[devel] security updates, long-term
Michael Shigorin
mike на osdn.org.ua
Чт Авг 5 06:27:21 UTC 2010
On Sat, Jul 31, 2010 at 04:26:38PM +0600, Andrey Rahmatullin wrote:
> Сейчас в бранчах сломан PHP и исправлять это никто не собирается.
Зачем говорить о "будущем выпуске" и "сейчас в бранчах", зная,
что они к нему ни при чём? Форменное передёргивание.
Для 6.0/branch на него пока виды неплохие (хотя и не шикарные).
> Про соответствие заявленных сроков поддержки реальным лучше
> расскажет thresh@, но, насколько я знаю, выпускать апдейты,
> в т.ч. по безопасности, все забили.
Не все и не совсем, но системной работы сейчас не ведётся.
Для неё требуется:
- внятный серверный дистрибутив, который окажется полезен;
- создать updates/6.0 и не отсылать за апдейтами в бранч;
- набирать main как для ALS4.0 -- "кто что берётся поддерживать";
- искать человека на фултайм в качестве security response engineer
и "подпирать" им случаи нужного для сервера софта, который никто
не берётся поддерживать в должной мере (а также для ситуаций,
когда майнтейнер есть и работает, но в отпуске или на даче);
- координировать работы по выпуску необходимых обновлений.
Проблемен в основном пункт про человека, причём однажды его уже
искали и найти не смогли. Требуется от него во многом усидчивость
и аккуратность, не ueberhacker'ство. Ну и надеюсь, что до времени
выпуска LTS-дистрибутива оргвопросы также получится решить.
И ещё надо публично объявлять решение о сворачивании выпуска
обновлений раньше предварительно озвученного срока либо о том,
что меняется источник получения обновлений (как произошло с
updates/4.0 -> 4.0/branch по факту). Да, это стыдно, но надо,
если уж иначе никак.
> > в чем смысл подобных высказываний в сочетании с членством в Team?
> А что, молчать что ли?
Понимаешь, ругаться можно конструктивно, а можно просто ядовито.
У нас совершенно шикарно плевался ядом adiel@, когда допекало.
Только меру знал и делал всегда очень много.
--
---- WBR, Michael Shigorin <mike на altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
Подробная информация о списке рассылки Devel