From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 7 Feb 2023 15:11:41 +0300 From: Vitaly Chikunov To: ALT Linux Team development discussions Message-ID: <20230207121141.jfkbt6cs4ybljjvv@altlinux.org> References: <2d6f1695-0ef9-a7e6-c0e5-0ed7653e7692@basealt.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <2d6f1695-0ef9-a7e6-c0e5-0ed7653e7692@basealt.ru> Subject: Re: [devel] =?koi8-r?b?7sHS1dvFzsnRIFZ1bG5lcmFiaWxpdHkgUG9saWN5?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 07 Feb 2023 12:11:41 -0000 Archived-At: List-Archive: List-Post: On Tue, Feb 07, 2023 at 10:50:41AM +0300, Anton Farygin wrote: > Всем привет. > > Есть предложение сделать так, что бы пакеты, нарушающие это Policy не > проходили в репозиторий, при этом дополнить policy для случаев, когда CVE > надо упомянуть но не закрыть. (Добавление CVE бага обычно не указывают в changelog.) Примерно в 100% случаев упоминание CVE означает закрытие, в остальных очень редких случаях - частичный фикс. Просто так упоминать, но не закрывать даже частично - не понятно зачем. Поэтому я бы предложил любое упоминание CVE без специального "формата закрытия" считать закрытием. А для "не закрытия" использовать специальный формат или вообще запретить указывать в %changelog. > > https://www.altlinux.org/Vulnerability_Policy > > Пример: > > https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/ > > > Rgds, > > Rider > > > _______________________________________________ > Devel mailing list > Devel@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/devel