On 2018-12-03 06:20:19 +0300, Dmitry V. Levin wrote:

 >> 3. Специально для софта, которому жизненно необходим сабж
 >> первой версии, сделать libidn1-devel-static (именно static
 >> и только devel): это позволит дождаться реализации пункта
 >> номер 2 без потери функциональности и, что немаловажно, не
 >> плодить при этом очередной зоопарк версий - софт, которому
 >> нужна старая версия, перестает зависеть от сабжа, что дает
 >> возможность спокойно обновлять оный.

 > Не надо никаких static, там уязвимости исправлять надо.

Исправлять - надо. Но потеря функциональности - по определению
недопустимый риск (very high probability, very high impact). И
избежать его можно всего двумя способами: либо сознательным
снижением функциональности (сборка без сабжа; low probability,
high impact) до приемлемого уровня, либо принятием риска от
уязвимостей в сабже как допустимого (medium probability, medium
impact).


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net