[devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438))

Led =?iso-8859-1?q?led_=CE=C1_altlinux=2Eru?=
Пт Июл 13 03:01:51 MSD 2007


2007/7/13, Michael Shigorin <mike на osdn.org.ua>:
> On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote:
> > mozilla-plugin-adobe-flash - Adobe Flash Player
> > * Thu Jul 12 2007 Sergey V Turchin <zerg на altlinux> 9.0.48.0-alt2
> > - add Categories parameter to desktop-file
> > * Thu Jul 12 2007 Sergey V Turchin <zerg на altlinux> 9.0.48.0-alt1
> > - new version
> > * Mon Jan 22 2007 Sergey V Turchin <zerg на altlinux> 9.0.31.0-alt2
>
> Серж, там remote code exec заткнули, а ты даже слово security
> в %changelog не упомянул.
>
> Это _очень_ плохая практика.  Лучше забыть вписать всё остальное,
> но критичные исправления в безопасности -- хоть словом или двумя.

Открой глаза: это ОБЫЧНАЯ практика.

> Настоятельная просьба касается всех участников команды.

Я, например, недавно узнал для себя, что в ffmpeg за последний год не
добавилось ни одного кодека (судя по %changelog) - "пацаны в
мейнстриме" просто тупо меняют местами строки в C-коде и от этого
получаются новые SVN-снапшоты в Сизифе:)

Рекомендую также обратить внимание на форк pulseaudio в Sisyphus. Если
ты думаешь, что pulseaudio-0.9.6.tar.gz на pulseaudio.org и в Sisyphus
- это одно и то же или очень похоже - ты глубоко ошибаешся. Если
думаешь, что куча строк
"%def_with ... и %{subst_with ...} в спеке несут хоть какую-то
смысловую нагрузку -ты тоже ошибаешся :(
Добро пожоловать в "резко повысившееся качество спеков/пакетов в связи
с использованием git" :(

-- 
Led.


Подробная информация о списке рассылки Devel