On Mon, Sep 26, 2005 at 07:26:23PM +0400, Dmitry V. Levin wrote:
> > Так как "задавить" /usr/lib/apache/libhttpd.so?  Это же не публичная
> > библиотека (в частности, её нет в /etc/ld.so.cache).  К libhttpd.so
> > можно применить только очень слабую проверку.
> 
> Какя разница, если у ELF shared object есть undefined symbol из zlib,
> разве это не достаточно веская причина, чтобы давить?

Тогда нужно обобщить: если у ELF shared object есть undefined symbol,
который предоставляет одна и только одна публичная библиотека (и никто
другой), то такой ELF shared object нужно давить, потому что он не
слинкован с этой библиотекой, тогда как очевидно должен быть слинкован.

Теперь, как это закодить на шелле?  Сложновато получается.
С другой стороны, кто-то может предоставлять символы из zlib.

Я пока предлагаю сделать сильную проверку только для исполняемых файлов
и публичных библиотек.  На самом деле исполняемые файлы проверять не
обязательно, так как сам факт того, что их удалось слинковать, уже, как
правило, означает, что в них нет undefined symbols.  Но эта проверка 
актуальна для уже собранных пакетов, в изменившейся среде.  Проверка для
публичных библиотек по требованию похожа на -Wl,-z,defs.

Для всего остального можно делать только слабую проверку на основе
полного списка предоставляемых символов.  Иначе можно задавить
что-нибудь "не то".

> > 2) Подумать, как в brp-alt "протащить" полный список предоставляемых
> > символов на всём репозитарии; вместо полного списка (60M) можно сделать
> > bloom filter (2M), но проблема по существу остается.
> Тоже не проблема, файл i586/base/contents_index того же размера.

Ещё этот список нужно "наращивать" ELF'ами, которые лежат в buildroot'е.
Иначе опять появляется вероятность задавить что-нибудь не то.
Наращивание списка должно быть реализовано не в verify-elfsym, а где-то
ещё.  Но это уже будет видно со временем.  Сейчас нужно наладить
регулярные пересборки и сделать несколько "холостых" пересборок (без
проверки ELF'ов), чтобы закрыть старые ошибки.