* [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) @ 2007-07-12 21:51 ` Michael Shigorin 2007-07-12 23:01 ` Led 2007-07-13 1:54 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Aleksey Novodvorsky 0 siblings, 2 replies; 17+ messages in thread From: Michael Shigorin @ 2007-07-12 21:51 UTC (permalink / raw) To: devel [-- Attachment #1: Type: text/plain, Size: 771 bytes --] On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote: > mozilla-plugin-adobe-flash - Adobe Flash Player > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2 > - add Categories parameter to desktop-file > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1 > - new version > * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2 Серж, там remote code exec заткнули, а ты даже слово security в %changelog не упомянул. Это _очень_ плохая практика. Лучше забыть вписать всё остальное, но критичные исправления в безопасности -- хоть словом или двумя. Настоятельная просьба касается всех участников команды. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) 2007-07-12 21:51 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Michael Shigorin @ 2007-07-12 23:01 ` Led 2007-07-13 5:49 ` Pavlov Konstantin ` (2 more replies) 2007-07-13 1:54 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Aleksey Novodvorsky 1 sibling, 3 replies; 17+ messages in thread From: Led @ 2007-07-12 23:01 UTC (permalink / raw) To: ALT Devel discussion list 2007/7/13, Michael Shigorin <mike@osdn.org.ua>: > On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote: > > mozilla-plugin-adobe-flash - Adobe Flash Player > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2 > > - add Categories parameter to desktop-file > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1 > > - new version > > * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2 > > Серж, там remote code exec заткнули, а ты даже слово security > в %changelog не упомянул. > > Это _очень_ плохая практика. Лучше забыть вписать всё остальное, > но критичные исправления в безопасности -- хоть словом или двумя. Открой глаза: это ОБЫЧНАЯ практика. > Настоятельная просьба касается всех участников команды. Я, например, недавно узнал для себя, что в ffmpeg за последний год не добавилось ни одного кодека (судя по %changelog) - "пацаны в мейнстриме" просто тупо меняют местами строки в C-коде и от этого получаются новые SVN-снапшоты в Сизифе:) Рекомендую также обратить внимание на форк pulseaudio в Sisyphus. Если ты думаешь, что pulseaudio-0.9.6.tar.gz на pulseaudio.org и в Sisyphus - это одно и то же или очень похоже - ты глубоко ошибаешся. Если думаешь, что куча строк "%def_with ... и %{subst_with ...} в спеке несут хоть какую-то смысловую нагрузку -ты тоже ошибаешся :( Добро пожоловать в "резко повысившееся качество спеков/пакетов в связи с использованием git" :( -- Led. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) 2007-07-12 23:01 ` Led @ 2007-07-13 5:49 ` Pavlov Konstantin 2007-07-18 19:44 ` Konstantin A. Lepikhov 2007-07-13 6:44 ` [devel] security fixes and %changelog Michael Shigorin 2007-07-13 6:45 ` [devel] pulseaudio Michael Shigorin 2 siblings, 1 reply; 17+ messages in thread From: Pavlov Konstantin @ 2007-07-13 5:49 UTC (permalink / raw) To: devel [-- Attachment #1: Type: text/plain, Size: 1820 bytes --] On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote: > 2007/7/13, Michael Shigorin <mike@osdn.org.ua>: > > On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote: > > > mozilla-plugin-adobe-flash - Adobe Flash Player > > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2 > > > - add Categories parameter to desktop-file > > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1 > > > - new version > > > * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2 > > > > Серж, там remote code exec заткнули, а ты даже слово security > > в %changelog не упомянул. > > > > Это _очень_ плохая практика. Лучше забыть вписать всё остальное, > > но критичные исправления в безопасности -- хоть словом или двумя. > > Открой глаза: это ОБЫЧНАЯ практика. > > > Настоятельная просьба касается всех участников команды. > > Я, например, недавно узнал для себя, что в ffmpeg за последний год не > добавилось ни одного кодека (судя по %changelog) - "пацаны в > мейнстриме" просто тупо меняют местами строки в C-коде и от этого > получаются новые SVN-снапшоты в Сизифе:) Подозреваю, что в таком случае придется: - в GUI-приложениях писать о появлении новых окошек - в пакете kernel-image-* писать о появлении новых драйверов - в glibc писать о появлении новых функций. Подозреваю, что скилл человека, который хочет узнать о том, что поддерживается, а что -- нет, достаточен для того, чтобы зайти на оффициальную страницу проекта и почитать документацию / faq / whatever. -- * combr а есть кто специалист по беспроводному оборудованию? хочу связать два дома <combr> по 802.11b. будут ли внешним антеннам мешать деревья? ;) <drF_ckoff> "беспроводное оборудование" будет сосать, пока не изобретут "беспроводное электричество" =) [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) 2007-07-13 5:49 ` Pavlov Konstantin @ 2007-07-18 19:44 ` Konstantin A. Lepikhov 0 siblings, 0 replies; 17+ messages in thread From: Konstantin A. Lepikhov @ 2007-07-18 19:44 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 534 bytes --] Hi Pavlov! Friday 13, at 09:49:44 AM you wrote: > Подозреваю, что в таком случае придется: > - в GUI-приложениях писать о появлении новых окошек > - в пакете kernel-image-* писать о появлении новых драйверов в kernel-image так и делается. > - в glibc писать о появлении новых функций. > > Подозреваю, что скилл человека, который хочет узнать о том, что > поддерживается, а что -- нет, достаточен для того, чтобы зайти на > оффициальную страницу проекта и почитать документацию / faq / whatever. -- WBR et al. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog 2007-07-12 23:01 ` Led 2007-07-13 5:49 ` Pavlov Konstantin @ 2007-07-13 6:44 ` Michael Shigorin 2007-07-13 7:13 ` Igor Zubkov 2007-07-13 6:45 ` [devel] pulseaudio Michael Shigorin 2 siblings, 1 reply; 17+ messages in thread From: Michael Shigorin @ 2007-07-13 6:44 UTC (permalink / raw) To: ALT Devel discussion list On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote: > > Серж, там remote code exec заткнули, а ты даже слово security > > в %changelog не упомянул. > > Это _очень_ плохая практика. Лучше забыть вписать всё остальное, > > но критичные исправления в безопасности -- хоть словом или двумя. > Открой глаза: это ОБЫЧНАЯ практика. Нет, это не обычная практика для тех людей, пакеты которых обычно можно ставить и обновлять "вслепую". Я не требую простыню с подробностями -- просто если при упаковке новой версии или сборки _известно_, что она закрывает дырки -- хотя бы банальное "security fixes" или "security update" плюхнуть можно? Нужно. > > Настоятельная просьба касается всех участников команды. > Я, например, недавно узнал для себя, что в ffmpeg за последний > год не добавилось ни одного кодека (судя по %changelog) - > "пацаны в мейнстриме" просто тупо меняют местами строки в > C-коде и от этого получаются новые SVN-снапшоты в Сизифе:) Меня это не интересует. Вот если в каком из кодеков сменой порядка строк будет дырка заткнута -- то куда более как. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog 2007-07-13 6:44 ` [devel] security fixes and %changelog Michael Shigorin @ 2007-07-13 7:13 ` Igor Zubkov 2007-07-13 9:01 ` Michael Shigorin 0 siblings, 1 reply; 17+ messages in thread From: Igor Zubkov @ 2007-07-13 7:13 UTC (permalink / raw) To: ALT Devel discussion list 13.07.07, Michael Shigorin<mike osdn org ua> написал(а): > On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote: > > > Серж, там remote code exec заткнули, а ты даже слово security > > > в %changelog не упомянул. > > > Это _очень_ плохая практика. Лучше забыть вписать всё остальное, > > > но критичные исправления в безопасности -- хоть словом или двумя. > > Открой глаза: это ОБЫЧНАЯ практика. > > Нет, это не обычная практика для тех людей, пакеты которых обычно > можно ставить и обновлять "вслепую". Тебе привести доказательства того что это обычная практика (по крайней мере для некоторых)? -- icesik ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog 2007-07-13 7:13 ` Igor Zubkov @ 2007-07-13 9:01 ` Michael Shigorin 2007-07-13 10:37 ` Igor Zubkov 0 siblings, 1 reply; 17+ messages in thread From: Michael Shigorin @ 2007-07-13 9:01 UTC (permalink / raw) To: ALT Devel discussion list On Fri, Jul 13, 2007 at 10:13:16AM +0300, Igor Zubkov wrote: > > > > Серж, там remote code exec заткнули, а ты даже слово > > > > security в %changelog не упомянул. Это _очень_ плохая > > > > практика. Лучше забыть вписать всё остальное, но > > > > критичные исправления в безопасности -- хоть словом или > > > > двумя. > > > Открой глаза: это ОБЫЧНАЯ практика. > > Нет, это не обычная практика для тех людей, пакеты которых > > обычно можно ставить и обновлять "вслепую". > Тебе привести доказательства того что это обычная практика (по > крайней мере для некоторых)? Вот к этим некоторым (всем вместе) и обращаюсь, поскольку пару раз уже изрядно напрягало. [...] -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog 2007-07-13 9:01 ` Michael Shigorin @ 2007-07-13 10:37 ` Igor Zubkov 0 siblings, 0 replies; 17+ messages in thread From: Igor Zubkov @ 2007-07-13 10:37 UTC (permalink / raw) To: ALT Devel discussion list В сообщении от Friday 13 July 2007 12:01:37 Michael Shigorin написал(а): > On Fri, Jul 13, 2007 at 10:13:16AM +0300, Igor Zubkov wrote: > > > > > Серж, там remote code exec заткнули, а ты даже слово > > > > > security в %changelog не упомянул. Это _очень_ плохая > > > > > практика. Лучше забыть вписать всё остальное, но > > > > > критичные исправления в безопасности -- хоть словом или > > > > > двумя. > > > > > > > > Открой глаза: это ОБЫЧНАЯ практика. > > > > > > Нет, это не обычная практика для тех людей, пакеты которых > > > обычно можно ставить и обновлять "вслепую". > > > > Тебе привести доказательства того что это обычная практика (по > > крайней мере для некоторых)? qt4: * Tue Apr 03 2007 Sergey V Turchin <zerg at altlinux dot org> 4.2.3-alt8 - add patch against UTF-8 bug * Fri Mar 30 2007 Sergey V Turchin <zerg at altlinux dot org> 4.2.3-alt7 Это CVE-2007-0242. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0242 Этот же баг относится к qt3: * Mon Apr 02 2007 Sergey V Turchin <zerg at altlinux dot org> 3.3.8-alt5 - add patch against utf8 bug * Thu Mar 29 2007 Sergey V Turchin <zerg at altlinux dot org> 3.3.8-alt4 avahi: * Fri Jun 29 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.20-alt2 - reload dbus config instead of restart * Tue Jun 26 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.20-alt1 - new version * Tue May 22 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.19-alt1 Это CVE-2007-3372. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3372 Так же, сюда можно добавить то, что в avahi не одна уязвомость было. Так же, была уязвимость в nvidia драйверах. Так же... Так же... Продолжать можно долго. > Вот к этим некоторым (всем вместе) и обращаюсь, поскольку пару > раз уже изрядно напрягало. +1 -- icesik ^ permalink raw reply [flat|nested] 17+ messages in thread
* [devel] pulseaudio 2007-07-12 23:01 ` Led 2007-07-13 5:49 ` Pavlov Konstantin 2007-07-13 6:44 ` [devel] security fixes and %changelog Michael Shigorin @ 2007-07-13 6:45 ` Michael Shigorin 2007-07-13 10:51 ` Igor Zubkov 2 siblings, 1 reply; 17+ messages in thread From: Michael Shigorin @ 2007-07-13 6:45 UTC (permalink / raw) To: ALT Devel discussion list On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote: > Рекомендую также обратить внимание на форк pulseaudio в Sisyphus. Его таки форкнули? А чего именно от Сержа не домоглись, или просто слишком много доказывать приходится? -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] pulseaudio 2007-07-13 6:45 ` [devel] pulseaudio Michael Shigorin @ 2007-07-13 10:51 ` Igor Zubkov 2007-07-13 11:10 ` Dmitry V. Levin 0 siblings, 1 reply; 17+ messages in thread From: Igor Zubkov @ 2007-07-13 10:51 UTC (permalink / raw) To: ALT Devel discussion list В сообщении от Friday 13 July 2007 09:45:07 Michael Shigorin написал(а): > On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote: > > Рекомендую также обратить внимание на форк pulseaudio в Sisyphus. > > Его таки форкнули? А чего именно от Сержа не домоглись, > или просто слишком много доказывать приходится? Майк, ты мне скажи, у тебя будет желание ковырятся в таком мусоре? [icesik@iceberg SOURCES]$ diff -urN pulseaudio-0.9.6 pulseaudio-0.9.6.lioka > lioka.patch [icesik@iceberg SOURCES]$ cat lioka.patch | wc -l 131358 [icesik@iceberg SOURCES]$ git'ификация в полный рост. -- icesik ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] pulseaudio 2007-07-13 10:51 ` Igor Zubkov @ 2007-07-13 11:10 ` Dmitry V. Levin 0 siblings, 0 replies; 17+ messages in thread From: Dmitry V. Levin @ 2007-07-13 11:10 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 895 bytes --] On Fri, Jul 13, 2007 at 01:51:16PM +0300, Igor Zubkov wrote: > В сообщении от Friday 13 July 2007 09:45:07 Michael Shigorin написал(а): > > On Fri, Jul 13, 2007 at 02:01:51AM +0300, Led wrote: > > > Рекомендую также обратить внимание на форк pulseaudio в Sisyphus. > > > > Его таки форкнули? А чего именно от Сержа не домоглись, > > или просто слишком много доказывать приходится? > > Майк, ты мне скажи, у тебя будет желание ковырятся в таком мусоре? > > [icesik@iceberg SOURCES]$ diff -urN pulseaudio-0.9.6 pulseaudio-0.9.6.lioka > > lioka.patch > [icesik@iceberg SOURCES]$ cat lioka.patch | wc -l > 131358 У меня есть пакеты, содержащие гораздо больше изменений. <administrativia> Игорь, перед отправкой сообщений в список рассылки не забывай, пожалуйста, удалять фразы, которые могут показаться оскорбительнымидругим подписчикам. </administrativia> -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) 2007-07-12 21:51 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Michael Shigorin 2007-07-12 23:01 ` Led @ 2007-07-13 1:54 ` Aleksey Novodvorsky 2007-07-13 6:50 ` [devel] [PP] Re: security fixes and %changelog Michael Shigorin 2007-07-13 10:25 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Dmitry V. Levin 1 sibling, 2 replies; 17+ messages in thread From: Aleksey Novodvorsky @ 2007-07-13 1:54 UTC (permalink / raw) To: ALT Devel discussion list On 7/13/07, Michael Shigorin <mike@osdn.org.ua> wrote: > On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote: > > mozilla-plugin-adobe-flash - Adobe Flash Player > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2 > > - add Categories parameter to desktop-file > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1 > > - new version > > * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2 > > Серж, там remote code exec заткнули, а ты даже слово security > в %changelog не упомянул. > > Это _очень_ плохая практика. Лучше забыть вписать всё остальное, > но критичные исправления в безопасности -- хоть словом или двумя. > > Настоятельная просьба касается всех участников команды. Лучше бы это оформить в виде полиси. Rgrds, Алексей ^ permalink raw reply [flat|nested] 17+ messages in thread
* [devel] [PP] Re: security fixes and %changelog 2007-07-13 1:54 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Aleksey Novodvorsky @ 2007-07-13 6:50 ` Michael Shigorin 2007-07-13 10:25 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Dmitry V. Levin 1 sibling, 0 replies; 17+ messages in thread From: Michael Shigorin @ 2007-07-13 6:50 UTC (permalink / raw) To: devel On Fri, Jul 13, 2007 at 05:54:50AM +0400, Aleksey Novodvorsky wrote: > > Серж, там remote code exec заткнули, а ты даже слово security > > в %changelog не упомянул. Это _очень_ плохая практика. > > Лучше забыть вписать всё остальное, но критичные исправления > > в безопасности -- хоть словом или двумя. > > Настоятельная просьба касается всех участников команды. > Лучше бы это оформить в виде полиси. Довольно давно было добавлено к http://wiki.sisyphus.ru/devel/spectips/ChangeLog; дописал ещё строчку, если претензий к этому тексту нет, предлагаю сослаться на него с http://www.freesource.info/wiki/AltLinux/Policy -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) 2007-07-13 1:54 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Aleksey Novodvorsky 2007-07-13 6:50 ` [devel] [PP] Re: security fixes and %changelog Michael Shigorin @ 2007-07-13 10:25 ` Dmitry V. Levin 2007-07-13 10:36 ` [devel] security fixes and %changelog Anton Farygin 1 sibling, 1 reply; 17+ messages in thread From: Dmitry V. Levin @ 2007-07-13 10:25 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 1147 bytes --] On Fri, Jul 13, 2007 at 05:54:50AM +0400, Aleksey Novodvorsky wrote: > On 7/13/07, Michael Shigorin <mike@osdn.org.ua> wrote: > > On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote: > > > mozilla-plugin-adobe-flash - Adobe Flash Player > > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2 > > > - add Categories parameter to desktop-file > > > * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1 > > > - new version > > > * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2 > > > > Серж, там remote code exec заткнули, а ты даже слово security > > в %changelog не упомянул. > > > > Это _очень_ плохая практика. Лучше забыть вписать всё остальное, > > но критичные исправления в безопасности -- хоть словом или двумя. > > > > Настоятельная просьба касается всех участников команды. > > Лучше бы это оформить в виде полиси. Внимание, оформляю в виде полиси: Если в обновлении пакета содержится security fix, то вам следует явно написать об этом в %changelog пакета. Оставляю за собой право заворачивать обновления пакетов, нарушающих это правило. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog 2007-07-13 10:25 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Dmitry V. Levin @ 2007-07-13 10:36 ` Anton Farygin 2007-07-13 11:03 ` Dmitry V. Levin 0 siblings, 1 reply; 17+ messages in thread From: Anton Farygin @ 2007-07-13 10:36 UTC (permalink / raw) To: ALT Devel discussion list Dmitry V. Levin wrote: > On Fri, Jul 13, 2007 at 05:54:50AM +0400, Aleksey Novodvorsky wrote: >> On 7/13/07, Michael Shigorin <mike@osdn.org.ua> wrote: >>> On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote: >>>> mozilla-plugin-adobe-flash - Adobe Flash Player >>>> * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2 >>>> - add Categories parameter to desktop-file >>>> * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1 >>>> - new version >>>> * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2 >>> Серж, там remote code exec заткнули, а ты даже слово security >>> в %changelog не упомянул. >>> >>> Это _очень_ плохая практика. Лучше забыть вписать всё остальное, >>> но критичные исправления в безопасности -- хоть словом или двумя. >>> >>> Настоятельная просьба касается всех участников команды. >> Лучше бы это оформить в виде полиси. > > Внимание, оформляю в виде полиси: > > Если в обновлении пакета содержится security fix, то вам следует явно > написать об этом в %changelog пакета. > > Оставляю за собой право заворачивать обновления пакетов, нарушающих это > правило. Как должна выглядеть запись, что бы её было удобно grep ? ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] security fixes and %changelog 2007-07-13 10:36 ` [devel] security fixes and %changelog Anton Farygin @ 2007-07-13 11:03 ` Dmitry V. Levin 2007-07-13 11:42 ` [devel] [wiki] /devel/SpecTips/ChangeLog (was: security fixes and %changelog) Michael Shigorin 0 siblings, 1 reply; 17+ messages in thread From: Dmitry V. Levin @ 2007-07-13 11:03 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 1652 bytes --] On Fri, Jul 13, 2007 at 02:36:44PM +0400, Anton Farygin wrote: > Dmitry V. Levin wrote: > > On Fri, Jul 13, 2007 at 05:54:50AM +0400, Aleksey Novodvorsky wrote: > >> On 7/13/07, Michael Shigorin <mike@osdn.org.ua> wrote: > >>> On Fri, Jul 13, 2007 at 01:41:05AM +0400, QA Team Robot wrote: > >>>> mozilla-plugin-adobe-flash - Adobe Flash Player > >>>> * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt2 > >>>> - add Categories parameter to desktop-file > >>>> * Thu Jul 12 2007 Sergey V Turchin <zerg@altlinux> 9.0.48.0-alt1 > >>>> - new version > >>>> * Mon Jan 22 2007 Sergey V Turchin <zerg@altlinux> 9.0.31.0-alt2 > >>> Серж, там remote code exec заткнули, а ты даже слово security > >>> в %changelog не упомянул. > >>> > >>> Это _очень_ плохая практика. Лучше забыть вписать всё остальное, > >>> но критичные исправления в безопасности -- хоть словом или двумя. > >>> > >>> Настоятельная просьба касается всех участников команды. > >> Лучше бы это оформить в виде полиси. > > > > Внимание, оформляю в виде полиси: > > > > Если в обновлении пакета содержится security fix, то вам следует явно > > написать об этом в %changelog пакета. > > > > Оставляю за собой право заворачивать обновления пакетов, нарушающих это > > правило. > > Как должна выглядеть запись, что бы её было удобно grep ? Здесь (ещё?) нет универсального формата. В случае обновления версии можно написать так: http://git.altlinux.org/people/ldv/packages/?p=mutt.git;a=commit;h=1.4.2.3-alt1 Если приложен патч, то можно написать так: http://git.altlinux.org/people/ldv/packages/?p=file.git;a=commit;h=4.20-alt5 -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* [devel] [wiki] /devel/SpecTips/ChangeLog (was: security fixes and %changelog) 2007-07-13 11:03 ` Dmitry V. Levin @ 2007-07-13 11:42 ` Michael Shigorin 0 siblings, 0 replies; 17+ messages in thread From: Michael Shigorin @ 2007-07-13 11:42 UTC (permalink / raw) To: ALT Devel discussion list On Fri, Jul 13, 2007 at 03:03:39PM +0400, Dmitry V. Levin wrote: > > Как должна выглядеть запись, что бы её было удобно grep ? > Здесь (ещё?) нет универсального формата. Добавил на wiki; есть мнение, что хорошо бы понемногу договориться по общепринятому способу сообщения о закрытии багов и дырок. В launchpad для первого сделали (недавно капитально взрывали, правда) автозакрытие багов в BTS по ченжлогу успешной сборки, для второго -- где-то на вебе автоссылание сразу на нужную страничку CVE. По крайней мере второе когда-то будет хорошо сделать в sisyphus.ru; сам остановился на "fixes #nnnnn". -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 17+ messages in thread
end of thread, other threads:[~2007-07-18 19:44 UTC | newest] Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2007-07-12 21:51 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Michael Shigorin 2007-07-12 23:01 ` Led 2007-07-13 5:49 ` Pavlov Konstantin 2007-07-18 19:44 ` Konstantin A. Lepikhov 2007-07-13 6:44 ` [devel] security fixes and %changelog Michael Shigorin 2007-07-13 7:13 ` Igor Zubkov 2007-07-13 9:01 ` Michael Shigorin 2007-07-13 10:37 ` Igor Zubkov 2007-07-13 6:45 ` [devel] pulseaudio Michael Shigorin 2007-07-13 10:51 ` Igor Zubkov 2007-07-13 11:10 ` Dmitry V. Levin 2007-07-13 1:54 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Aleksey Novodvorsky 2007-07-13 6:50 ` [devel] [PP] Re: security fixes and %changelog Michael Shigorin 2007-07-13 10:25 ` [devel] security fixes and %changelog (was: [cyber] I: Sisyphus-20070713 packages: +5! +20 (6438)) Dmitry V. Levin 2007-07-13 10:36 ` [devel] security fixes and %changelog Anton Farygin 2007-07-13 11:03 ` Dmitry V. Levin 2007-07-13 11:42 ` [devel] [wiki] /devel/SpecTips/ChangeLog (was: security fixes and %changelog) Michael Shigorin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git