[devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"

Anton Farygin rider на basealt.ru
Ср Июл 23 13:40:53 MSK 2025


On 7/23/25 12:23, Alexey V. Vissarionov wrote:
> Good ${greeting_time}!
>
> On 2025-07-23 11:57:39 +0300, Anton Farygin wrote:
>
>   >>>> Если пользователи мониторят %changelog'и обновляемых пакетов,
>   >>>> то им рано или поздно всё равно придётся узнать, что такое CVE,
>   >>>> чтобы понимать, что написано в %changelog'е, который написан
>   >>>> по действующим правилам.
>   >>> А можем ли мы ужесточить правила проверки changelog на предмет
>   >>> соблюдения Policy и не пропускать пакеты, в changelog которых
>   >>> есть не соответствующие политики записи ?
>   >> Теоретически - да. На практике - мейнтейнеры забьют на указание
>   >> исправлений и ограничатся "update to %version".
>   > А сейчас пишут кто во что горазд. Смысл тогда от политики,
>   > если она не соблюдается.
>
> Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что
> про исправления нужно писать хоть что-то. И что примечательно -
> ответ на вопрос "как это написать?" мейнтейнер скорее попробует
> найти в чужих .spec-файлах, нежели где-то в документации.
>
> А уж вникать, на что ругается проверка, будут единицы - остальные
> сделают проще: "Проверка ругается на такую строчку в %changelog?
> Значит, удаляем ее!".
>
> Репрессии вводить? Дык мейнтейнеры разбегутся.

Вот поэтому Айрат и предложил внести изменения в политику, которые 
приблизят её к реальности.




Подробная информация о списке рассылки Devel