[devel] Нарушения Vulnerability Policy
Vitaly Chikunov
vt на altlinux.org
Вт Фев 7 15:11:41 MSK 2023
On Tue, Feb 07, 2023 at 10:50:41AM +0300, Anton Farygin wrote:
> Всем привет.
>
> Есть предложение сделать так, что бы пакеты, нарушающие это Policy не
> проходили в репозиторий, при этом дополнить policy для случаев, когда CVE
> надо упомянуть но не закрыть.
(Добавление CVE бага обычно не указывают в changelog.)
Примерно в 100% случаев упоминание CVE означает закрытие, в остальных
очень редких случаях - частичный фикс.
Просто так упоминать, но не закрывать даже частично - не понятно зачем.
Поэтому я бы предложил любое упоминание CVE без специального "формата
закрытия" считать закрытием. А для "не закрытия" использовать специальный
формат или вообще запретить указывать в %changelog.
>
> https://www.altlinux.org/Vulnerability_Policy
>
> Пример:
>
> https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/
>
>
> Rgds,
>
> Rider
>
>
> _______________________________________________
> Devel mailing list
> Devel на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
Подробная информация о списке рассылки Devel