[devel] RPMS.contrib и свежесть/безопасность (was: [#19610] COMPLETE srpm=gnugk-2.2.4-alt1.1.0.1.1.1.qa1.src.rpm)

Igor Zubkov igor.zubkov на gmail.com
Пн Фев 8 15:46:35 UTC 2010 

8 февраля 2010 г. 17:38 пользователь Igor Zubkov написал:
> 8 февраля 2010 г. 12:19 пользователь Michael Shigorin написал:
>> On Thu, Feb 04, 2010 at 03:43:32AM +0300, Dmitry V. Levin wrote:
>>> > http://git.altlinux.org/tasks/archive/done/19610/task/log
>>> > 2010-Feb-04 03:16:01 :: task #19610 for sisyphus started:
>>> > #1 build gnugk-2.2.4-alt1.1.0.1.1.1.qa1.src.rpm
>>> gnugk-2.2.4-alt1 был собран 02 Jul 2006, в то время как, согласно
>>> http://www.gnugk.org/, GnuGk 2.3.1 released 26 Nov 2009.
>>> Давайте лучше удалять такие пакеты, это будет честнее.
>
> Удалять только в том случае если пакеты действительно не работают.
>
>> Давайте лучше формализовывать состояния пакета с учётом
>> активности как майнтейнера, так и апстрима.
>
> И как ты это предлагаешь?
>
>> Сюда же относится и роль пакета -- "листик" в дереве зависимостей
>> либо узловой.
>>
>> Если "листик" отстал от апстрима, но работает -- это может быть
>> вполне приемлемо как минимум для contrib.
>>
>> 2 crux: кстати, работу по развешиванию security bugs стоило бы
>> проводить по main, на всём сизифе она великовата.
>
> Я могу предложить только такой вариант:
> 1) приделать к prometheus2.0 авторизацию и аутентификацию (с этим я
> уже эксперементировал и часть кода для того готова).
> 2) маинтейнеры делят свои пакеты на категории. main/contrib/etc.
> 3) собираем статистику по пакетам, и думаем. что требует
> дополнительной поддержки, что нет.
>
> Так же, для пользователей можно открыть регистрацию и пусть они нам
> сами загрузят список пакетов установленных в их системах. Плюс можно
> сделать что бы они могли не просто списки от rpm -qa загружать, а
> руками забивать нужные пакеты. Статистики можно собрать много и разной
> таким образом.

Блин. Про security забыл написать. Я считаю что надо сделать базу
данных со списком всех CVE, регулярно обновлять её, следить за ней и
вешать баги на пакеты в багзиллу. На базе prometheus2.0 конечно же.
Сейчас вообще не понятно что исправленно, а что нет.

-- 
Igor Zubkov
http://hi.im/ice

Подробная информация о списке рассылки Devel