* [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438))
@ 2007-07-12 21:51 ` Michael Shigorin
2007-07-12 23:01 ` Led
2007-07-13 1:54 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Aleksey Novodvorsky
0 siblings, 2 replies; 17+ messages in thread
From: Michael Shigorin @ 2007-07-12 21:51 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 771 bytes --]
On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote:
> mozilla-plugin-adobe-flash - Adobe Flash Player
> * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2
> - add Categories parameter to desktop-file
> * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1
> - new version
> * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2
Серж, там remote code exec заткнули, а ты даже слово security
в %changelog не упомянул.
Это _очень_ плохая практика. Лучше забыть вписать всё остальное,
но критичные исправления в безопасности -- хоть словом или двумя.
Настоятельная просьба касается всех участников команды.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438))
2007-07-12 21:51 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Michael Shigorin
@ 2007-07-12 23:01 ` Led
2007-07-13 5:49 ` Pavlov Konstantin
` (2 more replies)
2007-07-13 1:54 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Aleksey Novodvorsky
1 sibling, 3 replies; 17+ messages in thread
From: Led @ 2007-07-12 23:01 UTC (permalink / raw)
To: ALT Devel discussion list
2007/7/13, Michael Shigorin <mike@osdn.org.ua>:
> On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote:
> > mozilla-plugin-adobe-flash - Adobe Flash Player
> > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2
> > - add Categories parameter to desktop-file
> > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1
> > - new version
> > * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2
>
> Серж, там remote code exec заткнули, а ты даже слово security
> в %changelog не упомянул.
>
> Это _очень_ плохая практика. Лучше забыть вписать всё остальное,
> но критичные исправления в безопасности -- хоть словом или двумя.
Открой глаза: это ОБЫЧНАЯ практика.
> Настоятельная просьба касается всех участников команды.
Я, например, недавно узнал для себя, что в ffmpeg за последний год не
добавилось ни одного кодека (судя по %changelog) - "пацаны в
мейнстриме" просто тупо меняют местами строки в C-коде и от этого
получаются новые SVN-снапшоты в Сизифе:)
Рекомендую также обратить внимание на форк pulseaudio в Sisyphus. Если
ты думаешь, что pulseaudio-0.9.6.tar.gz на pulseaudio.org и в Sisyphus
- это одно и то же или очень похоже - ты глубоко ошибаешся. Если
думаешь, что куча строк
"%def_with ... и %{subst_with ...} в спеке несут хоть какую-то
смысловую нагрузку -ты тоже ошибаешся :(
Добро пожоловать в "резко повысившееся качество спеков/пакетов в связи
с использованием git" :(
--
Led.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438))
2007-07-12 21:51 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Michael Shigorin
2007-07-12 23:01 ` Led
@ 2007-07-13 1:54 ` Aleksey Novodvorsky
2007-07-13 6:50 ` [devel] [PP] Re: security fixes and %changelog Michael Shigorin
2007-07-13 10:25 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Dmitry V. Levin
1 sibling, 2 replies; 17+ messages in thread
From: Aleksey Novodvorsky @ 2007-07-13 1:54 UTC (permalink / raw)
To: ALT Devel discussion list
On 7/13/07, Michael Shigorin <mike@osdn.org.ua> wrote:
> On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote:
> > mozilla-plugin-adobe-flash - Adobe Flash Player
> > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2
> > - add Categories parameter to desktop-file
> > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1
> > - new version
> > * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2
>
> Серж, там remote code exec заткнули, а ты даже слово security
> в %changelog не упомянул.
>
> Это _очень_ плохая практика. Лучше забыть вписать всё остальное,
> но критичные исправления в безопасности -- хоть словом или двумя.
>
> Настоятельная просьба касается всех участников команды.
Лучше бы это оформить в виде полиси.
Rgrds, Алексей
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438))
2007-07-12 23:01 ` Led
@ 2007-07-13 5:49 ` Pavlov Konstantin
2007-07-18 19:44 ` Konstantin A. Lepikhov
2007-07-13 6:44 ` [devel] security fixes and %changelog Michael Shigorin
2007-07-13 6:45 ` [devel] pulseaudio Michael Shigorin
2 siblings, 1 reply; 17+ messages in thread
From: Pavlov Konstantin @ 2007-07-13 5:49 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 1820 bytes --]
On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote:
> 2007/7/13, Michael Shigorin <mike@osdn.org.ua>:
> > On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote:
> > > mozilla-plugin-adobe-flash - Adobe Flash Player
> > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2
> > > - add Categories parameter to desktop-file
> > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1
> > > - new version
> > > * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2
> >
> > Серж, там remote code exec заткнули, а ты даже слово security
> > в %changelog не упомянул.
> >
> > Это _очень_ плохая практика. Лучше забыть вписать всё остальное,
> > но критичные исправления в безопасности -- хоть словом или двумя.
>
> Открой глаза: это ОБЫЧНАЯ практика.
>
> > Настоятельная просьба касается всех участников команды.
>
> Я, например, недавно узнал для себя, что в ffmpeg за последний год не
> добавилось ни одного кодека (судя по %changelog) - "пацаны в
> мейнстриме" просто тупо меняют местами строки в C-коде и от этого
> получаются новые SVN-снапшоты в Сизифе:)
Подозреваю, что в таком случае придется:
- в GUI-приложениях писать о появлении новых окошек
- в пакете kernel-image-* писать о появлении новых драйверов
- в glibc писать о появлении новых функций.
Подозреваю, что скилл человека, который хочет узнать о том, что
поддерживается, а что -- нет, достаточен для того, чтобы зайти на
оффициальную страницу проекта и почитать документацию / faq / whatever.
--
* combr а есть кто специалист по беспроводному оборудованию? хочу
связать два дома
<combr> по 802.11b. будут ли внешним антеннам мешать деревья? ;)
<drF_ckoff> "беспроводное оборудование" будет сосать, пока не изобретут
"беспроводное электричество" =)
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog
2007-07-12 23:01 ` Led
2007-07-13 5:49 ` Pavlov Konstantin
@ 2007-07-13 6:44 ` Michael Shigorin
2007-07-13 7:13 ` Igor Zubkov
2007-07-13 6:45 ` [devel] pulseaudio Michael Shigorin
2 siblings, 1 reply; 17+ messages in thread
From: Michael Shigorin @ 2007-07-13 6:44 UTC (permalink / raw)
To: ALT Devel discussion list
On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote:
> > Серж, там remote code exec заткнули, а ты даже слово security
> > в %changelog не упомянул.
> > Это _очень_ плохая практика. Лучше забыть вписать всё остальное,
> > но критичные исправления в безопасности -- хоть словом или двумя.
> Открой глаза: это ОБЫЧНАЯ практика.
Нет, это не обычная практика для тех людей, пакеты которых обычно
можно ставить и обновлять "вслепую".
Я не требую простыню с подробностями -- просто если при упаковке
новой версии или сборки _известно_, что она закрывает дырки --
хотя бы банальное "security fixes" или "security update" плюхнуть
можно? Нужно.
> > Настоятельная просьба касается всех участников команды.
> Я, например, недавно узнал для себя, что в ffmpeg за последний
> год не добавилось ни одного кодека (судя по %changelog) -
> "пацаны в мейнстриме" просто тупо меняют местами строки в
> C-коде и от этого получаются новые SVN-снапшоты в Сизифе:)
Меня это не интересует. Вот если в каком из кодеков сменой
порядка строк будет дырка заткнута -- то куда более как.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 17+ messages in thread
* [devel] pulseaudio
2007-07-12 23:01 ` Led
2007-07-13 5:49 ` Pavlov Konstantin
2007-07-13 6:44 ` [devel] security fixes and %changelog Michael Shigorin
@ 2007-07-13 6:45 ` Michael Shigorin
2007-07-13 10:51 ` Igor Zubkov
2 siblings, 1 reply; 17+ messages in thread
From: Michael Shigorin @ 2007-07-13 6:45 UTC (permalink / raw)
To: ALT Devel discussion list
On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote:
> Рекомендую также обратить внимание на форк pulseaudio в Sisyphus.
Его таки форкнули? А чего именно от Сержа не домоглись,
или просто слишком много доказывать приходится?
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 17+ messages in thread
* [devel] [PP] Re: security fixes and %changelog
2007-07-13 1:54 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Aleksey Novodvorsky
@ 2007-07-13 6:50 ` Michael Shigorin
2007-07-13 10:25 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Dmitry V. Levin
1 sibling, 0 replies; 17+ messages in thread
From: Michael Shigorin @ 2007-07-13 6:50 UTC (permalink / raw)
To: devel
On Fri, Jul 13, 2007 at 05:54:50AM +0400, Aleksey Novodvorsky wrote:
> > Серж, там remote code exec заткнули, а ты даже слово security
> > в %changelog не упомянул. Это _очень_ плохая практика.
> > Лучше забыть вписать всё остальное, но критичные исправления
> > в безопасности -- хоть словом или двумя.
> > Настоятельная просьба касается всех участников команды.
> Лучше бы это оформить в виде полиси.
Довольно давно было добавлено к
http://wiki.sisyphus.ru/devel/spectips/ChangeLog;
дописал ещё строчку, если претензий к этому тексту нет,
предлагаю сослаться на него с
http://www.freesource.info/wiki/AltLinux/Policy
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog
2007-07-13 6:44 ` [devel] security fixes and %changelog Michael Shigorin
@ 2007-07-13 7:13 ` Igor Zubkov
2007-07-13 9:01 ` Michael Shigorin
0 siblings, 1 reply; 17+ messages in thread
From: Igor Zubkov @ 2007-07-13 7:13 UTC (permalink / raw)
To: ALT Devel discussion list
13.07.07, Michael Shigorin<mike osdn org ua> написал(а):
> On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote:
> > > Серж, там remote code exec заткнули, а ты даже слово security
> > > в %changelog не упомянул.
> > > Это _очень_ плохая практика. Лучше забыть вписать всё остальное,
> > > но критичные исправления в безопасности -- хоть словом или двумя.
> > Открой глаза: это ОБЫЧНАЯ практика.
>
> Нет, это не обычная практика для тех людей, пакеты которых обычно
> можно ставить и обновлять "вслепую".
Тебе привести доказательства того что это обычная практика (по крайней
мере для некоторых)?
--
icesik
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog
2007-07-13 7:13 ` Igor Zubkov
@ 2007-07-13 9:01 ` Michael Shigorin
2007-07-13 10:37 ` Igor Zubkov
0 siblings, 1 reply; 17+ messages in thread
From: Michael Shigorin @ 2007-07-13 9:01 UTC (permalink / raw)
To: ALT Devel discussion list
On Fri, Jul 13, 2007 at 10:13:16AM +0300, Igor Zubkov wrote:
> > > > Серж, там remote code exec заткнули, а ты даже слово
> > > > security в %changelog не упомянул. Это _очень_ плохая
> > > > практика. Лучше забыть вписать всё остальное, но
> > > > критичные исправления в безопасности -- хоть словом или
> > > > двумя.
> > > Открой глаза: это ОБЫЧНАЯ практика.
> > Нет, это не обычная практика для тех людей, пакеты которых
> > обычно можно ставить и обновлять "вслепую".
> Тебе привести доказательства того что это обычная практика (по
> крайней мере для некоторых)?
Вот к этим некоторым (всем вместе) и обращаюсь, поскольку пару
раз уже изрядно напрягало.
[...]
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438))
2007-07-13 1:54 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Aleksey Novodvorsky
2007-07-13 6:50 ` [devel] [PP] Re: security fixes and %changelog Michael Shigorin
@ 2007-07-13 10:25 ` Dmitry V. Levin
2007-07-13 10:36 ` [devel] security fixes and %changelog Anton Farygin
1 sibling, 1 reply; 17+ messages in thread
From: Dmitry V. Levin @ 2007-07-13 10:25 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1147 bytes --]
On Fri, Jul 13, 2007 at 05:54:50AM +0400, Aleksey Novodvorsky wrote:
> On 7/13/07, Michael Shigorin <mike@osdn.org.ua> wrote:
> > On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote:
> > > mozilla-plugin-adobe-flash - Adobe Flash Player
> > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2
> > > - add Categories parameter to desktop-file
> > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1
> > > - new version
> > > * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2
> >
> > Серж, там remote code exec заткнули, а ты даже слово security
> > в %changelog не упомянул.
> >
> > Это _очень_ плохая практика. Лучше забыть вписать всё остальное,
> > но критичные исправления в безопасности -- хоть словом или двумя.
> >
> > Настоятельная просьба касается всех участников команды.
>
> Лучше бы это оформить в виде полиси.
Внимание, оформляю в виде полиси:
Если в обновлении пакета содержится security fix, то вам следует явно
написать об этом в %changelog пакета.
Оставляю за собой право заворачивать обновления пакетов, нарушающих это
правило.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog
2007-07-13 10:25 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Dmitry V. Levin
@ 2007-07-13 10:36 ` Anton Farygin
2007-07-13 11:03 ` Dmitry V. Levin
0 siblings, 1 reply; 17+ messages in thread
From: Anton Farygin @ 2007-07-13 10:36 UTC (permalink / raw)
To: ALT Devel discussion list
Dmitry V. Levin wrote:
> On Fri, Jul 13, 2007 at 05:54:50AM +0400, Aleksey Novodvorsky wrote:
>> On 7/13/07, Michael Shigorin <mike@osdn.org.ua> wrote:
>>> On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote:
>>>> mozilla-plugin-adobe-flash - Adobe Flash Player
>>>> * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2
>>>> - add Categories parameter to desktop-file
>>>> * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1
>>>> - new version
>>>> * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2
>>> Серж, там remote code exec заткнули, а ты даже слово security
>>> в %changelog не упомянул.
>>>
>>> Это _очень_ плохая практика. Лучше забыть вписать всё остальное,
>>> но критичные исправления в безопасности -- хоть словом или двумя.
>>>
>>> Настоятельная просьба касается всех участников команды.
>> Лучше бы это оформить в виде полиси.
>
> Внимание, оформляю в виде полиси:
>
> Если в обновлении пакета содержится security fix, то вам следует явно
> написать об этом в %changelog пакета.
>
> Оставляю за собой право заворачивать обновления пакетов, нарушающих это
> правило.
Как должна выглядеть запись, что бы её было удобно grep ?
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog
2007-07-13 9:01 ` Michael Shigorin
@ 2007-07-13 10:37 ` Igor Zubkov
0 siblings, 0 replies; 17+ messages in thread
From: Igor Zubkov @ 2007-07-13 10:37 UTC (permalink / raw)
To: ALT Devel discussion list
В сообщении от Friday 13 July 2007 12:01:37 Michael Shigorin написал(а):
> On Fri, Jul 13, 2007 at 10:13:16AM +0300, Igor Zubkov wrote:
> > > > > Серж, там remote code exec заткнули, а ты даже слово
> > > > > security в %changelog не упомянул. Это _очень_ плохая
> > > > > практика. Лучше забыть вписать всё остальное, но
> > > > > критичные исправления в безопасности -- хоть словом или
> > > > > двумя.
> > > >
> > > > Открой глаза: это ОБЫЧНАЯ практика.
> > >
> > > Нет, это не обычная практика для тех людей, пакеты которых
> > > обычно можно ставить и обновлять "вслепую".
> >
> > Тебе привести доказательства того что это обычная практика (по
> > крайней мере для некоторых)?
qt4:
* Tue Apr 03 2007 Sergey V Turchin <zerg at altlinux dot org> 4.2.3-alt8
- add patch against UTF-8 bug
* Fri Mar 30 2007 Sergey V Turchin <zerg at altlinux dot org> 4.2.3-alt7
Это CVE-2007-0242.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0242
Этот же баг относится к qt3:
* Mon Apr 02 2007 Sergey V Turchin <zerg at altlinux dot org> 3.3.8-alt5
- add patch against utf8 bug
* Thu Mar 29 2007 Sergey V Turchin <zerg at altlinux dot org> 3.3.8-alt4
avahi:
* Fri Jun 29 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.20-alt2
- reload dbus config instead of restart
* Tue Jun 26 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.20-alt1
- new version
* Tue May 22 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.19-alt1
Это CVE-2007-3372.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3372
Так же, сюда можно добавить то, что в avahi не одна уязвомость было. Так же,
была уязвимость в nvidia драйверах. Так же... Так же... Продолжать можно
долго.
> Вот к этим некоторым (всем вместе) и обращаюсь, поскольку пару
> раз уже изрядно напрягало.
+1
--
icesik
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] pulseaudio
2007-07-13 6:45 ` [devel] pulseaudio Michael Shigorin
@ 2007-07-13 10:51 ` Igor Zubkov
2007-07-13 11:10 ` Dmitry V. Levin
0 siblings, 1 reply; 17+ messages in thread
From: Igor Zubkov @ 2007-07-13 10:51 UTC (permalink / raw)
To: ALT Devel discussion list
В сообщении от Friday 13 July 2007 09:45:07 Michael Shigorin написал(а):
> On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote:
> > Рекомендую также обратить внимание на форк pulseaudio в Sisyphus.
>
> Его таки форкнули? А чего именно от Сержа не домоглись,
> или просто слишком много доказывать приходится?
Майк, ты мне скажи, у тебя будет желание ковырятся в таком мусоре?
[icesik@iceberg SOURCES]$ diff -urN pulseaudio-0.9.6 pulseaudio-0.9.6.lioka >
lioka.patch
[icesik@iceberg SOURCES]$ cat lioka.patch | wc -l
131358
[icesik@iceberg SOURCES]$
git'ификация в полный рост.
--
icesik
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog
2007-07-13 10:36 ` [devel] security fixes and %changelog Anton Farygin
@ 2007-07-13 11:03 ` Dmitry V. Levin
2007-07-13 11:42 ` [devel] [wiki] /devel/SpecTips/ChangeLog (was: security fixes and %changelog) Michael Shigorin
0 siblings, 1 reply; 17+ messages in thread
From: Dmitry V. Levin @ 2007-07-13 11:03 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1652 bytes --]
On Fri, Jul 13, 2007 at 02:36:44PM +0400, Anton Farygin wrote:
> Dmitry V. Levin wrote:
> > On Fri, Jul 13, 2007 at 05:54:50AM +0400, Aleksey Novodvorsky wrote:
> >> On 7/13/07, Michael Shigorin <mike@osdn.org.ua> wrote:
> >>> On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote:
> >>>> mozilla-plugin-adobe-flash - Adobe Flash Player
> >>>> * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2
> >>>> - add Categories parameter to desktop-file
> >>>> * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1
> >>>> - new version
> >>>> * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2
> >>> Серж, там remote code exec заткнули, а ты даже слово security
> >>> в %changelog не упомянул.
> >>>
> >>> Это _очень_ плохая практика. Лучше забыть вписать всё остальное,
> >>> но критичные исправления в безопасности -- хоть словом или двумя.
> >>>
> >>> Настоятельная просьба касается всех участников команды.
> >> Лучше бы это оформить в виде полиси.
> >
> > Внимание, оформляю в виде полиси:
> >
> > Если в обновлении пакета содержится security fix, то вам следует явно
> > написать об этом в %changelog пакета.
> >
> > Оставляю за собой право заворачивать обновления пакетов, нарушающих это
> > правило.
>
> Как должна выглядеть запись, что бы её было удобно grep ?
Здесь (ещё?) нет универсального формата.
В случае обновления версии можно написать так:
http://git.altlinux.org/people/ldv/packages/?p=mutt.git;a=commit;h=1.4.2.3-alt1
Если приложен патч, то можно написать так:
http://git.altlinux.org/people/ldv/packages/?p=file.git;a=commit;h=4.20-alt5
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] pulseaudio
2007-07-13 10:51 ` Igor Zubkov
@ 2007-07-13 11:10 ` Dmitry V. Levin
0 siblings, 0 replies; 17+ messages in thread
From: Dmitry V. Levin @ 2007-07-13 11:10 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 895 bytes --]
On Fri, Jul 13, 2007 at 01:51:16PM +0300, Igor Zubkov wrote:
> В сообщении от Friday 13 July 2007 09:45:07 Michael Shigorin написал(а):
> > On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote:
> > > Рекомендую также обратить внимание на форк pulseaudio в Sisyphus.
> >
> > Его таки форкнули? А чего именно от Сержа не домоглись,
> > или просто слишком много доказывать приходится?
>
> Майк, ты мне скажи, у тебя будет желание ковырятся в таком мусоре?
>
> [icesik@iceberg SOURCES]$ diff -urN pulseaudio-0.9.6 pulseaudio-0.9.6.lioka >
> lioka.patch
> [icesik@iceberg SOURCES]$ cat lioka.patch | wc -l
> 131358
У меня есть пакеты, содержащие гораздо больше изменений.
<administrativia>
Игорь, перед отправкой сообщений в список рассылки не забывай, пожалуйста,
удалять фразы, которые могут показаться оскорбительнымидругим подписчикам.
</administrativia>
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* [devel] [wiki] /devel/SpecTips/ChangeLog (was: security fixes and %changelog)
2007-07-13 11:03 ` Dmitry V. Levin
@ 2007-07-13 11:42 ` Michael Shigorin
0 siblings, 0 replies; 17+ messages in thread
From: Michael Shigorin @ 2007-07-13 11:42 UTC (permalink / raw)
To: ALT Devel discussion list
On Fri, Jul 13, 2007 at 03:03:39PM +0400, Dmitry V. Levin wrote:
> > Как должна выглядеть запись, что бы её было удобно grep ?
> Здесь (ещё?) нет универсального формата.
Добавил на wiki; есть мнение, что хорошо бы понемногу
договориться по общепринятому способу сообщения о закрытии
багов и дырок.
В launchpad для первого сделали (недавно капитально взрывали,
правда) автозакрытие багов в BTS по ченжлогу успешной сборки,
для второго -- где-то на вебе автоссылание сразу на нужную
страничку CVE.
По крайней мере второе когда-то будет хорошо сделать
в sisyphus.ru; сам остановился на "fixes #nnnnn".
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438))
2007-07-13 5:49 ` Pavlov Konstantin
@ 2007-07-18 19:44 ` Konstantin A. Lepikhov
0 siblings, 0 replies; 17+ messages in thread
From: Konstantin A. Lepikhov @ 2007-07-18 19:44 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 534 bytes --]
Hi Pavlov!
Friday 13, at 09:49:44 AM you wrote:
> Подозреваю, что в таком случае придется:
> - в GUI-приложениях писать о появлении новых окошек
> - в пакете kernel-image-* писать о появлении новых драйверов
в kernel-image так и делается.
> - в glibc писать о появлении новых функций.
>
> Подозреваю, что скилл человека, который хочет узнать о том, что
> поддерживается, а что -- нет, достаточен для того, чтобы зайти на
> оффициальную страницу проекта и почитать документацию / faq / whatever.
--
WBR et al.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
end of thread, other threads:[~2007-07-18 19:44 UTC | newest]
Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-07-12 21:51 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Michael Shigorin
2007-07-12 23:01 ` Led
2007-07-13 5:49 ` Pavlov Konstantin
2007-07-18 19:44 ` Konstantin A. Lepikhov
2007-07-13 6:44 ` [devel] security fixes and %changelog Michael Shigorin
2007-07-13 7:13 ` Igor Zubkov
2007-07-13 9:01 ` Michael Shigorin
2007-07-13 10:37 ` Igor Zubkov
2007-07-13 6:45 ` [devel] pulseaudio Michael Shigorin
2007-07-13 10:51 ` Igor Zubkov
2007-07-13 11:10 ` Dmitry V. Levin
2007-07-13 1:54 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Aleksey Novodvorsky
2007-07-13 6:50 ` [devel] [PP] Re: security fixes and %changelog Michael Shigorin
2007-07-13 10:25 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Dmitry V. Levin
2007-07-13 10:36 ` [devel] security fixes and %changelog Anton Farygin
2007-07-13 11:03 ` Dmitry V. Levin
2007-07-13 11:42 ` [devel] [wiki] /devel/SpecTips/ChangeLog (was: security fixes and %changelog) Michael Shigorin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git