[devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"

Alexey V. Vissarionov gremlin на altlinux.org
Ср Июл 23 12:23:19 MSK 2025


Good ${greeting_time}!

On 2025-07-23 11:57:39 +0300, Anton Farygin wrote:

 >>>> Если пользователи мониторят %changelog'и обновляемых пакетов,
 >>>> то им рано или поздно всё равно придётся узнать, что такое CVE,
 >>>> чтобы понимать, что написано в %changelog'е, который написан
 >>>> по действующим правилам.
 >>> А можем ли мы ужесточить правила проверки changelog на предмет
 >>> соблюдения Policy и не пропускать пакеты, в changelog которых
 >>> есть не соответствующие политики записи ?
 >> Теоретически - да. На практике - мейнтейнеры забьют на указание
 >> исправлений и ограничатся "update to %version".
 > А сейчас пишут кто во что горазд. Смысл тогда от политики,
 > если она не соблюдается.

Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что
про исправления нужно писать хоть что-то. И что примечательно -
ответ на вопрос "как это написать?" мейнтейнер скорее попробует
найти в чужих .spec-файлах, нежели где-то в документации.

А уж вникать, на что ругается проверка, будут единицы - остальные
сделают проще: "Проверка ругается на такую строчку в %changelog?
Значит, удаляем ее!".

Репрессии вводить? Дык мейнтейнеры разбегутся.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net


Подробная информация о списке рассылки Devel