[devel] security fixes and %changelog
Michael Shigorin
=?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Пт Июл 13 10:44:22 MSD 2007
On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote:
> > Серж, там remote code exec заткнули, а ты даже слово security
> > в %changelog не упомянул.
> > Это _очень_ плохая практика. Лучше забыть вписать всё остальное,
> > но критичные исправления в безопасности -- хоть словом или двумя.
> Открой глаза: это ОБЫЧНАЯ практика.
Нет, это не обычная практика для тех людей, пакеты которых обычно
можно ставить и обновлять "вслепую".
Я не требую простыню с подробностями -- просто если при упаковке
новой версии или сборки _известно_, что она закрывает дырки --
хотя бы банальное "security fixes" или "security update" плюхнуть
можно? Нужно.
> > Настоятельная просьба касается всех участников команды.
> Я, например, недавно узнал для себя, что в ffmpeg за последний
> год не добавилось ни одного кодека (судя по %changelog) -
> "пацаны в мейнстриме" просто тупо меняют местами строки в
> C-коде и от этого получаются новые SVN-снапшоты в Сизифе:)
Меня это не интересует. Вот если в каком из кодеков сменой
порядка строк будет дырка заткнута -- то куда более как.
--
---- WBR, Michael Shigorin <mike на altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
Подробная информация о списке рассылки Devel