[devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"

[Fr. Br. George]

On Thu, Jul 24, 2025 at 03:35:05PM +0300, Anton Farygin wrote:
> Очень хотелось бы услышать мнение тех, кто не пишет в соответствии с 
> Policy, ну или по крайней мере массово собирает пакеты.

Возможно, немного оффтоп.

Я до сих пор не могу поверить в то, что
https://www.altlinux.org/Vulnerability_Policy
предписывает указывать не только CVE, которые исправил майнтейнер _в
пакете_, но и CVE, которые исправил апстрим в новом релизе.

Во-первых, это не написано на
https://www.altlinux.org/Vulnerability_Policy

Во-вторых, я временами тупо _не знаю_ сколько и каких было CVE, и сколько
из них апстрим пофиксил.

В-третьих, система отслеживания CVE по версии должна справляться с этим
существенно лучше меня, зачем дублировать?

Если я сам закрываю CVE (например, притаскиваю патч),
Vulnerability_Policy вполне меня устраивает.

-- 
	Fr. Br. George