[devel] Нарушения Vulnerability Policy
Anton Farygin
rider на basealt.ru
Ср Фев 8 08:34:15 MSK 2023
On 07.02.2023 23:03, Ivan A. Melnikov wrote:
> On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote:
>> В Tue, 7 Feb 2023 14:07:19 +0300
>> Anton Farygin<rider на basealt.ru> пишет:
>>
>>> On 07.02.2023 13:53, Paul Wolneykien wrote:
>>>> В Tue, 7 Feb 2023 12:01:57 +0300
>>>> Anton Farygin<rider на basealt.ru> пишет:
>>>>
>>>>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>>>>
>>>>>>> И формат и обязанность, судя по тексту политики.
>>>>>>>
>>>>>> Что из этого предлагается заинфорсить?
>>>>> Заэнфорсить получится только формат.
>>>> А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
>>> вроде бы.
>> Тогда, значит, если выходит версия про которую известно, что в
>> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
>> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
>> бывают...
> Такие строгости мне кажутся не слишком уместными. А вот какой-то
> сервис типа репокопа, предлагающий патчи на ченджлог...
В моём видении идеального мира указывать в changelog закрытие CVE, если
оно закрывается новой версией должно быть необязательно, при условии
наличия специального сервиса, информирующего о таком ментейнеров и
пользователей.
Подробная информация о списке рассылки Devel