[devel] on sisyphus policy for known severely vulnerable packages

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Вс Мар 9 01:42:59 MSK 2008


On Sun, Mar 09, 2008 at 12:51:08AM +0300, Konstantin A. Lepikhov wrote:
> > > > > > Пока я знаю только одну причину орфана пакетов - это
> > > > > > его хроническая несобираемость.
> > > > В данном случае обсуждение было здесь и я высказался в пользу
> > > > того, чтобы ядер с известным local root exploit в сизифе не
> > > > было.  Чтобы даже по недосмотру не поставить.
> > > можно ссылку на обсуждение?
> > https://lists.altlinux.org/pipermail/devel/2008-February/070207.html
> > https://lists.altlinux.org/pipermail/devel/2008-February/070209.html
> > https://lists.altlinux.org/pipermail/devel/2008-February/070216.html
> > https://lists.altlinux.org/pipermail/devel/2008-February/070246.html

Эти ссылки являются ссылками на обсуждение.

> > https://lists.altlinux.org/pipermail/sisyphus-cybertalk/2008-February/042295.html
> Эта ссылка не является аргументацией.

Эта ссылка является ссылкой на аргумент предельной силы по
смежному с непосредственно поднятым тобой вопросу.

И мне на твоём месте было бы жутко стыдно доводить Диму до
необходимости делать такой аргумент по любому из моих пакетов.

> Обычный треп, коих в последнее время в devel@ предостаточно. Я
> так и не понял, у нас что, теперь mike@, ldv@ и icesik@ стали
> release manager'ами дистрибутива сизиф?

Ты только не обижайся, но к трёпу ldv@ довольно давно
прислушиваются как-то внимательней, чем к твоему.

И пока ты собираешься так пренебрежительно отзываться
о мнении коллег именно что своим трёпом, его ценность
будет плавно скатываться к нулю и дальше.

А становятся у нас кем угодно те, кому что-либо небезразлично.
Не те, кто шире всех расставляет пальцы _вне зависимости_
от скиллсета.  Surprise?

> > > > > Надо завести ещё одну типовую причину -- хронически
> > > > > неисправляемые критические проблемы, в первую очередь
> > > > > security.  К сожалению, этот критерий недостаточно
> > > > > формальный по сравнению с уже действующими.  Анмет он и
> > > > > есть анмет, а вот критичность неисправляемых проблем...
> > > > Думаю, remote code exec или local root -- это вполне
> > > > достаточный повод.
> > > для сизифа недостаточный.
> > Повод -- думаю, достаточный.  Предложения по таймауту, думаю,
> > приветствуются.
> Сначала придумайте, потом реализуйте на практике.

Там было приведено "три недели".  Предлагаю для remote exec
неделю, для local root -- две.  На третьей у меня лично глаза
на лоб полезли, *случайно* заметив такое безобразие.

По данному прецеденту -- думаю, лучше сразу расставить точки над
"ы", чем делать вид, что всё в порядке.  Бишь или починить, или
выкинуть.

> И верните компонент в багзиллу.

К dottedmag@, а ещё лучше -- к /incoming.  По словам legion@,
там висит достаточно умный робот и хотя можно ему сказать не
вмешиваться в вопрос о компоненте N, лучше так не делать, 
чтоб потом не забыть разделать.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20080309/bcc3ca4c/attachment-0002.bin>


Подробная информация о списке рассылки Devel