[devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
Alexey V. Vissarionov
gremlin на altlinux.org
Ср Июл 23 12:23:19 MSK 2025
Good ${greeting_time}!
On 2025-07-23 11:57:39 +0300, Anton Farygin wrote:
>>>> Если пользователи мониторят %changelog'и обновляемых пакетов,
>>>> то им рано или поздно всё равно придётся узнать, что такое CVE,
>>>> чтобы понимать, что написано в %changelog'е, который написан
>>>> по действующим правилам.
>>> А можем ли мы ужесточить правила проверки changelog на предмет
>>> соблюдения Policy и не пропускать пакеты, в changelog которых
>>> есть не соответствующие политики записи ?
>> Теоретически - да. На практике - мейнтейнеры забьют на указание
>> исправлений и ограничатся "update to %version".
> А сейчас пишут кто во что горазд. Смысл тогда от политики,
> если она не соблюдается.
Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что
про исправления нужно писать хоть что-то. И что примечательно -
ответ на вопрос "как это написать?" мейнтейнер скорее попробует
найти в чужих .spec-файлах, нежели где-то в документации.
А уж вникать, на что ругается проверка, будут единицы - остальные
сделают проще: "Проверка ругается на такую строчку в %changelog?
Значит, удаляем ее!".
Репрессии вводить? Дык мейнтейнеры разбегутся.
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
Подробная информация о списке рассылки Devel