[devel] on sisyphus policy for known severely vulnerable packages

[Alexey Gladkov]

Michael Shigorin wrote:
> Повод -- думаю, достаточный.  Предложения по таймауту, думаю,
> приветствуются.

У меня есть предложение: Если такая проблема появляется (а именно 
наличие публично оглашённой уязвимости), то стоит писать в этот список 
рассылки. Если в течении 3-х дней мантейнер не даёт комментария по 
данному поводу, то принимается решение о судьбе пакета ... не все 
пакеты можно так просто выкинуть, некоторые необходимо исправлять за 
мантейнера.
Более того, удаление пакета из репозитория это несколько бесполезная 
мера т.к. у пользователей на машинах пакет всё равно останется, а о 
его исчезновении apt не расскажет (я рассматриваю данный случай с ядром).

Для пакетов с критичными дырами, я бы предложил завести раздел в 
Wiki... но тут вопрос с тем, кто его будет этот раздел поддерживать.

Из ряда фантазий: Хорошо бы при обновлении выводить предупреждение, 
что в пакете есть большие дыры.

-- 
Rgrds, legion