[devel] I: новый libssl7
Evgeny Sinelnikov
=?iso-8859-1?q?sin_=CE=C1_altlinux=2Eru?=
Сб Авг 9 21:12:29 MSD 2008
9 августа 2008 г. 18:39 пользователь Alexander Bokovoy
<ab на altlinux.org> написал:
> 2008/8/9 Evgeny Sinelnikov <sin на altlinux.ru>:
>> Всё должно пройти мягко и прозрачно до момента пересборки в сизифе, и
>> то только, если CFLAGS не выставылены как нужно. Предупреждение было
>> не для текущих пакетов, а для будущих сборок этих же пакетов в новой
>> сборочной среде.
> Тогда это надо куда-то на wiki, где все такие вещи документируются.
> Миша, где это?
>
>>>> сделали, но 159 пакетов - это уже много. Вообще я думаю, что Сизиф
>>> Это пакеты, которые нужно пересобрать, а не пакеты, которые сломаются
>>> однозначно из-за изменений в API.
>>
>> На уровне API, если я всё правильно понимаю, openssl-0.9.8d и
>> openssl-0.9.8h совместимы полностью. Смена сонейма связана со
>> структурами данных изменяющими ABI. Так что сломаться могут пакеты не
>> по причине не совместимости, а по причине не корректной установки
>> CFLAGS, а именно -I/usr/include/krb5, что привнесено поддержкой
>> kerberos в новой сборке openssl.
> Можно подробнее о структурах? Если уж меняется soname, то я бы
> предпочел, чтобы это изменение включило бы в себя давно ожидаемую
> поддержку ГОСТ (http://www.cryptocom.ru/OpenSource/patch_desc_rus.html),
> которая уже есть в 0.9.9 и не включалась в 0.9.8 у нас во многом
> именно из-за того, что расширялся ABI. Раз уж ABI меняется (как он
> кстати меняется? Можно привести точную оценку в символах?), то имеет
> смысл включить то, что ожидается уже очень давно.
>
Честно говоря, я трудом так с ходу смогу представить разницу в ABI
между libssl6 и libssl7. Сам я полагаюсь в этом вопросе на более
компетентное мнение моих коллег. Сначала, например, моё внимание на
это обратил ldv@, далее я увидел соответствующие патчи в сборках
openssl для Fedora. На самом деле меня интересовал вопрос поддержки
kerberos в гораздо большей степени, чем обновление openssl. Но
собравшись мыслями, во время конференции, мы решили, что не стоит
обновлять старую libssl6 до поддержки kerberos в Сизифе, хотя позже
оказалось, что этим можно было бы и обойтись.
По поводу же существенной смены ABI (раз уж меняем...)... Я не думаю,
что это хорошая идея... Сейчас мы бинарно совместимы для новых
продуктов линкующихся с libssl.so.7 в новых пропиетарных решениях.
Предложение же добавить что-то ещё сломает эту совместимость, что в
будущем приведёт к серьёзным последствиям. В этом плане лучше сразу
собрать openssl-0.9.9 и дать ему libssl8, но мне пока кажется всё это
туманным.
--
Sin (Sinelnikov Evgeny)
Подробная информация о списке рассылки Devel