[devel] Нарушения Vulnerability Policy

Вт Фев 7 16:03:00 MSK 2023

On 07.02.2023 15:11, Vitaly Chikunov wrote:
> On Tue, Feb 07, 2023 at 10:50:41AM +0300, Anton Farygin wrote:
>> Всем привет.
>>
>> Есть предложение сделать так, что бы пакеты, нарушающие это Policy не
>> проходили в репозиторий, при этом дополнить policy для случаев, когда CVE
>> надо упомянуть но не закрыть.
> (Добавление CVE бага обычно не указывают в changelog.)
>
> Примерно в 100% случаев упоминание CVE означает закрытие, в остальных
> очень редких случаях - частичный фикс.
>
> Просто так упоминать, но не закрывать даже частично - не понятно зачем.
>
> Поэтому я бы предложил любое упоминание CVE без специального "формата
> закрытия" считать закрытием. А для "не закрытия" использовать специальный
> формат или вообще запретить указывать в %changelog.
>
>
Отличное предложение, кстати.

Дима и Глеб, что скажете ?