On Tue, Dec 13, 2005 at 11:46:18AM +0300, Eugene Seppel wrote: > > Что делать остальным? Воспользоваться совсем не > > поддерживаемыми тарболами при возникновении нужды в > > программах?.. > И всё-таки позвольте ещё раз с Вами не согласиться. YW :) > Программы из тарболов поддерживаются своими разработчиками, или > не поддерживаются. И человек, который ставит тарболл понимает, > что он делает. А если пакет из Мастера, пусть и contribs -- то > сразу возникает вера во бдительного маинтайнера, и что всё > хорошо. Повторюсь: это вопрос **оправданности ожиданий**. Организационный. Вы же предлагаете решать его техническими средствами ("а если не будут брать -- отключим газ" (c)). Я давно предлагаю писать большими буквами во избежание недоразумений -- "contrib НЕ ПОДДЕРЖИВАЕТСЯ обновлениями по безопасности, то есть не рассчитывайте на это". И содержу по крайней мере один vserver, где contrib выключен (хотя, кажется, пару раз подключался для конкретных пакетов; в такой ситуации я отдаю себе отчёт, что при необходимости выкачу по ним обновления сам и это есть часть моего административного решения в данном случае). Наверное, можно подумать о таком выходе: для серверной установки contrib по умолчанию не подключен, для настольной -- подключен, для custom -- выводится пояснение и задаётся вопрос в явном виде. 2 devel: ы? --- > Я бы, всё-же, осмелился предложить принять какое-нибуть решение > по поводу Middleman. Недопустимо иметь такие, с позволения > сказать, прокси-сервера. Примите. Например, методом миграции с него с озвучиванием причины здесь. (вторая часть выполнена ;) > Когда я понял суть проблемы с ним, я чуть не впал в панику, > вспомнив про свой сервак с пользователями, которым я мало > доверяю, и сразу стал проверять конфиги прокси на сервере. > Я бы с радостью написал патчи к middleman и послал маинтайнеру, > да вот только времени в этом месяце не будет:( Воот. При этом пока Вы -- самый заинтересованный, видимо. А остальные пользуют вполне активно поддерживаемый squid. --- > Это всё к тому, что если бы был список рассылки > security-announce, можно было бы в него написать, что дескать > есть такая проблема и она решается. Но пока -- сделайте так-то. Заменителем bugtraq@ и прочих ресурсов общего плана список анонсов рекомендаций по безопасности дистрибутива не является и быть не может. Опять-таки, к этому выводу пришёл примерно через такие же размышления, что и Вы; и через эту точку -- тоже. Если хотите, можете подумать насчёт выделения времени для отслеживания публикации информации о проблемах, проверки применимости к нашим пакетам (по крайней мере на уровне "есть, и версия вроде дырявая") и анонсирования здесь или в ином списке рассылки (про security-announce@ надо с ldv@ говорить, я тут ни при чём совсем). Ключевое слово -- "времени". Компания по определению не может найти ресурсы на поддержку всего того, что делает сообщество. Сервисы навроде кормления администратора с ложечки хороши, но могут быть сколько-нибудь жизнеспособными исключительно как коммерческая услуга или устойчивый общественный проект. То есть чтобы не скатиться к RHEL/FC (огрызочный набор пакетов, зато работающий -- в RHEL обычно -- и поддерживаемый) -- требуется именно что понимание сообществом майнтейнеров того, что сборкой пакета возня с ним обычно не оканчивается и поэтому собирать что попало -- плохая практика, а сообществом пользователей -- что майнтейнеры такие же люди и у них досуг пакетами не исчерпывается. Соответственно при наличии возможности помочь даже с одним пакетом, в котором кто-либо так же или более заинтересован, как текущий майнтейнер -- может иметь смысл предложить свою помощь с теми же sec updates. При наличии возможности помочь с объяснениями человеческим языком -- опять же пишите, можно чего-нить подумать, если хоть два-три (более одного) человека всерьёз решат выделить хоть по паре часов в неделю на подобное да на той же secunia.com подпишутся на анонсы. PS: даю Cc: devel@, просьба отвечать только в один список. -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/