[devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
Anton Farygin
rider на basealt.ru
Ср Июл 23 18:33:04 MSK 2025
On 7/23/25 18:30, Anton Farygin wrote:
> On 7/23/25 17:34, Denis Medvedev wrote:
>> On Wed, 23 Jul 2025 14:22:34 +0300
>> Anton Farygin <rider на basealt.ru> wrote:
>>
>>> On 7/23/25 14:02, Sergey V Turchin wrote:
>>>> On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote:
>>>>> Всем привет! Хочу добавить альтернативу для "- Fixes:" в
>>>>> changelog: "- Security fixes:"
>>>> А может, просто "- Security:"?
>>>>
>>>> [...]
>>>>
>>> Тогда уж проще сделать - любое упоминание CVE в changelog считать что
>>> в пакете оно закрывается. Случаев другого использования CVE я не помню
>> Упоминается, но не закрывается. Mentions.
>> Еще бывает что "нужно для закрытия другого CVE", но само оно это CVE не
>> закрывает.
>>
> Да, но на практике такое не используется, а большинство закрытий CVE
> не соответствует Policy.
Чаще всего встречал вот такие записи (которые тоже не попадают под
регулярку):
О чём есть запись в логах:
2025-Jul-16 02:20:53 :: chromium: mentions vulnerabilities: CVE-2025-7656 CVE-2025-6558 CVE-2025-7657
15 июля 2025 г. Andrew A. Vasilyev
<https://packages.altlinux.org/ru/sisyphus_riscv64/maintainers/andy/>
138.0.7204.157-alt1
- New version (138.0.7204.157).
- Security fixes:
+CVE-2025-7656 <https://packages.altlinux.org/ru/vuln/CVE-2025-7656>: Integer overflow in V8.
+CVE-2025-6558 <https://packages.altlinux.org/ru/vuln/CVE-2025-6558>: Incorrect validation of untrusted input in ANGLE and GPU.
+CVE-2025-7657 <https://packages.altlinux.org/ru/vuln/CVE-2025-7657>: Use after free in WebRTC.
Подробная информация о списке рассылки Devel