From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <rider@basealt.ru>
Message-ID: <cdb2b4e2-d453-4371-5d9a-0993f4768ad4@basealt.ru>
Date: Tue, 7 Feb 2023 14:27:04 +0300
MIME-Version: 1.0
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101
 Thunderbird/102.7.1
Content-Language: ru
To: devel@lists.altlinux.org
References: <2d6f1695-0ef9-a7e6-c0e5-0ed7653e7692@basealt.ru>
 <e17ec17d-cb6d-9ff2-8106-8c75d53388c4@altlinux.org>
 <9fa17b36-22d3-d236-5c45-d778f808a96d@basealt.ru>
 <9d3ec9d7-4008-2568-6de7-7c36378a5943@altlinux.org>
 <3edffbe8-7add-c425-61ea-2f2ff15f4dce@basealt.ru>
 <20230207135349.223a0556@legato>
 <93edca3c-ab06-2945-5524-831cd0dc844e@basealt.ru>
 <20230207141646.7a841e4b@legato>
From: Anton Farygin <rider@basealt.ru>
Organization: BaseALT
In-Reply-To: <20230207141646.7a841e4b@legato>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [devel] =?utf-8?b?0J3QsNGA0YPRiNC10L3QuNGPIFZ1bG5lcmFiaWxpdHkg?=
 =?utf-8?q?Policy?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 07 Feb 2023 11:27:04 -0000
Archived-At: <http://lore.altlinux.org/devel/cdb2b4e2-d453-4371-5d9a-0993f4768ad4@basealt.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On 07.02.2023 14:16, Paul Wolneykien wrote:
> В Tue, 7 Feb 2023 14:07:19 +0300
> Anton Farygin<rider@basealt.ru>  пишет:
>
>> On 07.02.2023 13:53, Paul Wolneykien wrote:
>>> В Tue, 7 Feb 2023 12:01:57 +0300
>>> Anton Farygin<rider@basealt.ru>  пишет:
>>>   
>>>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>>>      
>>>>>> И формат и обязанность, судя по тексту политики.
>>>>>>      
>>>>> Что из этого предлагается заинфорсить?
>>>> Заэнфорсить получится только формат.
>>>     А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
>> вроде бы.
>    Тогда, значит, если выходит версия про которую известно, что в
> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> бывают...

У меня бывает обратная ситуация - когда CVE в changelog указываю (указан 
апстримом), а вот в базе CVE его нет по неизвестным мне причинам и 
появляется в базах с задержкой на пару недель.

Плюс бывают ложные сработки, плюс не все CVE на нас распространяются.