[LACNIC/Seguridad] Pedido de opinión: Lista para la difusión de alertas de seguridad

[Arturo Servin]

>> 	Cuando decía repositorio me refería al banco de alertas.
>> 
>> 	No se si una lista de correo sin información catalogada, verificación, etc. tenga mucho valor. 
> 
> bugtraq ha sido, desde siempre (y hoy junto con full-disclosure), la
> lista para enviar y distribuir informacion de alertas. Y ni catalogan ni
> verifican la informacion que se envia por las mismas. (*)

	Con todo el respeto y amor que le tengo a la camiseta de LAC, no creo que podamos comparar con bugtraq.

> 
> Y creo que es indiscutible el valor que estas listas han tenido y siguen
> teniendo para la comunidad.

	Tomando en cuenta las diferencias de dimensiones encuentro difícil encontrar el valor en una simple lista.

> 
> (*) Catalogar y verificar la informacion, casi-casi, atentaria contra el
> propio proposito de la lista.

	Entonces creo que lo que propones es diferente a una lista de difusión de alertas de seguridad. A mi me parece entonces que es "una lista de posibles y no corroboradas alertas de seguridad que la comunidad cree que existen". 

> Por un lado, porque la lista perderia
> agilidad (que en estas cuestiones es escencial). Por otro lado, porque
> en ocasiones se hace muy dificil verificar los alertas (por ej., uno
> deberia disponer de un exploit, y de una instalacion de lo sistemas
> afectador, para poder corroborar que la vulnerabilidad existe).

	Bueno, creo que de eso se trata. De tener información confiable y que agregue valor. 


> 
> Un abrazo,
> -- 
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en acm.org
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
> 
> 
> 

Slds,
.as