[devel] Нарушения Vulnerability Policy

[Ivan A. Melnikov]

On Wed, Feb 08, 2023 at 08:34:15AM +0300, Anton Farygin wrote:
> On 07.02.2023 23:03, Ivan A. Melnikov wrote:
> > On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote:
> > > В Tue, 7 Feb 2023 14:07:19 +0300
> > > Anton Farygin<rider на basealt.ru>  пишет:
> > > 
> > > > On 07.02.2023 13:53, Paul Wolneykien wrote:
> > > > > В Tue, 7 Feb 2023 12:01:57 +0300
> > > > > Anton Farygin<rider на basealt.ru>  пишет:
> > > > > > On 07.02.2023 11:51, Stanislav Levin wrote:
> > > > > > > 07.02.2023 11:40, Anton Farygin пишет:
> > > > > > > > И формат и обязанность, судя по тексту политики.
> > > > > > > Что из этого предлагается заинфорсить?
> > > > > > Заэнфорсить получится только формат.
> > > > >     А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
> > > > вроде бы.
> > >    Тогда, значит, если выходит версия про которую известно, что в
> > > апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> > > можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> > > бывают...
> > Такие строгости мне кажутся не слишком уместными. А вот какой-то
> > сервис типа репокопа, предлагающий патчи на ченджлог...
> 
> В моём видении идеального мира указывать в changelog закрытие CVE, если оно
> закрывается новой версией должно быть необязательно, при условии наличия
> специального сервиса, информирующего о таком ментейнеров и пользователей.

... и apt (или хотя бы apt-indicator) с ним интегрированы?

-- 
  wbr,
    iv m.