Re: [devel] [cyber] Q: apache2-2.2.8-alt1 %changelog

Re: [devel] [cyber] Q: apache2-2.2.8-alt1 %changelog

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1036 bytes --]

On Sat, Mar 01, 2008 at 01:21:08AM +0300, QA Team Robot wrote:
[...]
> apache2 - The most widely used Web server on the Internet
> * Fri Feb 29 2008 Aleksey Avdeev <solo@altlinux> 2.2.8-alt1
> - 2.2.8
> - Adding SECURITY to upstream:
>   + CVE-2007-6421 (cve.mitre.org)
>   + CVE-2007-6422 (cve.mitre.org)
>   + CVE-2007-6388 (cve.mitre.org)
>   + CVE-2007-5000 (cve.mitre.org)
>   + CVE-2008-0005 (cve.mitre.org)
> - Fix #14601: less-than-optimal examples in con/sites-available.
>   (Thanks Mikhail Gusarov <dottedmag altlinux org>)
>   + update apache2-2.2.6-alt-configs-0.1.patch to
>     apache2-2.2.8-alt-configs-0.2.patch
> - Updating patchs for 2.2.6:
>   + apache2-2.2.6-alt-debian.conf-0.1.patch to
>     apache2-2.2.8-alt-debian.conf-0.1.patch
>   + apache2-2.2.6-alt-default_https.conf.in-0.1.patch to
>     apache2-2.2.8-alt-default_https.conf.in-0.1.patch
>   + apache2-2.2.6-alt-cgi-0.1.patch to
>     apache2-2.2.8-alt-cgi-0.1.patch

Что хотел сказать этим %changelog'ом его автор?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] [cyber] Q: apache2-2.2.8-alt1 %changelog

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1340 bytes --]

Dmitry V. Levin пишет:
> On Sat, Mar 01, 2008 at 01:21:08AM +0300, QA Team Robot wrote:
> [...]
>> apache2 - The most widely used Web server on the Internet
>> * Fri Feb 29 2008 Aleksey Avdeev <solo@altlinux> 2.2.8-alt1
>> - 2.2.8
>> - Adding SECURITY to upstream:
>>   + CVE-2007-6421 (cve.mitre.org)
>>   + CVE-2007-6422 (cve.mitre.org)
>>   + CVE-2007-6388 (cve.mitre.org)
>>   + CVE-2007-5000 (cve.mitre.org)
>>   + CVE-2008-0005 (cve.mitre.org)

  Выше -- список CVE пофикшенных в данной версии.

>> - Fix #14601: less-than-optimal examples in con/sites-available.
>>   (Thanks Mikhail Gusarov <dottedmag altlinux org>)
>>   + update apache2-2.2.6-alt-configs-0.1.patch to
>>     apache2-2.2.8-alt-configs-0.2.patch

  Фикс бага, весящего на пакете (содержится в
apache2-2.2.8-alt-configs-0.2.patch).

>> - Updating patchs for 2.2.6:
>>   + apache2-2.2.6-alt-debian.conf-0.1.patch to
>>     apache2-2.2.8-alt-debian.conf-0.1.patch
>>   + apache2-2.2.6-alt-default_https.conf.in-0.1.patch to
>>     apache2-2.2.8-alt-default_https.conf.in-0.1.patch
>>   + apache2-2.2.6-alt-cgi-0.1.patch to
>>     apache2-2.2.8-alt-cgi-0.1.patch

  Список обновлённых патчей (притёртых к данной версии).

> 
> Что хотел сказать этим %changelog'ом его автор?

  Расшифровка выше.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] [cyber] Q: apache2-2.2.8-alt1 %changelog

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2113 bytes --]

On Sat, Mar 01, 2008 at 01:54:30AM +0300, Aleksey Avdeev wrote:
> Dmitry V. Levin пишет:
> > On Sat, Mar 01, 2008 at 01:21:08AM +0300, QA Team Robot wrote:
> > [...]
> >> apache2 - The most widely used Web server on the Internet
> >> * Fri Feb 29 2008 Aleksey Avdeev <solo@altlinux> 2.2.8-alt1
> >> - 2.2.8
> >> - Adding SECURITY to upstream:
> >>   + CVE-2007-6421 (cve.mitre.org)
> >>   + CVE-2007-6422 (cve.mitre.org)
> >>   + CVE-2007-6388 (cve.mitre.org)
> >>   + CVE-2007-5000 (cve.mitre.org)
> >>   + CVE-2008-0005 (cve.mitre.org)
> 
>   Выше -- список CVE пофикшенных в данной версии.

Тогда достаточно было бы написать что-нибудь вроде
- Updated to 2.2.8 (fixes: CVE-2007-6421, CVE-2007-6422, CVE-2007-6388,
  CVE-2007-5000, CVE-2008-0005).

Вряд ли пятикратное упоминание cve.mitre.org полезно.
И я не понимаю, что значит "Adding SECURITY to upstream".

> >> - Fix #14601: less-than-optimal examples in con/sites-available.
> >>   (Thanks Mikhail Gusarov <dottedmag altlinux org>)
> >>   + update apache2-2.2.6-alt-configs-0.1.patch to
> >>     apache2-2.2.8-alt-configs-0.2.patch
> 
>   Фикс бага, весящего на пакете (содержится в
> apache2-2.2.8-alt-configs-0.2.patch).
> 
> >> - Updating patchs for 2.2.6:

Согласование времён:
строкой выше "Fix #14601:", "update apache2-2.2.6-alt-configs-0.1.patch",
здесь "Updating patchs".  Не говоря уже о "patchs".

> >>   + apache2-2.2.6-alt-debian.conf-0.1.patch to
> >>     apache2-2.2.8-alt-debian.conf-0.1.patch
> >>   + apache2-2.2.6-alt-default_https.conf.in-0.1.patch to
> >>     apache2-2.2.8-alt-default_https.conf.in-0.1.patch
> >>   + apache2-2.2.6-alt-cgi-0.1.patch to
> >>     apache2-2.2.8-alt-cgi-0.1.patch
> 
>   Список обновлённых патчей (притёртых к данной версии).

Там изменилось что-то существенное для упоминания в %changelog'е?

> > Что хотел сказать этим %changelog'ом его автор?
> 
>   Расшифровка выше.

Проблема в том, что такое количество небрежности в %changelog'е невольно
переносится на содержимое пакета.  Поэтому пишите, пожалуйста,
%changelog'и аккуратнее.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] [cyber] Q: apache2-2.2.8-alt1 %changelog

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2444 bytes --]

Dmitry V. Levin пишет:
> On Sat, Mar 01, 2008 at 01:54:30AM +0300, Aleksey Avdeev wrote:
>> Dmitry V. Levin пишет:
>>> On Sat, Mar 01, 2008 at 01:21:08AM +0300, QA Team Robot wrote:
>>> [...]
>>>> apache2 - The most widely used Web server on the Internet
>>>> * Fri Feb 29 2008 Aleksey Avdeev <solo@altlinux> 2.2.8-alt1
>>>> - 2.2.8
>>>> - Adding SECURITY to upstream:
>>>>   + CVE-2007-6421 (cve.mitre.org)
>>>>   + CVE-2007-6422 (cve.mitre.org)
>>>>   + CVE-2007-6388 (cve.mitre.org)
>>>>   + CVE-2007-5000 (cve.mitre.org)
>>>>   + CVE-2008-0005 (cve.mitre.org)
>>   Выше -- список CVE пофикшенных в данной версии.
> 
> Тогда достаточно было бы написать что-нибудь вроде
> - Updated to 2.2.8 (fixes: CVE-2007-6421, CVE-2007-6422, CVE-2007-6388,
>   CVE-2007-5000, CVE-2008-0005).
> 
> Вряд ли пятикратное упоминание cve.mitre.org полезно.
> И я не понимаю, что значит "Adding SECURITY to upstream".

  Смысл "Секюрити фиксы выполненые апстримом". Но как написать это на
английском (кратким образом) я не придумал...

> 
>>>> - Fix #14601: less-than-optimal examples in con/sites-available.
>>>>   (Thanks Mikhail Gusarov <dottedmag altlinux org>)
>>>>   + update apache2-2.2.6-alt-configs-0.1.patch to
>>>>     apache2-2.2.8-alt-configs-0.2.patch
>>   Фикс бага, весящего на пакете (содержится в
>> apache2-2.2.8-alt-configs-0.2.patch).
>>
>>>> - Updating patchs for 2.2.6:
> 
> Согласование времён:
> строкой выше "Fix #14601:", "update apache2-2.2.6-alt-configs-0.1.patch",
> здесь "Updating patchs".  Не говоря уже о "patchs".

  Как, в данном случаи, будет правильнее?

> 
>>>>   + apache2-2.2.6-alt-debian.conf-0.1.patch to
>>>>     apache2-2.2.8-alt-debian.conf-0.1.patch
>>>>   + apache2-2.2.6-alt-default_https.conf.in-0.1.patch to
>>>>     apache2-2.2.8-alt-default_https.conf.in-0.1.patch
>>>>   + apache2-2.2.6-alt-cgi-0.1.patch to
>>>>     apache2-2.2.8-alt-cgi-0.1.patch
>>   Список обновлённых патчей (притёртых к данной версии).
> 
> Там изменилось что-то существенное для упоминания в %changelog'е?

  Нет.

> 
>>> Что хотел сказать этим %changelog'ом его автор?
>>   Расшифровка выше.
> 
> Проблема в том, что такое количество небрежности в %changelog'е невольно
> переносится на содержимое пакета.  Поэтому пишите, пожалуйста,
> %changelog'и аккуратнее.

  OK, исправить и перезалить? (Нужно ли при этом увеличивать релиз?)

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [devel] [cyber] Q: apache2-2.2.8-alt1 %changelog

[Michael Shigorin]

On Sat, Mar 01, 2008 at 01:26:09AM +0300, Dmitry V. Levin wrote:
> On Sat, Mar 01, 2008 at 01:21:08AM +0300, QA Team Robot wrote:
> [...]
> > apache2 - The most widely used Web server on the Internet
> > * Fri Feb 29 2008 Aleksey Avdeev <solo@altlinux> 2.2.8-alt1
> > - 2.2.8
> > - Adding SECURITY to upstream:
> >   + CVE-2007-6421 (cve.mitre.org)
> >   + CVE-2007-6422 (cve.mitre.org)
> >   + CVE-2007-6388 (cve.mitre.org)
> >   + CVE-2007-5000 (cve.mitre.org)
> >   + CVE-2008-0005 (cve.mitre.org)
> > - Fix #14601: less-than-optimal examples in con/sites-available.
> >   (Thanks Mikhail Gusarov <dottedmag altlinux org>)
> >   + update apache2-2.2.6-alt-configs-0.1.patch to
> >     apache2-2.2.8-alt-configs-0.2.patch
> > - Updating patchs for 2.2.6:
> >   + apache2-2.2.6-alt-debian.conf-0.1.patch to
> >     apache2-2.2.8-alt-debian.conf-0.1.patch
> >   + apache2-2.2.6-alt-default_https.conf.in-0.1.patch to
> >     apache2-2.2.8-alt-default_https.conf.in-0.1.patch
> >   + apache2-2.2.6-alt-cgi-0.1.patch to
> >     apache2-2.2.8-alt-cgi-0.1.patch
> 
> Что хотел сказать этим %changelog'ом его автор?

Если правильно понял (не претендую по техническим причинам),
то написал бы примерно так:

- 2.2.8: security fixes:
  + CVE-2007-6421: XSS in mod_proxy_balancer (script injection)
  + CVE-2007-6422: ...
- fixed #14601: suboptimal examples in conf/sites-available
  (thanks dottedmag@)
  + updated apache2-2.2.6-alt-configs-0.*.patch
- updated 2.2.6 patches:
  + apache2-2.2.*-alt-debian.conf-0.1.patch
  + apache2-2.2.*-alt-default_https.conf.in-0.1.patch
  + apache2-2.2.*-alt-cgi-0.1.patch

PS: я (и, помнится, ab@) высказывался в том смысле, что готов
консультировать жабером/почтой по написанию описаний, ченжлогов
и особенно названий (в т.ч. в API).  Welcome :-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] Q: apache2-2.2.8-alt1 %changelog

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 2234 bytes --]

On Sat, Mar 01, 2008 at 11:50:57AM +0200, Michael Shigorin wrote:
> On Sat, Mar 01, 2008 at 01:26:09AM +0300, Dmitry V. Levin wrote:
> > > - Adding SECURITY to upstream:
> > >   + CVE-2007-6421 (cve.mitre.org)
> > >   + CVE-2007-6422 (cve.mitre.org)
> > >   + CVE-2007-6388 (cve.mitre.org)
> > >   + CVE-2007-5000 (cve.mitre.org)
> > >   + CVE-2008-0005 (cve.mitre.org)
> > > - Fix #14601: less-than-optimal examples in con/sites-available.
> > >   (Thanks Mikhail Gusarov <dottedmag altlinux org>)
> > >   + update apache2-2.2.6-alt-configs-0.1.patch to
> > >     apache2-2.2.8-alt-configs-0.2.patch
> > > - Updating patchs for 2.2.6:
> > >   + apache2-2.2.6-alt-debian.conf-0.1.patch to
> > >     apache2-2.2.8-alt-debian.conf-0.1.patch
> > >   + apache2-2.2.6-alt-default_https.conf.in-0.1.patch to
> > >     apache2-2.2.8-alt-default_https.conf.in-0.1.patch
> > >   + apache2-2.2.6-alt-cgi-0.1.patch to
> > >     apache2-2.2.8-alt-cgi-0.1.patch
> > 
> > Что хотел сказать этим %changelog'ом его автор?
> 
> Если правильно понял (не претендую по техническим причинам),
> то написал бы примерно так:
> 
> - 2.2.8: security fixes:
>   + CVE-2007-6421: XSS in mod_proxy_balancer (script injection)
>   + CVE-2007-6422: ...
> - fixed #14601: suboptimal examples in conf/sites-available
>   (thanks dottedmag@)
>   + updated apache2-2.2.6-alt-configs-0.*.patch
> - updated 2.2.6 patches:
>   + apache2-2.2.*-alt-debian.conf-0.1.patch
>   + apache2-2.2.*-alt-default_https.conf.in-0.1.patch
>   + apache2-2.2.*-alt-cgi-0.1.patch

I think that %changelog entries should reflect only user-visible
changes.  We inform users why they have to upgrade the package.
Besides this, rpm changelog must also be *concise*.  Usually there's
no reason to list minor/unrelated/non-essential changes.

Updating patches is pain in the ass that of maintainters,
not that of users.  Provided that patch was updated successfully,
users don't care.

Also I think that version update does not need detailed/explicit
announce.  Only local changes do.  That said, I belive that changelog
like this will do:

* me
- X.Y.Z (fixes CVE-1, CVE-2)
- fixed WHAT (who helped, #1234)
- fixed WHAT (who helped, #5678)

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Q: apache2-2.2.8-alt1 %changelog

[Michael Shigorin]

On Sat, Mar 01, 2008 at 01:28:19PM +0300, Alexey Tourbin wrote:
> > > Что хотел сказать этим %changelog'ом его автор?
> > Если правильно понял (не претендую по техническим причинам),
> > то написал бы примерно так:
> > - 2.2.8: security fixes:
> >   + CVE-2007-6421: XSS in mod_proxy_balancer (script injection)
> >   + CVE-2007-6422: ...
> > - fixed #14601: suboptimal examples in conf/sites-available
> >   (thanks dottedmag@)
> > - updated 2.2.6 patches
[угу]
> Updating patches is pain in the ass that of maintainters, not
> that of users.  Provided that patch was updated successfully,
> users don't care.

Ну вообще-то да.  А с урезанным вариантом выше ты скорей
согласен?

> Also I think that version update does not need
> detailed/explicit announce.  Only local changes do.  That said,
> I belive that changelog like this will do:
> 
> * me
> - X.Y.Z (fixes CVE-1, CVE-2)
> - fixed WHAT (who helped, #1234)
> - fixed WHAT (who helped, #5678)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] [cyber] Q: apache2-2.2.8-alt1 %changelog

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 274 bytes --]

Michael Shigorin пишет:
...
> 
> PS: я (и, помнится, ab@) высказывался в том смысле, что готов
> консультировать жабером/почтой по написанию описаний, ченжлогов
> и особенно названий (в т.ч. в API).  Welcome :-)

  ОК, запомню. :-)

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [devel] Q: apache2-2.2.8-alt1 %changelog

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1149 bytes --]

Michael Shigorin пишет:
> On Sat, Mar 01, 2008 at 01:28:19PM +0300, Alexey Tourbin wrote:
> 
>>>>Что хотел сказать этим %changelog'ом его автор?
>>>
>>>Если правильно понял (не претендую по техническим причинам),
>>>то написал бы примерно так:
>>>- 2.2.8: security fixes:
>>>  + CVE-2007-6421: XSS in mod_proxy_balancer (script injection)
>>>  + CVE-2007-6422: ...
>>>- fixed #14601: suboptimal examples in conf/sites-available
>>>  (thanks dottedmag@)
>>>- updated 2.2.6 patches

  Готов залить alt2, с %changelog заменённым на приведённый выше...

  Делать?

> 
> [угу]
> 
>>Updating patches is pain in the ass that of maintainters, not
>>that of users.  Provided that patch was updated successfully,
>>users don't care.
> 
> 
> Ну вообще-то да.  А с урезанным вариантом выше ты скорей
> согласен?
> 
> 
>>Also I think that version update does not need
>>detailed/explicit announce.  Only local changes do.  That said,
>>I belive that changelog like this will do:
>>
>>* me
>>- X.Y.Z (fixes CVE-1, CVE-2)
>>- fixed WHAT (who helped, #1234)
>>- fixed WHAT (who helped, #5678)

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [devel] Q: apache2-2.2.8-alt1 %changelog

[Michael Shigorin]

On Mon, Mar 03, 2008 at 02:53:34AM +0300, Aleksey Avdeev wrote:
> >>>>Что хотел сказать этим %changelog'ом его автор?
> >>>Если правильно понял (не претендую по техническим причинам),
> >>>то написал бы примерно так:
> >>>- 2.2.8: security fixes:
> >>>  + CVE-2007-6421: XSS in mod_proxy_balancer (script injection)
> >>>  + CVE-2007-6422: ...
> >>>- fixed #14601: suboptimal examples in conf/sites-available
> >>>  (thanks dottedmag@)
> >>>- updated 2.2.6 patches
>   Готов залить alt2, с %changelog заменённым на приведённый выше...
>   Делать?

Да не, зачем ;-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] Q: apache2-2.2.8-alt1 %changelog

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 744 bytes --]

Michael Shigorin пишет:
> On Mon, Mar 03, 2008 at 02:53:34AM +0300, Aleksey Avdeev wrote:
>>>>>> Что хотел сказать этим %changelog'ом его автор?
>>>>> Если правильно понял (не претендую по техническим причинам),
>>>>> то написал бы примерно так:
>>>>> - 2.2.8: security fixes:
>>>>>  + CVE-2007-6421: XSS in mod_proxy_balancer (script injection)
>>>>>  + CVE-2007-6422: ...
>>>>> - fixed #14601: suboptimal examples in conf/sites-available
>>>>>  (thanks dottedmag@)
>>>>> - updated 2.2.6 patches
>>   Готов залить alt2, с %changelog заменённым на приведённый выше...
>>   Делать?
> 
> Да не, зачем ;-)

  Как вариант -- могу поправить их задним числом, при следующей
сборке... Делать? ;-)

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [devel] Q: apache2-2.2.8-alt1 %changelog

[Victor Forsyuk]

On Mon, Mar 03, 2008 at 05:32:10PM +0300, Aleksey Avdeev wrote:
> >>   Готов залить alt2, с %changelog заменённым на приведённый выше...
> >>   Делать?
> > 
> > Да не, зачем ;-)
> 
>   Как вариант -- могу поправить их задним числом, при следующей
> сборке... Делать? ;-)

Я бы так сделал...