* [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
@ 2025-07-05 12:06 Ajrat Makhmutov
2025-07-07 8:50 ` Alexey V. Vissarionov
2025-07-07 9:03 ` Dmitry V. Levin
0 siblings, 2 replies; 3+ messages in thread
From: Ajrat Makhmutov @ 2025-07-05 12:06 UTC (permalink / raw)
To: devel
Всем привет! Хочу добавить альтернативу для "- Fixes:" в changelog: "-
Security fixes:"
в Vulnerability Policy (https://www.altlinux.org/Vulnerability_Policy)
потому что
так отмечаются исправления в rust, firefox, thunderbird и nss уже много
времени.
Ну и пользователям, не знающим что такое CVE, MFSA такой вариант
понятнее - исправления по безопасности.
Вот черновик:
https://www.altlinux.org/Vulnerability_Policy_Security_fixes_draft
Прошу написать, если против.
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov
@ 2025-07-07 8:50 ` Alexey V. Vissarionov
2025-07-07 9:03 ` Dmitry V. Levin
1 sibling, 0 replies; 3+ messages in thread
From: Alexey V. Vissarionov @ 2025-07-07 8:50 UTC (permalink / raw)
To: ALT Linux Team development discussions
Good ${greeting_time}!
On 2025-07-05 15:06:16 +0300, Ajrat Makhmutov wrote:
> Хочу добавить альтернативу для "- Fixes:" в changelog:
> "- Security fixes:" в Vulnerability Policy
> (https://www.altlinux.org/Vulnerability_Policy) потому что
> так отмечаются исправления в rust, firefox, thunderbird и
> nss уже много времени.
Делать "так, как в %s" имеет смысл только когда уже принято
принципиальное решение делать. Пока я вижу только усложнение
регулярного выражения для поиска.
> Ну и пользователям, не знающим что такое CVE, MFSA такой
> вариант понятнее - исправления по безопасности.
Вы с этими пользователями общались? Ну, хотя бы как аудитор,
проводящий внутреннюю проверку?
Там два дискретных варианта: либо знают все (и что такое CVE,
и где их смотреть, и почему "not applicable" ("неприменимо")
лучшая запись в отчете), либо делают большие глаза, хлопают
ушами и говорят "ыыыы... ээээ... чаво?". И других вариантов
не просто нет, а даже не предвидится.
Вспомнил отдельных представителей второй категории - брррр...
сам себе настроение испортил. Ненадолго, но все же.
> Вот черновик:
> https://www.altlinux.org/Vulnerability_Policy_Security_fixes_draft
> Прошу написать, если против.
Никакого смысла. >& /dev/null
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov
2025-07-07 8:50 ` Alexey V. Vissarionov
@ 2025-07-07 9:03 ` Dmitry V. Levin
1 sibling, 0 replies; 3+ messages in thread
From: Dmitry V. Levin @ 2025-07-07 9:03 UTC (permalink / raw)
To: devel
On Sat, Jul 05, 2025 at 03:06:16PM +0300, Ajrat Makhmutov wrote:
> Всем привет! Хочу добавить альтернативу для "- Fixes:" в changelog: "-
> Security fixes:"
> в Vulnerability Policy (https://www.altlinux.org/Vulnerability_Policy)
> потому что
> так отмечаются исправления в rust, firefox, thunderbird и nss уже много
> времени.
На мой взгляд, это умножение сущностей без необходимости.
Хуже того, понадобится найти все места, в которых анализируется %changelog
на предмет исправления уязвимостей, и обновить там регулярные выражения.
> Ну и пользователям, не знающим что такое CVE, MFSA такой вариант
> понятнее - исправления по безопасности.
Если пользователи мониторят %changelog'и обновляемых пакетов, то им рано
или поздно всё равно придётся узнать, что такое CVE, чтобы понимать, что
написано в %changelog'е, который написан по действующим правилам.
--
ldv
^ permalink raw reply [flat|nested] 3+ messages in thread
end of thread, other threads:[~2025-07-07 9:03 UTC | newest]
Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov
2025-07-07 8:50 ` Alexey V. Vissarionov
2025-07-07 9:03 ` Dmitry V. Levin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git