[Comm] [POLICY] Re: вопрос по обновлениям...

[Michael Shigorin <mike@osdn.org.ua>]

[-- Attachment #1: Type: text/plain, Size: 3627 bytes --]

On Sun, Mar 21, 2004 at 03:34:25PM +0300, crux wrote:
> >Вы скажете - бери отсюда 
> >http://www.altlinux.com/index.php?module=sisyphus&package=mod_ssl
> >mod_ssl-2.8.16-alt1.src.rpm
> Установить из Сизифа этот пакет вы не сможете по двум причинам:

_Этот_ -- смогут.

> * Сизиф уже далеко ушёл от ALM2.2 (новые макросы в спеке и т.д.)

Макросы по части apache попали в 1.3.27 из updates.  Да, я знаю,
что это плохо -- но этот вопрос (неизменности версий в линии) я
собираюсь поднять после проработки, которая сейчас и происходит.

> * mod_ssl 2.8.16 собран для apache 1.3.29

Не помню точно -- но один mod_ssl в свое время в схожей ситуации
был убежден в том, что он _будет_ работать с тем апачем, который
отличается кратким sec-related patch и циферкой.

_Кажется_, ./configure --force этим убеждением и было.  Оно
сейчас и осталось.

Что применительно к src.rpm означает то, что он (если я не
ошибаюсь) соберется и с большой вероятностью заработает с 1.3.27.

> Таким образом, чтобы вышло обновление mod_ssl для ALM2.2
> требуется также выпустить обновление для Apache (до 1.3.29) и
> _всех_ модулей к нему..

И это не так.

> Кстати и в apache в версиях < 1.3.29 есть баги в модулях
> mod_alias и mod_rewrite. Поэтому вопрос об обновлении apache
> уже давно назрел и его надо разрешать...

Вообще говоря, сборка 1.3.29 и была рекомендована в security
updates, а также собрана под ALM2.2 и проверена на ряде серверов
с ним -- например:

home:~> lynx -head -mime_header http://linux.kiev.ua/
HTTP/1.1 200 OK
Date: Sun, 21 Mar 2004 19:54:35 GMT
Server: Apache/1.3.29 (ALT Linux/alt1) mod_fastcgi/2.2.12
Set-Cookie: lang=russian; expires=Mon, 21-Mar-2005 19:54:36 GMT
Connection: close
Content-Type: text/html

> И вы совершенно правильно сделали, что затронули эту тему в
> рассылке.

К сожалению, вопрос далеко не настолько однозначен.  Эти баги Вас
затрагивали?  Поручитесь ли, что при их исправлении не посадили
ляпы в более важных местах?

По-хорошему -- для sec updates политика выделения только
критичных изменений (минимальных) и внесения только их в базовые
версии, наличествовавшие на момент выпуска дистрибутива --
правильная.

На сейчас в альте (в отличие от RH или Debian) это не так.
Факт этот можно воспринимать по-разному, но на сейчас он остается
фактом.

Что меня в данном случае удивляет больше -- (порой благодаря
заблаговременному предупреждению security@) новые версии для
Sisyphus собирались и подвергались базовому тестированию
оперативно, фактически в режиме наивысшего приоритета.

Но потом на их базе _не_ выпускались updates, хотя
работоспособность на последнем stable обычно проверялась не менее
оперативно (соотв. я слежу за собираемостью этих пакетов на нем,
или по крайней мере тогда следил).

Есть деловое предложение -- писать на org@, дабы была выработана
и опубликована политика выпуска исправлений проблем безопасности,
а также для обеспечения ее ресурсами (резервированностью) и
ответственностью.  В том числе за задержку обновлений.

> [offtopic]
> Если посмотреть на дистрибутивы Mandrake и RedHat то они честно заново 
> пересобирают всю группу пакетов, которые связаны с apache, после 
> обнаружения проблем в любой из составляющих apache. Я, например, уже 
> сбился со счёта сколько раз обновлял apache в Mandrake 9.1 ... Трафик 
> обновлений просто жуткий, но как иначе?
> [/offtopic]

Иначе -- иначе.  У RH проблема в крупноблочности пакетов при
дубовых зависимостях, у Mdk -- свои тараканы в голове по части
того же apache.

Короче, это отдельный разговор и фанфар там у них нет. :(

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]