[devel] on sisyphus policy for known severely vulnerable packages

[Konstantin A. Lepikhov]

Hi Michael!

Sunday 09, at 06:44:33 PM you wrote:

> On Sun, Mar 09, 2008 at 06:11:47PM +0300, Konstantin A. Lepikhov wrote:
> > > Я считаю, что запись в description пакета не является
> > > достаточным основанием для того, чтобы в течение почти года
> > > не делать security updates по уязвимому пакету.
> > > 
> > > Я полагаю, что аргументация вроде "в этом пакете столько
> > > концептуальных дыр, что опубликованные уязвимости, для
> > > которых уже написаны и распространяются вирусы, не являются
> > > критическими ошибками" у нас неприемлема.
> > Предположения и догадки не могут считаться правилами игры.
> > Я за правила, понятные для всех.
> 
> Разумеется.  Только их приходится вырабатывать по ходу дела,
> поскольку тут все -- в общем-то обычные люди, которые точно
> так же не могут предвидеть все ситуации заранее.
Куда торопимся? Фриз объявлен на 4.1, сизиф может лежать и пахнуть дальше.

> 
> Поэтому многие вопросы прецедентно решаются действительно 
> на доверии и оценке разумности предложений ответственным за
> сизиф Димой.
Что значит "отвественным за сизиф"? У нас есть какие-то параметры качества
для сизифа?

> 
> 
> On Sun, Mar 09, 2008 at 02:25:24PM +0300, Хихин Руслан wrote:
> >  > > Вернётся пакет в сизиф - вернётся и компонент в багзиллу.
> >  > > Автомагически.
> >  > Верните пакет в сизиф.
> 
> Дело принципа -- вернуть дырявый?  Вместо этого треда, думаю,
> можно было раз десять приложить две строчки фикса и собрать всё
> вместе с модулями.
Если он год никому не мешал, не будет мешать и дальше. А твой NMU на gammu
с 2 строчками фикса и гимором на все оставшееся время я помню ;)

> С другой стороны -- вот уж от Костика не ожидал такой реакции:
> как бы не первый год человек работает в конторах со специфическим
> отношением к информационной безопасности.
попрощу не делать disclose, могу и засудить.

> > Скажи прямо - "мы тут подумали с димой и решили". Т.е. решили
> > проблему в частном порядке.
> 
> Да здесь она решалась, здесь.  Если хочешь, постараюсь запомнить,
> что тебе тоже бывает сложно добраться -- и давать Cc: или дёргать
> в jabber.  Если хочешь сказать, что проблемы надо игнорировать,
> а не решать -- извини, не помогает.
и какую проблему вы решили таким междусобойчиком? Потешили самолюбие "ах
как мы печемся о безопасности", и выкинули пакет _через год_ его признания
дырявым. Бугага. 

> Потому что это основа.  Например, в community@ витали мысли
> сделать livecd в т.ч. на основе wks; как думаешь, можно ли его
> рекомендовать в качестве основы с таким отношением?
Я не в курсе таких идей. И способностью слушать чужие мысли на расстоянии.

<лирика поскипана>

...
> Как один из наиболее громко вопящих при очередных закручиваниях
> гаек в sisyphus_check, вопрошаю: и ты ещё удивлён?
> Здесь так принято, дядьку :)
И после этого удивляемся, почему никто не знает о ALTLinux за пределами
МКАД (хотя и внутри его тоже мало кто знает).


> Дык.  И аргумент (NMU с исправлением) был действительно сильный.
Аргумент был о другом. Кстати, для меня он тоже не аргумент, поскольку то, что
приложил Дима на ovz особой погоды не делает.


-- 
WBR et al.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20080309/c5a716b7/attachment-0002.bin>