[devel] on sisyphus policy for known severely vulnerable packages
Konstantin A. Lepikhov
=?iso-8859-1?q?lakostis_=CE=C1_altlinux=2Eorg?=
Вс Мар 9 20:43:32 MSK 2008
Hi Michael!
Sunday 09, at 06:44:33 PM you wrote:
> On Sun, Mar 09, 2008 at 06:11:47PM +0300, Konstantin A. Lepikhov wrote:
> > > Я считаю, что запись в description пакета не является
> > > достаточным основанием для того, чтобы в течение почти года
> > > не делать security updates по уязвимому пакету.
> > >
> > > Я полагаю, что аргументация вроде "в этом пакете столько
> > > концептуальных дыр, что опубликованные уязвимости, для
> > > которых уже написаны и распространяются вирусы, не являются
> > > критическими ошибками" у нас неприемлема.
> > Предположения и догадки не могут считаться правилами игры.
> > Я за правила, понятные для всех.
>
> Разумеется. Только их приходится вырабатывать по ходу дела,
> поскольку тут все -- в общем-то обычные люди, которые точно
> так же не могут предвидеть все ситуации заранее.
Куда торопимся? Фриз объявлен на 4.1, сизиф может лежать и пахнуть дальше.
>
> Поэтому многие вопросы прецедентно решаются действительно
> на доверии и оценке разумности предложений ответственным за
> сизиф Димой.
Что значит "отвественным за сизиф"? У нас есть какие-то параметры качества
для сизифа?
>
>
> On Sun, Mar 09, 2008 at 02:25:24PM +0300, Хихин Руслан wrote:
> > > > Вернётся пакет в сизиф - вернётся и компонент в багзиллу.
> > > > Автомагически.
> > > Верните пакет в сизиф.
>
> Дело принципа -- вернуть дырявый? Вместо этого треда, думаю,
> можно было раз десять приложить две строчки фикса и собрать всё
> вместе с модулями.
Если он год никому не мешал, не будет мешать и дальше. А твой NMU на gammu
с 2 строчками фикса и гимором на все оставшееся время я помню ;)
> С другой стороны -- вот уж от Костика не ожидал такой реакции:
> как бы не первый год человек работает в конторах со специфическим
> отношением к информационной безопасности.
попрощу не делать disclose, могу и засудить.
> > Скажи прямо - "мы тут подумали с димой и решили". Т.е. решили
> > проблему в частном порядке.
>
> Да здесь она решалась, здесь. Если хочешь, постараюсь запомнить,
> что тебе тоже бывает сложно добраться -- и давать Cc: или дёргать
> в jabber. Если хочешь сказать, что проблемы надо игнорировать,
> а не решать -- извини, не помогает.
и какую проблему вы решили таким междусобойчиком? Потешили самолюбие "ах
как мы печемся о безопасности", и выкинули пакет _через год_ его признания
дырявым. Бугага.
> Потому что это основа. Например, в community@ витали мысли
> сделать livecd в т.ч. на основе wks; как думаешь, можно ли его
> рекомендовать в качестве основы с таким отношением?
Я не в курсе таких идей. И способностью слушать чужие мысли на расстоянии.
<лирика поскипана>
...
> Как один из наиболее громко вопящих при очередных закручиваниях
> гаек в sisyphus_check, вопрошаю: и ты ещё удивлён?
> Здесь так принято, дядьку :)
И после этого удивляемся, почему никто не знает о ALTLinux за пределами
МКАД (хотя и внутри его тоже мало кто знает).
> Дык. И аргумент (NMU с исправлением) был действительно сильный.
Аргумент был о другом. Кстати, для меня он тоже не аргумент, поскольку то, что
приложил Дима на ovz особой погоды не делает.
--
WBR et al.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: Digital signature
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20080309/c5a716b7/attachment-0002.bin>
Подробная информация о списке рассылки Devel