[devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"

[Alexey V. Vissarionov]

Good ${greeting_time}!

On 2025-07-05 15:06:16 +0300, Ajrat Makhmutov wrote:

 > Хочу добавить альтернативу для "- Fixes:" в changelog:
 > "- Security fixes:" в Vulnerability Policy
 > (https://www.altlinux.org/Vulnerability_Policy) потому что
 > так отмечаются исправления в rust, firefox, thunderbird и
 > nss уже много времени.

Делать "так, как в %s" имеет смысл только когда уже принято
принципиальное решение делать. Пока я вижу только усложнение
регулярного выражения для поиска.

 > Ну и пользователям, не знающим что такое CVE, MFSA такой
 > вариант понятнее - исправления по безопасности.

Вы с этими пользователями общались? Ну, хотя бы как аудитор,
проводящий внутреннюю проверку?

Там два дискретных варианта: либо знают все (и что такое CVE,
и где их смотреть, и почему "not applicable" ("неприменимо")
лучшая запись в отчете), либо делают большие глаза, хлопают
ушами и говорят "ыыыы... ээээ... чаво?". И других вариантов
не просто нет, а даже не предвидится.

Вспомнил отдельных представителей второй категории - брррр...
сам себе настроение испортил. Ненадолго, но все же.

 > Вот черновик:
 > https://www.altlinux.org/Vulnerability_Policy_Security_fixes_draft
 > Прошу написать, если против.

Никакого смысла. >& /dev/null


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net