* [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
@ 2025-07-05 12:06 Ajrat Makhmutov
2025-07-07 8:50 ` Alexey V. Vissarionov
` (2 more replies)
0 siblings, 3 replies; 19+ messages in thread
From: Ajrat Makhmutov @ 2025-07-05 12:06 UTC (permalink / raw)
To: devel
Всем привет! Хочу добавить альтернативу для "- Fixes:" в changelog: "-
Security fixes:"
в Vulnerability Policy (https://www.altlinux.org/Vulnerability_Policy)
потому что
так отмечаются исправления в rust, firefox, thunderbird и nss уже много
времени.
Ну и пользователям, не знающим что такое CVE, MFSA такой вариант
понятнее - исправления по безопасности.
Вот черновик:
https://www.altlinux.org/Vulnerability_Policy_Security_fixes_draft
Прошу написать, если против.
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov
@ 2025-07-07 8:50 ` Alexey V. Vissarionov
2025-07-07 9:03 ` Dmitry V. Levin
2025-07-23 11:02 ` [devel] " Sergey V Turchin
2 siblings, 0 replies; 19+ messages in thread
From: Alexey V. Vissarionov @ 2025-07-07 8:50 UTC (permalink / raw)
To: ALT Linux Team development discussions
Good ${greeting_time}!
On 2025-07-05 15:06:16 +0300, Ajrat Makhmutov wrote:
> Хочу добавить альтернативу для "- Fixes:" в changelog:
> "- Security fixes:" в Vulnerability Policy
> (https://www.altlinux.org/Vulnerability_Policy) потому что
> так отмечаются исправления в rust, firefox, thunderbird и
> nss уже много времени.
Делать "так, как в %s" имеет смысл только когда уже принято
принципиальное решение делать. Пока я вижу только усложнение
регулярного выражения для поиска.
> Ну и пользователям, не знающим что такое CVE, MFSA такой
> вариант понятнее - исправления по безопасности.
Вы с этими пользователями общались? Ну, хотя бы как аудитор,
проводящий внутреннюю проверку?
Там два дискретных варианта: либо знают все (и что такое CVE,
и где их смотреть, и почему "not applicable" ("неприменимо")
лучшая запись в отчете), либо делают большие глаза, хлопают
ушами и говорят "ыыыы... ээээ... чаво?". И других вариантов
не просто нет, а даже не предвидится.
Вспомнил отдельных представителей второй категории - брррр...
сам себе настроение испортил. Ненадолго, но все же.
> Вот черновик:
> https://www.altlinux.org/Vulnerability_Policy_Security_fixes_draft
> Прошу написать, если против.
Никакого смысла. >& /dev/null
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov
2025-07-07 8:50 ` Alexey V. Vissarionov
@ 2025-07-07 9:03 ` Dmitry V. Levin
2025-07-23 8:38 ` Anton Farygin
2025-07-23 11:02 ` [devel] " Sergey V Turchin
2 siblings, 1 reply; 19+ messages in thread
From: Dmitry V. Levin @ 2025-07-07 9:03 UTC (permalink / raw)
To: devel
On Sat, Jul 05, 2025 at 03:06:16PM +0300, Ajrat Makhmutov wrote:
> Всем привет! Хочу добавить альтернативу для "- Fixes:" в changelog: "-
> Security fixes:"
> в Vulnerability Policy (https://www.altlinux.org/Vulnerability_Policy)
> потому что
> так отмечаются исправления в rust, firefox, thunderbird и nss уже много
> времени.
На мой взгляд, это умножение сущностей без необходимости.
Хуже того, понадобится найти все места, в которых анализируется %changelog
на предмет исправления уязвимостей, и обновить там регулярные выражения.
> Ну и пользователям, не знающим что такое CVE, MFSA такой вариант
> понятнее - исправления по безопасности.
Если пользователи мониторят %changelog'и обновляемых пакетов, то им рано
или поздно всё равно придётся узнать, что такое CVE, чтобы понимать, что
написано в %changelog'е, который написан по действующим правилам.
--
ldv
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-07 9:03 ` Dmitry V. Levin
@ 2025-07-23 8:38 ` Anton Farygin
2025-07-23 8:44 ` Alexey V. Vissarionov
0 siblings, 1 reply; 19+ messages in thread
From: Anton Farygin @ 2025-07-23 8:38 UTC (permalink / raw)
To: devel
On 7/7/25 12:03, Dmitry V. Levin wrote:
> Если пользователи мониторят %changelog'и обновляемых пакетов, то им рано
> или поздно всё равно придётся узнать, что такое CVE, чтобы понимать, что
> написано в %changelog'е, который написан по действующим правилам.
А можем ли мы ужесточить правила проверки changelog на предмет
соблюдения Policy и не пропускать пакеты, в changelog которых есть не
соответствующие политики записи ?
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-23 8:38 ` Anton Farygin
@ 2025-07-23 8:44 ` Alexey V. Vissarionov
2025-07-23 8:57 ` Anton Farygin
0 siblings, 1 reply; 19+ messages in thread
From: Alexey V. Vissarionov @ 2025-07-23 8:44 UTC (permalink / raw)
To: ALT Linux Team development discussions
Good ${greeting_time}!
On 2025-07-23 11:38:30 +0300, Anton Farygin wrote:
>> Если пользователи мониторят %changelog'и обновляемых пакетов,
>> то им рано или поздно всё равно придётся узнать, что такое CVE,
>> чтобы понимать, что написано в %changelog'е, который написан
>> по действующим правилам.
> А можем ли мы ужесточить правила проверки changelog на предмет
> соблюдения Policy и не пропускать пакеты, в changelog которых
> есть не соответствующие политики записи ?
Теоретически - да. На практике - мейнтейнеры забьют на указание
исправлений и ограничатся "update to %version".
Разве по этим граблям еще не прыгали?
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-23 8:44 ` Alexey V. Vissarionov
@ 2025-07-23 8:57 ` Anton Farygin
2025-07-23 9:23 ` Alexey V. Vissarionov
0 siblings, 1 reply; 19+ messages in thread
From: Anton Farygin @ 2025-07-23 8:57 UTC (permalink / raw)
To: devel
On 7/23/25 11:44, Alexey V. Vissarionov wrote:
> Good ${greeting_time}!
>
> On 2025-07-23 11:38:30 +0300, Anton Farygin wrote:
>
> >> Если пользователи мониторят %changelog'и обновляемых пакетов,
> >> то им рано или поздно всё равно придётся узнать, что такое CVE,
> >> чтобы понимать, что написано в %changelog'е, который написан
> >> по действующим правилам.
> > А можем ли мы ужесточить правила проверки changelog на предмет
> > соблюдения Policy и не пропускать пакеты, в changelog которых
> > есть не соответствующие политики записи ?
>
> Теоретически - да. На практике - мейнтейнеры забьют на указание
> исправлений и ограничатся "update to %version".
А сейчас пишут кто во что горазд. Смысл тогда от политики, если она не
соблюдается.
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-23 8:57 ` Anton Farygin
@ 2025-07-23 9:23 ` Alexey V. Vissarionov
2025-07-23 10:40 ` Anton Farygin
0 siblings, 1 reply; 19+ messages in thread
From: Alexey V. Vissarionov @ 2025-07-23 9:23 UTC (permalink / raw)
To: ALT Linux Team development discussions
Good ${greeting_time}!
On 2025-07-23 11:57:39 +0300, Anton Farygin wrote:
>>>> Если пользователи мониторят %changelog'и обновляемых пакетов,
>>>> то им рано или поздно всё равно придётся узнать, что такое CVE,
>>>> чтобы понимать, что написано в %changelog'е, который написан
>>>> по действующим правилам.
>>> А можем ли мы ужесточить правила проверки changelog на предмет
>>> соблюдения Policy и не пропускать пакеты, в changelog которых
>>> есть не соответствующие политики записи ?
>> Теоретически - да. На практике - мейнтейнеры забьют на указание
>> исправлений и ограничатся "update to %version".
> А сейчас пишут кто во что горазд. Смысл тогда от политики,
> если она не соблюдается.
Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что
про исправления нужно писать хоть что-то. И что примечательно -
ответ на вопрос "как это написать?" мейнтейнер скорее попробует
найти в чужих .spec-файлах, нежели где-то в документации.
А уж вникать, на что ругается проверка, будут единицы - остальные
сделают проще: "Проверка ругается на такую строчку в %changelog?
Значит, удаляем ее!".
Репрессии вводить? Дык мейнтейнеры разбегутся.
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-23 9:23 ` Alexey V. Vissarionov
@ 2025-07-23 10:40 ` Anton Farygin
2025-07-24 11:42 ` Andrey Savchenko
0 siblings, 1 reply; 19+ messages in thread
From: Anton Farygin @ 2025-07-23 10:40 UTC (permalink / raw)
To: devel
On 7/23/25 12:23, Alexey V. Vissarionov wrote:
> Good ${greeting_time}!
>
> On 2025-07-23 11:57:39 +0300, Anton Farygin wrote:
>
> >>>> Если пользователи мониторят %changelog'и обновляемых пакетов,
> >>>> то им рано или поздно всё равно придётся узнать, что такое CVE,
> >>>> чтобы понимать, что написано в %changelog'е, который написан
> >>>> по действующим правилам.
> >>> А можем ли мы ужесточить правила проверки changelog на предмет
> >>> соблюдения Policy и не пропускать пакеты, в changelog которых
> >>> есть не соответствующие политики записи ?
> >> Теоретически - да. На практике - мейнтейнеры забьют на указание
> >> исправлений и ограничатся "update to %version".
> > А сейчас пишут кто во что горазд. Смысл тогда от политики,
> > если она не соблюдается.
>
> Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что
> про исправления нужно писать хоть что-то. И что примечательно -
> ответ на вопрос "как это написать?" мейнтейнер скорее попробует
> найти в чужих .spec-файлах, нежели где-то в документации.
>
> А уж вникать, на что ругается проверка, будут единицы - остальные
> сделают проще: "Проверка ругается на такую строчку в %changelog?
> Значит, удаляем ее!".
>
> Репрессии вводить? Дык мейнтейнеры разбегутся.
Вот поэтому Айрат и предложил внести изменения в политику, которые
приблизят её к реальности.
^ permalink raw reply [flat|nested] 19+ messages in thread
* [devel] Re: Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov
2025-07-07 8:50 ` Alexey V. Vissarionov
2025-07-07 9:03 ` Dmitry V. Levin
@ 2025-07-23 11:02 ` Sergey V Turchin
2025-07-23 11:22 ` [devel] " Anton Farygin
2 siblings, 1 reply; 19+ messages in thread
From: Sergey V Turchin @ 2025-07-23 11:02 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote:
> Всем привет! Хочу добавить альтернативу для "- Fixes:" в changelog: "-
> Security fixes:"
А может, просто "- Security:"?
[...]
--
Regards, Sergey.
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-23 11:02 ` [devel] " Sergey V Turchin
@ 2025-07-23 11:22 ` Anton Farygin
2025-07-23 14:34 ` Denis Medvedev
0 siblings, 1 reply; 19+ messages in thread
From: Anton Farygin @ 2025-07-23 11:22 UTC (permalink / raw)
To: devel
On 7/23/25 14:02, Sergey V Turchin wrote:
> On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote:
>> Всем привет! Хочу добавить альтернативу для "- Fixes:" в changelog: "-
>> Security fixes:"
> А может, просто "- Security:"?
>
> [...]
>
Тогда уж проще сделать - любое упоминание CVE в changelog считать что в
пакете оно закрывается. Случаев другого использования CVE я не помню
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-23 11:22 ` [devel] " Anton Farygin
@ 2025-07-23 14:34 ` Denis Medvedev
2025-07-23 15:30 ` Anton Farygin
0 siblings, 1 reply; 19+ messages in thread
From: Denis Medvedev @ 2025-07-23 14:34 UTC (permalink / raw)
To: Anton Farygin; +Cc: ALT Linux Team development discussions
On Wed, 23 Jul 2025 14:22:34 +0300
Anton Farygin <rider@basealt.ru> wrote:
> On 7/23/25 14:02, Sergey V Turchin wrote:
> > On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote:
> >> Всем привет! Хочу добавить альтернативу для "- Fixes:" в
> >> changelog: "- Security fixes:"
> > А может, просто "- Security:"?
> >
> > [...]
> >
> Тогда уж проще сделать - любое упоминание CVE в changelog считать что
> в пакете оно закрывается. Случаев другого использования CVE я не помню
Упоминается, но не закрывается. Mentions.
Еще бывает что "нужно для закрытия другого CVE", но само оно это CVE не
закрывает.
>
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
--
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-23 14:34 ` Denis Medvedev
@ 2025-07-23 15:30 ` Anton Farygin
2025-07-23 15:33 ` Anton Farygin
0 siblings, 1 reply; 19+ messages in thread
From: Anton Farygin @ 2025-07-23 15:30 UTC (permalink / raw)
To: devel
On 7/23/25 17:34, Denis Medvedev wrote:
> On Wed, 23 Jul 2025 14:22:34 +0300
> Anton Farygin <rider@basealt.ru> wrote:
>
>> On 7/23/25 14:02, Sergey V Turchin wrote:
>>> On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote:
>>>> Всем привет! Хочу добавить альтернативу для "- Fixes:" в
>>>> changelog: "- Security fixes:"
>>> А может, просто "- Security:"?
>>>
>>> [...]
>>>
>> Тогда уж проще сделать - любое упоминание CVE в changelog считать что
>> в пакете оно закрывается. Случаев другого использования CVE я не помню
> Упоминается, но не закрывается. Mentions.
> Еще бывает что "нужно для закрытия другого CVE", но само оно это CVE не
> закрывает.
>
Да, но на практике такое не используется, а большинство закрытий CVE не
соответствует Policy.
А в некоторых пакетах для того, что бы соответствовать policy происходит
странное:
https://packages.altlinux.org/ru/c9f2/srpms/libblockdev/3231918727791234640
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-23 15:30 ` Anton Farygin
@ 2025-07-23 15:33 ` Anton Farygin
0 siblings, 0 replies; 19+ messages in thread
From: Anton Farygin @ 2025-07-23 15:33 UTC (permalink / raw)
To: devel
On 7/23/25 18:30, Anton Farygin wrote:
> On 7/23/25 17:34, Denis Medvedev wrote:
>> On Wed, 23 Jul 2025 14:22:34 +0300
>> Anton Farygin <rider@basealt.ru> wrote:
>>
>>> On 7/23/25 14:02, Sergey V Turchin wrote:
>>>> On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote:
>>>>> Всем привет! Хочу добавить альтернативу для "- Fixes:" в
>>>>> changelog: "- Security fixes:"
>>>> А может, просто "- Security:"?
>>>>
>>>> [...]
>>>>
>>> Тогда уж проще сделать - любое упоминание CVE в changelog считать что
>>> в пакете оно закрывается. Случаев другого использования CVE я не помню
>> Упоминается, но не закрывается. Mentions.
>> Еще бывает что "нужно для закрытия другого CVE", но само оно это CVE не
>> закрывает.
>>
> Да, но на практике такое не используется, а большинство закрытий CVE
> не соответствует Policy.
Чаще всего встречал вот такие записи (которые тоже не попадают под
регулярку):
О чём есть запись в логах:
2025-Jul-16 02:20:53 :: chromium: mentions vulnerabilities: CVE-2025-7656 CVE-2025-6558 CVE-2025-7657
15 июля 2025 г. Andrew A. Vasilyev
<https://packages.altlinux.org/ru/sisyphus_riscv64/maintainers/andy/>
138.0.7204.157-alt1
- New version (138.0.7204.157).
- Security fixes:
+CVE-2025-7656 <https://packages.altlinux.org/ru/vuln/CVE-2025-7656>: Integer overflow in V8.
+CVE-2025-6558 <https://packages.altlinux.org/ru/vuln/CVE-2025-6558>: Incorrect validation of untrusted input in ANGLE and GPU.
+CVE-2025-7657 <https://packages.altlinux.org/ru/vuln/CVE-2025-7657>: Use after free in WebRTC.
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-23 10:40 ` Anton Farygin
@ 2025-07-24 11:42 ` Andrey Savchenko
2025-07-24 12:03 ` Andrey Cherepanov
2025-07-24 12:35 ` Anton Farygin
0 siblings, 2 replies; 19+ messages in thread
From: Andrey Savchenko @ 2025-07-24 11:42 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 2905 bytes --]
On Wed, 23 Jul 2025 13:40:53 +0300 Anton Farygin wrote:
> On 7/23/25 12:23, Alexey V. Vissarionov wrote:
> > Good ${greeting_time}!
> >
> > On 2025-07-23 11:57:39 +0300, Anton Farygin wrote:
> >
> > >>>> Если пользователи мониторят %changelog'и обновляемых пакетов,
> > >>>> то им рано или поздно всё равно придётся узнать, что такое CVE,
> > >>>> чтобы понимать, что написано в %changelog'е, который написан
> > >>>> по действующим правилам.
> > >>> А можем ли мы ужесточить правила проверки changelog на предмет
> > >>> соблюдения Policy и не пропускать пакеты, в changelog которых
> > >>> есть не соответствующие политики записи ?
> > >> Теоретически - да. На практике - мейнтейнеры забьют на указание
> > >> исправлений и ограничатся "update to %version".
> > > А сейчас пишут кто во что горазд. Смысл тогда от политики,
> > > если она не соблюдается.
> >
> > Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что
> > про исправления нужно писать хоть что-то. И что примечательно -
> > ответ на вопрос "как это написать?" мейнтейнер скорее попробует
> > найти в чужих .spec-файлах, нежели где-то в документации.
> >
> > А уж вникать, на что ругается проверка, будут единицы - остальные
> > сделают проще: "Проверка ругается на такую строчку в %changelog?
> > Значит, удаляем ее!".
> >
> > Репрессии вводить? Дык мейнтейнеры разбегутся.
>
> Вот поэтому Айрат и предложил внести изменения в политику, которые
> приблизят её к реальности.
Айрат предложил ерунду ради тех, кто не знает, что такое CVE.
Что дальше? Переведём Changelog на русский ради тех, кто не знает
английский? [Печально известная попытка уже была. Больше не нужно.]
Changelog нужен для людей с определённым уровнем подготовки, вот
и следите, чтоб они ему соответствовали.
Best regards,
Andrew Savchenko
[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-24 11:42 ` Andrey Savchenko
@ 2025-07-24 12:03 ` Andrey Cherepanov
2025-07-24 12:16 ` Yuri Sedunov
2025-07-24 12:35 ` Anton Farygin
1 sibling, 1 reply; 19+ messages in thread
From: Andrey Cherepanov @ 2025-07-24 12:03 UTC (permalink / raw)
To: devel
24.07.2025 14:42, Andrey Savchenko пишет:
> On Wed, 23 Jul 2025 13:40:53 +0300 Anton Farygin wrote:
>> On 7/23/25 12:23, Alexey V. Vissarionov wrote:
>>> Good ${greeting_time}!
>>>
>>> On 2025-07-23 11:57:39 +0300, Anton Farygin wrote:
>>>
>>> >>>> Если пользователи мониторят %changelog'и обновляемых пакетов,
>>> >>>> то им рано или поздно всё равно придётся узнать, что такое CVE,
>>> >>>> чтобы понимать, что написано в %changelog'е, который написан
>>> >>>> по действующим правилам.
>>> >>> А можем ли мы ужесточить правила проверки changelog на предмет
>>> >>> соблюдения Policy и не пропускать пакеты, в changelog которых
>>> >>> есть не соответствующие политики записи ?
>>> >> Теоретически - да. На практике - мейнтейнеры забьют на указание
>>> >> исправлений и ограничатся "update to %version".
>>> > А сейчас пишут кто во что горазд. Смысл тогда от политики,
>>> > если она не соблюдается.
>>>
>>> Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что
>>> про исправления нужно писать хоть что-то. И что примечательно -
>>> ответ на вопрос "как это написать?" мейнтейнер скорее попробует
>>> найти в чужих .spec-файлах, нежели где-то в документации.
>>>
>>> А уж вникать, на что ругается проверка, будут единицы - остальные
>>> сделают проще: "Проверка ругается на такую строчку в %changelog?
>>> Значит, удаляем ее!".
>>>
>>> Репрессии вводить? Дык мейнтейнеры разбегутся.
>> Вот поэтому Айрат и предложил внести изменения в политику, которые
>> приблизят её к реальности.
> Айрат предложил ерунду ради тех, кто не знает, что такое CVE.
> Что дальше? Переведём Changelog на русский ради тех, кто не знает
> английский? [Печально известная попытка уже была. Больше не нужно.]
>
> Changelog нужен для людей с определённым уровнем подготовки, вот
> и следите, чтоб они ему соответствовали.
У меня, очевидно, недостаточно подготовки для просмотра обязательных
круглых скобочек в начале и конце строки.
--
Andrey Cherepanov
cas@altlinux.org
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-24 12:03 ` Andrey Cherepanov
@ 2025-07-24 12:16 ` Yuri Sedunov
0 siblings, 0 replies; 19+ messages in thread
From: Yuri Sedunov @ 2025-07-24 12:16 UTC (permalink / raw)
To: devel
В Чт, 24/07/2025 в 15:03 +0300, Andrey Cherepanov пишет:
> 24.07.2025 14:42, Andrey Savchenko пишет:
> >
> >
> > Changelog нужен для людей с определённым уровнем подготовки, вот
> > и следите, чтоб они ему соответствовали.
> У меня, очевидно, недостаточно подготовки для просмотра обязательных
> круглых скобочек в начале и конце строки.
>
Да-да, давайте упраздним обязательные скобочки и на этом остановимся.
--
Yuri N. Sedunov
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-24 11:42 ` Andrey Savchenko
2025-07-24 12:03 ` Andrey Cherepanov
@ 2025-07-24 12:35 ` Anton Farygin
2025-07-24 12:40 ` [devel] " Sergey V Turchin
2025-07-24 16:55 ` [devel] " Andrey Cherepanov
1 sibling, 2 replies; 19+ messages in thread
From: Anton Farygin @ 2025-07-24 12:35 UTC (permalink / raw)
To: devel
On 7/24/25 14:42, Andrey Savchenko wrote:
> Changelog нужен для людей с определённым уровнем подготовки, вот
> и следите, чтоб они ему соответствовали.
Андрей, ты же внимательно прочитал переписку ?
Очень хотелось бы услышать мнение тех, кто не пишет в соответствии с
Policy, ну или по крайней мере массово собирает пакеты.
^ permalink raw reply [flat|nested] 19+ messages in thread
* [devel] Re: Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-24 12:35 ` Anton Farygin
@ 2025-07-24 12:40 ` Sergey V Turchin
2025-07-24 16:55 ` [devel] " Andrey Cherepanov
1 sibling, 0 replies; 19+ messages in thread
From: Sergey V Turchin @ 2025-07-24 12:40 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Thursday, 24 July 2025 15:35:05 MSK Anton Farygin wrote:
[...]
> Очень хотелось бы услышать мнение тех, кто не пишет в соответствии с
> Policy, ну или по крайней мере массово собирает пакеты.
Мне, например, не нравится "fixes", т.к. оно не отностится исключительно к
CVE, поэтому всегда тянет написать что-то другое.
--
Regards, Sergey.
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
2025-07-24 12:35 ` Anton Farygin
2025-07-24 12:40 ` [devel] " Sergey V Turchin
@ 2025-07-24 16:55 ` Andrey Cherepanov
1 sibling, 0 replies; 19+ messages in thread
From: Andrey Cherepanov @ 2025-07-24 16:55 UTC (permalink / raw)
To: devel
24.07.2025 15:35, Anton Farygin пишет:
> On 7/24/25 14:42, Andrey Savchenko wrote:
>> Changelog нужен для людей с определённым уровнем подготовки, вот
>> и следите, чтоб они ему соответствовали.
>
> Андрей, ты же внимательно прочитал переписку ?
>
> Очень хотелось бы услышать мнение тех, кто не пишет в соответствии с
> Policy, ну или по крайней мере массово собирает пакеты.
Да, прочитал. Оставляйте как есть, меня всё равно слушать никто не
будет. "Черепанов не показатель" (c) rider . Как только сборочницу
почините, конечно.
--
Andrey Cherepanov
cas@altlinux.org
^ permalink raw reply [flat|nested] 19+ messages in thread
end of thread, other threads:[~2025-07-24 16:55 UTC | newest]
Thread overview: 19+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov
2025-07-07 8:50 ` Alexey V. Vissarionov
2025-07-07 9:03 ` Dmitry V. Levin
2025-07-23 8:38 ` Anton Farygin
2025-07-23 8:44 ` Alexey V. Vissarionov
2025-07-23 8:57 ` Anton Farygin
2025-07-23 9:23 ` Alexey V. Vissarionov
2025-07-23 10:40 ` Anton Farygin
2025-07-24 11:42 ` Andrey Savchenko
2025-07-24 12:03 ` Andrey Cherepanov
2025-07-24 12:16 ` Yuri Sedunov
2025-07-24 12:35 ` Anton Farygin
2025-07-24 12:40 ` [devel] " Sergey V Turchin
2025-07-24 16:55 ` [devel] " Andrey Cherepanov
2025-07-23 11:02 ` [devel] " Sergey V Turchin
2025-07-23 11:22 ` [devel] " Anton Farygin
2025-07-23 14:34 ` Denis Medvedev
2025-07-23 15:30 ` Anton Farygin
2025-07-23 15:33 ` Anton Farygin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git