[devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"

Anton Farygin rider на basealt.ru
Ср Июл 23 18:33:04 MSK 2025


On 7/23/25 18:30, Anton Farygin wrote:
> On 7/23/25 17:34, Denis Medvedev wrote:
>> On Wed, 23 Jul 2025 14:22:34 +0300
>> Anton Farygin <rider на basealt.ru> wrote:
>>
>>> On 7/23/25 14:02, Sergey V Turchin wrote:
>>>> On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote:
>>>>> Всем привет! Хочу добавить альтернативу для "- Fixes:" в
>>>>> changelog: "- Security fixes:"
>>>> А может, просто "- Security:"?
>>>>
>>>> [...]
>>>>
>>> Тогда уж проще сделать - любое упоминание CVE в changelog считать что
>>> в пакете оно закрывается. Случаев другого использования CVE я не помню
>> Упоминается, но не закрывается. Mentions.
>> Еще бывает что "нужно для закрытия другого CVE", но само оно это CVE не
>> закрывает.
>>
> Да, но на практике такое не используется, а большинство закрытий CVE 
> не соответствует Policy.

Чаще всего встречал вот такие записи (которые тоже не попадают под 
регулярку):

О чём есть запись в логах:

2025-Jul-16 02:20:53 :: chromium: mentions vulnerabilities: CVE-2025-7656 CVE-2025-6558 CVE-2025-7657


15 июля 2025 г. Andrew A. Vasilyev 
<https://packages.altlinux.org/ru/sisyphus_riscv64/maintainers/andy/> 
138.0.7204.157-alt1

- New version (138.0.7204.157).
- Security fixes:
   +CVE-2025-7656 <https://packages.altlinux.org/ru/vuln/CVE-2025-7656>: Integer overflow in V8.
   +CVE-2025-6558 <https://packages.altlinux.org/ru/vuln/CVE-2025-6558>: Incorrect validation of untrusted input in ANGLE and GPU.
   +CVE-2025-7657 <https://packages.altlinux.org/ru/vuln/CVE-2025-7657>: Use after free in WebRTC.



Подробная информация о списке рассылки Devel