[devel] on sisyphus policy for known severely vulnerable packages
Michael Shigorin
=?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Вс Мар 9 01:42:59 MSK 2008
On Sun, Mar 09, 2008 at 12:51:08AM +0300, Konstantin A. Lepikhov wrote:
> > > > > > Пока я знаю только одну причину орфана пакетов - это
> > > > > > его хроническая несобираемость.
> > > > В данном случае обсуждение было здесь и я высказался в пользу
> > > > того, чтобы ядер с известным local root exploit в сизифе не
> > > > было. Чтобы даже по недосмотру не поставить.
> > > можно ссылку на обсуждение?
> > https://lists.altlinux.org/pipermail/devel/2008-February/070207.html
> > https://lists.altlinux.org/pipermail/devel/2008-February/070209.html
> > https://lists.altlinux.org/pipermail/devel/2008-February/070216.html
> > https://lists.altlinux.org/pipermail/devel/2008-February/070246.html
Эти ссылки являются ссылками на обсуждение.
> > https://lists.altlinux.org/pipermail/sisyphus-cybertalk/2008-February/042295.html
> Эта ссылка не является аргументацией.
Эта ссылка является ссылкой на аргумент предельной силы по
смежному с непосредственно поднятым тобой вопросу.
И мне на твоём месте было бы жутко стыдно доводить Диму до
необходимости делать такой аргумент по любому из моих пакетов.
> Обычный треп, коих в последнее время в devel@ предостаточно. Я
> так и не понял, у нас что, теперь mike@, ldv@ и icesik@ стали
> release manager'ами дистрибутива сизиф?
Ты только не обижайся, но к трёпу ldv@ довольно давно
прислушиваются как-то внимательней, чем к твоему.
И пока ты собираешься так пренебрежительно отзываться
о мнении коллег именно что своим трёпом, его ценность
будет плавно скатываться к нулю и дальше.
А становятся у нас кем угодно те, кому что-либо небезразлично.
Не те, кто шире всех расставляет пальцы _вне зависимости_
от скиллсета. Surprise?
> > > > > Надо завести ещё одну типовую причину -- хронически
> > > > > неисправляемые критические проблемы, в первую очередь
> > > > > security. К сожалению, этот критерий недостаточно
> > > > > формальный по сравнению с уже действующими. Анмет он и
> > > > > есть анмет, а вот критичность неисправляемых проблем...
> > > > Думаю, remote code exec или local root -- это вполне
> > > > достаточный повод.
> > > для сизифа недостаточный.
> > Повод -- думаю, достаточный. Предложения по таймауту, думаю,
> > приветствуются.
> Сначала придумайте, потом реализуйте на практике.
Там было приведено "три недели". Предлагаю для remote exec
неделю, для local root -- две. На третьей у меня лично глаза
на лоб полезли, *случайно* заметив такое безобразие.
По данному прецеденту -- думаю, лучше сразу расставить точки над
"ы", чем делать вид, что всё в порядке. Бишь или починить, или
выкинуть.
> И верните компонент в багзиллу.
К dottedmag@, а ещё лучше -- к /incoming. По словам legion@,
там висит достаточно умный робот и хотя можно ему сказать не
вмешиваться в вопрос о компоненте N, лучше так не делать,
чтоб потом не забыть разделать.
--
---- WBR, Michael Shigorin <mike на altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20080309/bcc3ca4c/attachment-0002.bin>
Подробная информация о списке рассылки Devel