[devel] RPMS.contrib и свежесть/безопасность (was: [#19610] COMPLETE srpm=gnugk-2.2.4-alt1.1.0.1.1.1.qa1.src.rpm)

[Igor Zubkov]

8 февраля 2010 г. 12:19 пользователь Michael Shigorin написал:
> On Thu, Feb 04, 2010 at 03:43:32AM +0300, Dmitry V. Levin wrote:
>> > http://git.altlinux.org/tasks/archive/done/19610/task/log
>> > 2010-Feb-04 03:16:01 :: task #19610 for sisyphus started:
>> > #1 build gnugk-2.2.4-alt1.1.0.1.1.1.qa1.src.rpm
>> gnugk-2.2.4-alt1 был собран 02 Jul 2006, в то время как, согласно
>> http://www.gnugk.org/, GnuGk 2.3.1 released 26 Nov 2009.
>> Давайте лучше удалять такие пакеты, это будет честнее.

Удалять только в том случае если пакеты действительно не работают.

> Давайте лучше формализовывать состояния пакета с учётом
> активности как майнтейнера, так и апстрима.

И как ты это предлагаешь?

> Сюда же относится и роль пакета -- "листик" в дереве зависимостей
> либо узловой.
>
> Если "листик" отстал от апстрима, но работает -- это может быть
> вполне приемлемо как минимум для contrib.
>
> 2 crux: кстати, работу по развешиванию security bugs стоило бы
> проводить по main, на всём сизифе она великовата.

Я могу предложить только такой вариант:
1) приделать к prometheus2.0 авторизацию и аутентификацию (с этим я
уже эксперементировал и часть кода для того готова).
2) маинтейнеры делят свои пакеты на категории. main/contrib/etc.
3) собираем статистику по пакетам, и думаем. что требует
дополнительной поддержки, что нет.

Так же, для пользователей можно открыть регистрацию и пусть они нам
сами загрузят список пакетов установленных в их системах. Плюс можно
сделать что бы они могли не просто списки от rpm -qa загружать, а
руками забивать нужные пакеты. Статистики можно собрать много и разной
таким образом.

В принципе, писать тут не так уж и много. Только нет ни времени, ни
денег на это.

-- 
Igor Zubkov
http://hi.im/ice