[devel] on sisyphus policy for known severely vulnerable packages
Alexey Gladkov
=?iso-8859-1?q?legion_=CE=C1_altlinux=2Eru?=
Вс Мар 9 02:32:56 MSK 2008
Michael Shigorin wrote:
> Повод -- думаю, достаточный. Предложения по таймауту, думаю,
> приветствуются.
У меня есть предложение: Если такая проблема появляется (а именно
наличие публично оглашённой уязвимости), то стоит писать в этот список
рассылки. Если в течении 3-х дней мантейнер не даёт комментария по
данному поводу, то принимается решение о судьбе пакета ... не все
пакеты можно так просто выкинуть, некоторые необходимо исправлять за
мантейнера.
Более того, удаление пакета из репозитория это несколько бесполезная
мера т.к. у пользователей на машинах пакет всё равно останется, а о
его исчезновении apt не расскажет (я рассматриваю данный случай с ядром).
Для пакетов с критичными дырами, я бы предложил завести раздел в
Wiki... но тут вопрос с тем, кто его будет этот раздел поддерживать.
Из ряда фантазий: Хорошо бы при обновлении выводить предупреждение,
что в пакете есть большие дыры.
--
Rgrds, legion
Подробная информация о списке рассылки Devel