[devel] security updates, long-term

Michael Shigorin mike на osdn.org.ua
Чт Авг 5 06:27:21 UTC 2010


On Sat, Jul 31, 2010 at 04:26:38PM +0600, Andrey Rahmatullin wrote:
> Сейчас в бранчах сломан PHP и исправлять это никто не собирается.

Зачем говорить о "будущем выпуске" и "сейчас в бранчах", зная,
что они к нему ни при чём?  Форменное передёргивание.

Для 6.0/branch на него пока виды неплохие (хотя и не шикарные).

> Про соответствие заявленных сроков поддержки реальным лучше
> расскажет thresh@, но, насколько я знаю, выпускать апдейты,
> в т.ч. по безопасности, все забили.

Не все и не совсем, но системной работы сейчас не ведётся.
Для неё требуется:

- внятный серверный дистрибутив, который окажется полезен;
- создать updates/6.0 и не отсылать за апдейтами в бранч;
- набирать main как для ALS4.0 -- "кто что берётся поддерживать";
- искать человека на фултайм в качестве security response engineer
  и "подпирать" им случаи нужного для сервера софта, который никто
  не берётся поддерживать в должной мере (а также для ситуаций,
  когда майнтейнер есть и работает, но в отпуске или на даче);
- координировать работы по выпуску необходимых обновлений.

Проблемен в основном пункт про человека, причём однажды его уже
искали и найти не смогли.  Требуется от него во многом усидчивость
и аккуратность, не ueberhacker'ство.  Ну и надеюсь, что до времени
выпуска LTS-дистрибутива оргвопросы также получится решить.

И ещё надо публично объявлять решение о сворачивании выпуска
обновлений раньше предварительно озвученного срока либо о том,
что меняется источник получения обновлений (как произошло с
updates/4.0 -> 4.0/branch по факту).  Да, это стыдно, но надо,
если уж иначе никак.

> > в чем смысл подобных высказываний в сочетании с членством в Team?
> А что, молчать что ли?

Понимаешь, ругаться можно конструктивно, а можно просто ядовито.
У нас совершенно шикарно плевался ядом adiel@, когда допекало.
Только меру знал и делал всегда очень много.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


Подробная информация о списке рассылки Devel