On Sun, Mar 09, 2008 at 02:32:56AM +0300, Alexey Gladkov wrote:
> Michael Shigorin wrote:
> >Повод -- думаю, достаточный.  Предложения по таймауту, думаю,
> >приветствуются.
> 
> У меня есть предложение: Если такая проблема появляется (а именно 
> наличие публично оглашённой уязвимости), то стоит писать в этот список 
> рассылки.

Их по несколько штук в день бывает.  Лучше в bugzilla.

> Если в течении 3-х дней мантейнер не даёт комментария по 
> данному поводу, то принимается решение о судьбе пакета ...

Срок реакции сильно зависит от характера уязвимости.
Поэтому ожидаемый предельный срок реакции лучше указывать в каждом
конкретном случае отдельно.

> не все 
> пакеты можно так просто выкинуть, некоторые необходимо исправлять за 
> мантейнера.

Несомненно.
На уже приведённых примерах: ovz-smp я зафиксил, а wks-smp я удалил.

> Более того, удаление пакета из репозитория это несколько бесполезная 
> мера т.к. у пользователей на машинах пакет всё равно останется, а о 
> его исчезновении apt не расскажет (я рассматриваю данный случай с ядром).

"apt-cache list-extras" (list-extras из пакета apt-scripts) расскажет.

> Для пакетов с критичными дырами, я бы предложил завести раздел в 
> Wiki... но тут вопрос с тем, кто его будет этот раздел поддерживать.

Никто не будет.  Для этого вообще-то есть bugzilla.

> Из ряда фантазий: Хорошо бы при обновлении выводить предупреждение, 
> что в пакете есть большие дыры.

И прочие блок-баги?
Это скорее интересно знать про каждый установленный пакет по окончании
обновления.


-- 
ldv