[devel] Нарушения Vulnerability Policy

[Anton Farygin]

On 07.02.2023 23:03, Ivan A. Melnikov wrote:
> On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote:
>> В Tue, 7 Feb 2023 14:07:19 +0300
>> Anton Farygin<rider на basealt.ru>  пишет:
>>
>>> On 07.02.2023 13:53, Paul Wolneykien wrote:
>>>> В Tue, 7 Feb 2023 12:01:57 +0300
>>>> Anton Farygin<rider на basealt.ru>  пишет:
>>>>   
>>>>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>>>>      
>>>>>>> И формат и обязанность, судя по тексту политики.
>>>>>>>      
>>>>>> Что из этого предлагается заинфорсить?
>>>>> Заэнфорсить получится только формат.
>>>>     А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
>>> вроде бы.
>>    Тогда, значит, если выходит версия про которую известно, что в
>> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
>> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
>> бывают...
> Такие строгости мне кажутся не слишком уместными. А вот какой-то
> сервис типа репокопа, предлагающий патчи на ченджлог...

В моём видении идеального мира указывать в changelog закрытие CVE, если 
оно закрывается новой версией должно быть необязательно, при условии 
наличия специального сервиса, информирующего о таком ментейнеров и 
пользователей.