[devel] security fixes and %changelog

[Michael Shigorin]

On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote:
> > Серж, там remote code exec заткнули, а ты даже слово security
> > в %changelog не упомянул.
> > Это _очень_ плохая практика.  Лучше забыть вписать всё остальное,
> > но критичные исправления в безопасности -- хоть словом или двумя.
> Открой глаза: это ОБЫЧНАЯ практика.

Нет, это не обычная практика для тех людей, пакеты которых обычно
можно ставить и обновлять "вслепую".

Я не требую простыню с подробностями -- просто если при упаковке
новой версии или сборки _известно_, что она закрывает дырки -- 
хотя бы банальное "security fixes" или "security update" плюхнуть
можно?  Нужно.

> > Настоятельная просьба касается всех участников команды.
> Я, например, недавно узнал для себя, что в ffmpeg за последний
> год не добавилось ни одного кодека (судя по %changelog) -
> "пацаны в мейнстриме" просто тупо меняют местами строки в
> C-коде и от этого получаются новые SVN-снапшоты в Сизифе:)

Меня это не интересует.  Вот если в каком из кодеков сменой
порядка строк будет дырка заткнута -- то куда более как.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/