On Wed, 25 Aug 2021 11:38:58 +0300 Vitaly Lipatov wrote:
> Ivan A. Melnikov писал 25.8.21 11:28:
> > On Wed, Aug 25, 2021 at 11:18:16AM +0300, Vitaly Lipatov wrote:
> ...
> >> boost    iv sem @qa
> >>     boost-devel-static - Boost libraries
> >>           karbowanecwallet 	drool @everybody
> >>           sibcoin 	drool @everybody
> >>           taler 	drool @everybody
> > 
> > Я помню просьбы людей, использовавших boost из репозитория в своих
> > проектах, оставить devel-static. Было это правда давно: одним из
> > этих людей был real@. Но всё равно, думаю тут лучше починить.
> Да, это может быть кому-то полезно для сборки каких-то standalone, 
> недистрибутивных решений.
> 
> > Насколько boost-devel-static нужен именно при сборке пакетов в Сизиф
> > -- это другой вопрос. Я думаю, что скорее не нужен.
> Да. Я просто воспользовался случаем обратить внимание, что по 
> возможности надо бы избавиться от статической линковки.

А почему не наоборот?

Динамическая линковка лишь создаёт иллюзию безопасности за счёт
исправления проблемы в одной библиотеке сразу для всех. Но проблема
может быть в хедерах, а C++ библиотеки всё больше переходят
в хедеры. В итоге может получится, что CVE исправлен, библиотека
обновлена без изменения ABI, а непересобранные приложения всё ещё
уязвимы.

Best regards,
Andrew Savchenko