=C3=A0 di abbozzare un avviso di sicurezza di qualit=C3=A0. Po= trebbe prendere intorno ad un mese se si =C3=A8 buoni.

Sviluppatore (in prova)

GLSA significativi e dedicazione permettono di accedere alla fase success= iva. Verr=C3=A0 aperto dal team di sicurezza un bug di reclutamento permettend= o di attenere la magica potenza di poter modificare e muovere bug compilati da= altri. Verr=C3=A0 avviato un periodo di prova di 30 giorni in cui bisogner=C3=A0= rispondere correttamente a quiz per poter diventare uno sviluppatore a pieno titolo. Durante il periodo di prova, sar=C3=A0 necessario usare le nuove responsa= bilit=C3=A0, dimostrando di essere pronti per gestire le stesse.

Si avr=C3=A0 bisogno di: tutto quello richiesto per diventare uno svi= luppatore Gentoo
Verr=C3=A0 fornito: Un account di sviluppatore Gentoo, adesione a security@gentoo.org e diritti potenziati sul bugzilla
Tempo stimato per la promozione: 30 giorni.

Sviluppatore

Alla fine del periodo di prova, si diventer=C3=A0 un Coordinatore GLSA a = pieno titolo potendo inviare e confermare proprio GLSA. Gloria e fama saranno con te.

Si avr=C3=A0 bisogno di: Lacrime e sudore
Verr=C3=A0 fornito: Diritti di commit GLSA, diritti di invio di gento= o-announce, adesione al gruppo www_glsamaker, potere di approvazione di padawan

Sviluppatore di sicurezza senior

Per raggiungere il santo graal del percorso di padawan ed avere infiniti = poteri, si dovr=C3=A0 passare attraverso i classici quiz per sviluppatori per gua= dagnare i diritti di commit sul CVS del portage. Bisogner=C3=A0 dimostrare di non a= vere altra vita fuori dal canale #gentoo-security. Quindi si avr=C3=A0 il potere di = mascherare eventualmente gli ebuild.

Si avr=C3=A0 bisogno di: superare con successo i quiz per sviluppator= e Gentoo
Verr=C3=A0 fornito: Diritti di commit sul Portage per mascherare i pa= cchetti