* [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:"
@ 2025-07-05 12:06 Ajrat Makhmutov
2025-07-07 8:50 ` Alexey V. Vissarionov
` (2 more replies)
0 siblings, 3 replies; 19+ messages in thread
From: Ajrat Makhmutov @ 2025-07-05 12:06 UTC (permalink / raw)
To: devel
Всем привет! Хочу добавить альтернативу для "- Fixes:" в changelog: "-
Security fixes:"
в Vulnerability Policy (https://www.altlinux.org/Vulnerability_Policy)
потому что
так отмечаются исправления в rust, firefox, thunderbird и nss уже много
времени.
Ну и пользователям, не знающим что такое CVE, MFSA такой вариант
понятнее - исправления по безопасности.
Вот черновик:
https://www.altlinux.org/Vulnerability_Policy_Security_fixes_draft
Прошу написать, если против.
^ permalink raw reply [flat|nested] 19+ messages in thread* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov @ 2025-07-07 8:50 ` Alexey V. Vissarionov 2025-07-07 9:03 ` Dmitry V. Levin 2025-07-23 11:02 ` [devel] " Sergey V Turchin 2 siblings, 0 replies; 19+ messages in thread From: Alexey V. Vissarionov @ 2025-07-07 8:50 UTC (permalink / raw) To: ALT Linux Team development discussions Good ${greeting_time}! On 2025-07-05 15:06:16 +0300, Ajrat Makhmutov wrote: > Хочу добавить альтернативу для "- Fixes:" в changelog: > "- Security fixes:" в Vulnerability Policy > (https://www.altlinux.org/Vulnerability_Policy) потому что > так отмечаются исправления в rust, firefox, thunderbird и > nss уже много времени. Делать "так, как в %s" имеет смысл только когда уже принято принципиальное решение делать. Пока я вижу только усложнение регулярного выражения для поиска. > Ну и пользователям, не знающим что такое CVE, MFSA такой > вариант понятнее - исправления по безопасности. Вы с этими пользователями общались? Ну, хотя бы как аудитор, проводящий внутреннюю проверку? Там два дискретных варианта: либо знают все (и что такое CVE, и где их смотреть, и почему "not applicable" ("неприменимо") лучшая запись в отчете), либо делают большие глаза, хлопают ушами и говорят "ыыыы... ээээ... чаво?". И других вариантов не просто нет, а даже не предвидится. Вспомнил отдельных представителей второй категории - брррр... сам себе настроение испортил. Ненадолго, но все же. > Вот черновик: > https://www.altlinux.org/Vulnerability_Policy_Security_fixes_draft > Прошу написать, если против. Никакого смысла. >& /dev/null -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov 2025-07-07 8:50 ` Alexey V. Vissarionov @ 2025-07-07 9:03 ` Dmitry V. Levin 2025-07-23 8:38 ` Anton Farygin 2025-07-23 11:02 ` [devel] " Sergey V Turchin 2 siblings, 1 reply; 19+ messages in thread From: Dmitry V. Levin @ 2025-07-07 9:03 UTC (permalink / raw) To: devel On Sat, Jul 05, 2025 at 03:06:16PM +0300, Ajrat Makhmutov wrote: > Всем привет! Хочу добавить альтернативу для "- Fixes:" в changelog: "- > Security fixes:" > в Vulnerability Policy (https://www.altlinux.org/Vulnerability_Policy) > потому что > так отмечаются исправления в rust, firefox, thunderbird и nss уже много > времени. На мой взгляд, это умножение сущностей без необходимости. Хуже того, понадобится найти все места, в которых анализируется %changelog на предмет исправления уязвимостей, и обновить там регулярные выражения. > Ну и пользователям, не знающим что такое CVE, MFSA такой вариант > понятнее - исправления по безопасности. Если пользователи мониторят %changelog'и обновляемых пакетов, то им рано или поздно всё равно придётся узнать, что такое CVE, чтобы понимать, что написано в %changelog'е, который написан по действующим правилам. -- ldv ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-07 9:03 ` Dmitry V. Levin @ 2025-07-23 8:38 ` Anton Farygin 2025-07-23 8:44 ` Alexey V. Vissarionov 0 siblings, 1 reply; 19+ messages in thread From: Anton Farygin @ 2025-07-23 8:38 UTC (permalink / raw) To: devel On 7/7/25 12:03, Dmitry V. Levin wrote: > Если пользователи мониторят %changelog'и обновляемых пакетов, то им рано > или поздно всё равно придётся узнать, что такое CVE, чтобы понимать, что > написано в %changelog'е, который написан по действующим правилам. А можем ли мы ужесточить правила проверки changelog на предмет соблюдения Policy и не пропускать пакеты, в changelog которых есть не соответствующие политики записи ? ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-23 8:38 ` Anton Farygin @ 2025-07-23 8:44 ` Alexey V. Vissarionov 2025-07-23 8:57 ` Anton Farygin 0 siblings, 1 reply; 19+ messages in thread From: Alexey V. Vissarionov @ 2025-07-23 8:44 UTC (permalink / raw) To: ALT Linux Team development discussions Good ${greeting_time}! On 2025-07-23 11:38:30 +0300, Anton Farygin wrote: >> Если пользователи мониторят %changelog'и обновляемых пакетов, >> то им рано или поздно всё равно придётся узнать, что такое CVE, >> чтобы понимать, что написано в %changelog'е, который написан >> по действующим правилам. > А можем ли мы ужесточить правила проверки changelog на предмет > соблюдения Policy и не пропускать пакеты, в changelog которых > есть не соответствующие политики записи ? Теоретически - да. На практике - мейнтейнеры забьют на указание исправлений и ограничатся "update to %version". Разве по этим граблям еще не прыгали? -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-23 8:44 ` Alexey V. Vissarionov @ 2025-07-23 8:57 ` Anton Farygin 2025-07-23 9:23 ` Alexey V. Vissarionov 0 siblings, 1 reply; 19+ messages in thread From: Anton Farygin @ 2025-07-23 8:57 UTC (permalink / raw) To: devel On 7/23/25 11:44, Alexey V. Vissarionov wrote: > Good ${greeting_time}! > > On 2025-07-23 11:38:30 +0300, Anton Farygin wrote: > > >> Если пользователи мониторят %changelog'и обновляемых пакетов, > >> то им рано или поздно всё равно придётся узнать, что такое CVE, > >> чтобы понимать, что написано в %changelog'е, который написан > >> по действующим правилам. > > А можем ли мы ужесточить правила проверки changelog на предмет > > соблюдения Policy и не пропускать пакеты, в changelog которых > > есть не соответствующие политики записи ? > > Теоретически - да. На практике - мейнтейнеры забьют на указание > исправлений и ограничатся "update to %version". А сейчас пишут кто во что горазд. Смысл тогда от политики, если она не соблюдается. ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-23 8:57 ` Anton Farygin @ 2025-07-23 9:23 ` Alexey V. Vissarionov 2025-07-23 10:40 ` Anton Farygin 0 siblings, 1 reply; 19+ messages in thread From: Alexey V. Vissarionov @ 2025-07-23 9:23 UTC (permalink / raw) To: ALT Linux Team development discussions Good ${greeting_time}! On 2025-07-23 11:57:39 +0300, Anton Farygin wrote: >>>> Если пользователи мониторят %changelog'и обновляемых пакетов, >>>> то им рано или поздно всё равно придётся узнать, что такое CVE, >>>> чтобы понимать, что написано в %changelog'е, который написан >>>> по действующим правилам. >>> А можем ли мы ужесточить правила проверки changelog на предмет >>> соблюдения Policy и не пропускать пакеты, в changelog которых >>> есть не соответствующие политики записи ? >> Теоретически - да. На практике - мейнтейнеры забьют на указание >> исправлений и ограничатся "update to %version". > А сейчас пишут кто во что горазд. Смысл тогда от политики, > если она не соблюдается. Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что про исправления нужно писать хоть что-то. И что примечательно - ответ на вопрос "как это написать?" мейнтейнер скорее попробует найти в чужих .spec-файлах, нежели где-то в документации. А уж вникать, на что ругается проверка, будут единицы - остальные сделают проще: "Проверка ругается на такую строчку в %changelog? Значит, удаляем ее!". Репрессии вводить? Дык мейнтейнеры разбегутся. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-23 9:23 ` Alexey V. Vissarionov @ 2025-07-23 10:40 ` Anton Farygin 2025-07-24 11:42 ` Andrey Savchenko 0 siblings, 1 reply; 19+ messages in thread From: Anton Farygin @ 2025-07-23 10:40 UTC (permalink / raw) To: devel On 7/23/25 12:23, Alexey V. Vissarionov wrote: > Good ${greeting_time}! > > On 2025-07-23 11:57:39 +0300, Anton Farygin wrote: > > >>>> Если пользователи мониторят %changelog'и обновляемых пакетов, > >>>> то им рано или поздно всё равно придётся узнать, что такое CVE, > >>>> чтобы понимать, что написано в %changelog'е, который написан > >>>> по действующим правилам. > >>> А можем ли мы ужесточить правила проверки changelog на предмет > >>> соблюдения Policy и не пропускать пакеты, в changelog которых > >>> есть не соответствующие политики записи ? > >> Теоретически - да. На практике - мейнтейнеры забьют на указание > >> исправлений и ограничатся "update to %version". > > А сейчас пишут кто во что горазд. Смысл тогда от политики, > > если она не соблюдается. > > Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что > про исправления нужно писать хоть что-то. И что примечательно - > ответ на вопрос "как это написать?" мейнтейнер скорее попробует > найти в чужих .spec-файлах, нежели где-то в документации. > > А уж вникать, на что ругается проверка, будут единицы - остальные > сделают проще: "Проверка ругается на такую строчку в %changelog? > Значит, удаляем ее!". > > Репрессии вводить? Дык мейнтейнеры разбегутся. Вот поэтому Айрат и предложил внести изменения в политику, которые приблизят её к реальности. ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-23 10:40 ` Anton Farygin @ 2025-07-24 11:42 ` Andrey Savchenko 2025-07-24 12:03 ` Andrey Cherepanov 2025-07-24 12:35 ` Anton Farygin 0 siblings, 2 replies; 19+ messages in thread From: Andrey Savchenko @ 2025-07-24 11:42 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 2905 bytes --] On Wed, 23 Jul 2025 13:40:53 +0300 Anton Farygin wrote: > On 7/23/25 12:23, Alexey V. Vissarionov wrote: > > Good ${greeting_time}! > > > > On 2025-07-23 11:57:39 +0300, Anton Farygin wrote: > > > > >>>> Если пользователи мониторят %changelog'и обновляемых пакетов, > > >>>> то им рано или поздно всё равно придётся узнать, что такое CVE, > > >>>> чтобы понимать, что написано в %changelog'е, который написан > > >>>> по действующим правилам. > > >>> А можем ли мы ужесточить правила проверки changelog на предмет > > >>> соблюдения Policy и не пропускать пакеты, в changelog которых > > >>> есть не соответствующие политики записи ? > > >> Теоретически - да. На практике - мейнтейнеры забьют на указание > > >> исправлений и ограничатся "update to %version". > > > А сейчас пишут кто во что горазд. Смысл тогда от политики, > > > если она не соблюдается. > > > > Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что > > про исправления нужно писать хоть что-то. И что примечательно - > > ответ на вопрос "как это написать?" мейнтейнер скорее попробует > > найти в чужих .spec-файлах, нежели где-то в документации. > > > > А уж вникать, на что ругается проверка, будут единицы - остальные > > сделают проще: "Проверка ругается на такую строчку в %changelog? > > Значит, удаляем ее!". > > > > Репрессии вводить? Дык мейнтейнеры разбегутся. > > Вот поэтому Айрат и предложил внести изменения в политику, которые > приблизят её к реальности. Айрат предложил ерунду ради тех, кто не знает, что такое CVE. Что дальше? Переведём Changelog на русский ради тех, кто не знает английский? [Печально известная попытка уже была. Больше не нужно.] Changelog нужен для людей с определённым уровнем подготовки, вот и следите, чтоб они ему соответствовали. Best regards, Andrew Savchenko [-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --] ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-24 11:42 ` Andrey Savchenko @ 2025-07-24 12:03 ` Andrey Cherepanov 2025-07-24 12:16 ` Yuri Sedunov 2025-07-24 12:35 ` Anton Farygin 1 sibling, 1 reply; 19+ messages in thread From: Andrey Cherepanov @ 2025-07-24 12:03 UTC (permalink / raw) To: devel 24.07.2025 14:42, Andrey Savchenko пишет: > On Wed, 23 Jul 2025 13:40:53 +0300 Anton Farygin wrote: >> On 7/23/25 12:23, Alexey V. Vissarionov wrote: >>> Good ${greeting_time}! >>> >>> On 2025-07-23 11:57:39 +0300, Anton Farygin wrote: >>> >>> >>>> Если пользователи мониторят %changelog'и обновляемых пакетов, >>> >>>> то им рано или поздно всё равно придётся узнать, что такое CVE, >>> >>>> чтобы понимать, что написано в %changelog'е, который написан >>> >>>> по действующим правилам. >>> >>> А можем ли мы ужесточить правила проверки changelog на предмет >>> >>> соблюдения Policy и не пропускать пакеты, в changelog которых >>> >>> есть не соответствующие политики записи ? >>> >> Теоретически - да. На практике - мейнтейнеры забьют на указание >>> >> исправлений и ограничатся "update to %version". >>> > А сейчас пишут кто во что горазд. Смысл тогда от политики, >>> > если она не соблюдается. >>> >>> Минимальный. И состоит в том, чтобы подсказать мейнтейнеру, что >>> про исправления нужно писать хоть что-то. И что примечательно - >>> ответ на вопрос "как это написать?" мейнтейнер скорее попробует >>> найти в чужих .spec-файлах, нежели где-то в документации. >>> >>> А уж вникать, на что ругается проверка, будут единицы - остальные >>> сделают проще: "Проверка ругается на такую строчку в %changelog? >>> Значит, удаляем ее!". >>> >>> Репрессии вводить? Дык мейнтейнеры разбегутся. >> Вот поэтому Айрат и предложил внести изменения в политику, которые >> приблизят её к реальности. > Айрат предложил ерунду ради тех, кто не знает, что такое CVE. > Что дальше? Переведём Changelog на русский ради тех, кто не знает > английский? [Печально известная попытка уже была. Больше не нужно.] > > Changelog нужен для людей с определённым уровнем подготовки, вот > и следите, чтоб они ему соответствовали. У меня, очевидно, недостаточно подготовки для просмотра обязательных круглых скобочек в начале и конце строки. -- Andrey Cherepanov cas@altlinux.org ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-24 12:03 ` Andrey Cherepanov @ 2025-07-24 12:16 ` Yuri Sedunov 0 siblings, 0 replies; 19+ messages in thread From: Yuri Sedunov @ 2025-07-24 12:16 UTC (permalink / raw) To: devel В Чт, 24/07/2025 в 15:03 +0300, Andrey Cherepanov пишет: > 24.07.2025 14:42, Andrey Savchenko пишет: > > > > > > Changelog нужен для людей с определённым уровнем подготовки, вот > > и следите, чтоб они ему соответствовали. > У меня, очевидно, недостаточно подготовки для просмотра обязательных > круглых скобочек в начале и конце строки. > Да-да, давайте упраздним обязательные скобочки и на этом остановимся. -- Yuri N. Sedunov ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-24 11:42 ` Andrey Savchenko 2025-07-24 12:03 ` Andrey Cherepanov @ 2025-07-24 12:35 ` Anton Farygin 2025-07-24 12:40 ` [devel] " Sergey V Turchin 2025-07-24 16:55 ` [devel] " Andrey Cherepanov 1 sibling, 2 replies; 19+ messages in thread From: Anton Farygin @ 2025-07-24 12:35 UTC (permalink / raw) To: devel On 7/24/25 14:42, Andrey Savchenko wrote: > Changelog нужен для людей с определённым уровнем подготовки, вот > и следите, чтоб они ему соответствовали. Андрей, ты же внимательно прочитал переписку ? Очень хотелось бы услышать мнение тех, кто не пишет в соответствии с Policy, ну или по крайней мере массово собирает пакеты. ^ permalink raw reply [flat|nested] 19+ messages in thread
* [devel] Re: Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-24 12:35 ` Anton Farygin @ 2025-07-24 12:40 ` Sergey V Turchin 2025-07-24 16:55 ` [devel] " Andrey Cherepanov 1 sibling, 0 replies; 19+ messages in thread From: Sergey V Turchin @ 2025-07-24 12:40 UTC (permalink / raw) To: ALT Linux Team development discussions On Thursday, 24 July 2025 15:35:05 MSK Anton Farygin wrote: [...] > Очень хотелось бы услышать мнение тех, кто не пишет в соответствии с > Policy, ну или по крайней мере массово собирает пакеты. Мне, например, не нравится "fixes", т.к. оно не отностится исключительно к CVE, поэтому всегда тянет написать что-то другое. -- Regards, Sergey. ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-24 12:35 ` Anton Farygin 2025-07-24 12:40 ` [devel] " Sergey V Turchin @ 2025-07-24 16:55 ` Andrey Cherepanov 1 sibling, 0 replies; 19+ messages in thread From: Andrey Cherepanov @ 2025-07-24 16:55 UTC (permalink / raw) To: devel 24.07.2025 15:35, Anton Farygin пишет: > On 7/24/25 14:42, Andrey Savchenko wrote: >> Changelog нужен для людей с определённым уровнем подготовки, вот >> и следите, чтоб они ему соответствовали. > > Андрей, ты же внимательно прочитал переписку ? > > Очень хотелось бы услышать мнение тех, кто не пишет в соответствии с > Policy, ну или по крайней мере массово собирает пакеты. Да, прочитал. Оставляйте как есть, меня всё равно слушать никто не будет. "Черепанов не показатель" (c) rider . Как только сборочницу почините, конечно. -- Andrey Cherepanov cas@altlinux.org ^ permalink raw reply [flat|nested] 19+ messages in thread
* [devel] Re: Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov 2025-07-07 8:50 ` Alexey V. Vissarionov 2025-07-07 9:03 ` Dmitry V. Levin @ 2025-07-23 11:02 ` Sergey V Turchin 2025-07-23 11:22 ` [devel] " Anton Farygin 2 siblings, 1 reply; 19+ messages in thread From: Sergey V Turchin @ 2025-07-23 11:02 UTC (permalink / raw) To: ALT Linux Team development discussions On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote: > Всем привет! Хочу добавить альтернативу для "- Fixes:" в changelog: "- > Security fixes:" А может, просто "- Security:"? [...] -- Regards, Sergey. ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-23 11:02 ` [devel] " Sergey V Turchin @ 2025-07-23 11:22 ` Anton Farygin 2025-07-23 14:34 ` Denis Medvedev 0 siblings, 1 reply; 19+ messages in thread From: Anton Farygin @ 2025-07-23 11:22 UTC (permalink / raw) To: devel On 7/23/25 14:02, Sergey V Turchin wrote: > On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote: >> Всем привет! Хочу добавить альтернативу для "- Fixes:" в changelog: "- >> Security fixes:" > А может, просто "- Security:"? > > [...] > Тогда уж проще сделать - любое упоминание CVE в changelog считать что в пакете оно закрывается. Случаев другого использования CVE я не помню ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-23 11:22 ` [devel] " Anton Farygin @ 2025-07-23 14:34 ` Denis Medvedev 2025-07-23 15:30 ` Anton Farygin 0 siblings, 1 reply; 19+ messages in thread From: Denis Medvedev @ 2025-07-23 14:34 UTC (permalink / raw) To: Anton Farygin; +Cc: ALT Linux Team development discussions On Wed, 23 Jul 2025 14:22:34 +0300 Anton Farygin <rider@basealt.ru> wrote: > On 7/23/25 14:02, Sergey V Turchin wrote: > > On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote: > >> Всем привет! Хочу добавить альтернативу для "- Fixes:" в > >> changelog: "- Security fixes:" > > А может, просто "- Security:"? > > > > [...] > > > Тогда уж проще сделать - любое упоминание CVE в changelog считать что > в пакете оно закрывается. Случаев другого использования CVE я не помню Упоминается, но не закрывается. Mentions. Еще бывает что "нужно для закрытия другого CVE", но само оно это CVE не закрывает. > > _______________________________________________ > Devel mailing list > Devel@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/devel -- ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-23 14:34 ` Denis Medvedev @ 2025-07-23 15:30 ` Anton Farygin 2025-07-23 15:33 ` Anton Farygin 0 siblings, 1 reply; 19+ messages in thread From: Anton Farygin @ 2025-07-23 15:30 UTC (permalink / raw) To: devel On 7/23/25 17:34, Denis Medvedev wrote: > On Wed, 23 Jul 2025 14:22:34 +0300 > Anton Farygin <rider@basealt.ru> wrote: > >> On 7/23/25 14:02, Sergey V Turchin wrote: >>> On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote: >>>> Всем привет! Хочу добавить альтернативу для "- Fixes:" в >>>> changelog: "- Security fixes:" >>> А может, просто "- Security:"? >>> >>> [...] >>> >> Тогда уж проще сделать - любое упоминание CVE в changelog считать что >> в пакете оно закрывается. Случаев другого использования CVE я не помню > Упоминается, но не закрывается. Mentions. > Еще бывает что "нужно для закрытия другого CVE", но само оно это CVE не > закрывает. > Да, но на практике такое не используется, а большинство закрытий CVE не соответствует Policy. А в некоторых пакетах для того, что бы соответствовать policy происходит странное: https://packages.altlinux.org/ru/c9f2/srpms/libblockdev/3231918727791234640 ^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" 2025-07-23 15:30 ` Anton Farygin @ 2025-07-23 15:33 ` Anton Farygin 0 siblings, 0 replies; 19+ messages in thread From: Anton Farygin @ 2025-07-23 15:33 UTC (permalink / raw) To: devel On 7/23/25 18:30, Anton Farygin wrote: > On 7/23/25 17:34, Denis Medvedev wrote: >> On Wed, 23 Jul 2025 14:22:34 +0300 >> Anton Farygin <rider@basealt.ru> wrote: >> >>> On 7/23/25 14:02, Sergey V Turchin wrote: >>>> On Saturday, 5 July 2025 15:06:16 MSK Ajrat Makhmutov wrote: >>>>> Всем привет! Хочу добавить альтернативу для "- Fixes:" в >>>>> changelog: "- Security fixes:" >>>> А может, просто "- Security:"? >>>> >>>> [...] >>>> >>> Тогда уж проще сделать - любое упоминание CVE в changelog считать что >>> в пакете оно закрывается. Случаев другого использования CVE я не помню >> Упоминается, но не закрывается. Mentions. >> Еще бывает что "нужно для закрытия другого CVE", но само оно это CVE не >> закрывает. >> > Да, но на практике такое не используется, а большинство закрытий CVE > не соответствует Policy. Чаще всего встречал вот такие записи (которые тоже не попадают под регулярку): О чём есть запись в логах: 2025-Jul-16 02:20:53 :: chromium: mentions vulnerabilities: CVE-2025-7656 CVE-2025-6558 CVE-2025-7657 15 июля 2025 г. Andrew A. Vasilyev <https://packages.altlinux.org/ru/sisyphus_riscv64/maintainers/andy/> 138.0.7204.157-alt1 - New version (138.0.7204.157). - Security fixes: +CVE-2025-7656 <https://packages.altlinux.org/ru/vuln/CVE-2025-7656>: Integer overflow in V8. +CVE-2025-6558 <https://packages.altlinux.org/ru/vuln/CVE-2025-6558>: Incorrect validation of untrusted input in ANGLE and GPU. +CVE-2025-7657 <https://packages.altlinux.org/ru/vuln/CVE-2025-7657>: Use after free in WebRTC. ^ permalink raw reply [flat|nested] 19+ messages in thread
end of thread, other threads:[~2025-07-24 16:55 UTC | newest] Thread overview: 19+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2025-07-05 12:06 [devel] Изменение Vulnerability Policy: добавить "- Security fixes:" как альтернативу "- Fixes:" Ajrat Makhmutov 2025-07-07 8:50 ` Alexey V. Vissarionov 2025-07-07 9:03 ` Dmitry V. Levin 2025-07-23 8:38 ` Anton Farygin 2025-07-23 8:44 ` Alexey V. Vissarionov 2025-07-23 8:57 ` Anton Farygin 2025-07-23 9:23 ` Alexey V. Vissarionov 2025-07-23 10:40 ` Anton Farygin 2025-07-24 11:42 ` Andrey Savchenko 2025-07-24 12:03 ` Andrey Cherepanov 2025-07-24 12:16 ` Yuri Sedunov 2025-07-24 12:35 ` Anton Farygin 2025-07-24 12:40 ` [devel] " Sergey V Turchin 2025-07-24 16:55 ` [devel] " Andrey Cherepanov 2025-07-23 11:02 ` [devel] " Sergey V Turchin 2025-07-23 11:22 ` [devel] " Anton Farygin 2025-07-23 14:34 ` Denis Medvedev 2025-07-23 15:30 ` Anton Farygin 2025-07-23 15:33 ` Anton Farygin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git