[devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
Anton Farygin
rider на basealt.ru
Ср Июл 23 13:40:53 MSK 2025
On 7/23/25 12:23, Alexey V. Vissarionov wrote:
> Good ${greeting_time}!
>
> On 2025-07-23 11:57:39 +0300, Anton Farygin wrote:
>
> >>>> Если пользователи мониторят %changelog'и обновляемых пакетов,
> >>>> то им рано или поздно всё равно придётся узнать, что такое CVE,
> >>>> чтобы понимать, что написано в %changelog'е, который написан
> >>>> по действующим правилам.
> >>> А можем ли мы ужесточить правила проверки changelog на предмет
> >>> соблюдения Policy и не пропускать пакеты, в changelog которых
> >>> есть не соответствующие политики записи ?
> >> Теоретически - да. На практике - мейнтейнеры забьют на указание
> >> исправлений и ограничатся "update to %version".
> > А сейчас пишут кто во что горазд. Смысл тогда от политики,
> > если она не соблюдается.
>
> Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что
> про исправления нужно писать хоть что-то. И что примечательно -
> ответ на вопрос "как это написать?" мейнтейнер скорее попробует
> найти в чужих .spec-файлах, нежели где-то в документации.
>
> А уж вникать, на что ругается проверка, будут единицы - остальные
> сделают проще: "Проверка ругается на такую строчку в %changelog?
> Значит, удаляем ее!".
>
> Репрессии вводить? Дык мейнтейнеры разбегутся.
Вот поэтому Айрат и предложил внести изменения в политику, которые
приблизят её к реальности.
Подробная информация о списке рассылки Devel