From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <rider@basealt.ru>
Message-ID: <dd7a94bc-8353-cc6f-47b8-e63d5b52abc8@basealt.ru>
Date: Wed, 8 Feb 2023 08:34:15 +0300
MIME-Version: 1.0
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101
 Thunderbird/102.7.1
Content-Language: ru
To: devel@lists.altlinux.org
References: <2d6f1695-0ef9-a7e6-c0e5-0ed7653e7692@basealt.ru>
 <e17ec17d-cb6d-9ff2-8106-8c75d53388c4@altlinux.org>
 <9fa17b36-22d3-d236-5c45-d778f808a96d@basealt.ru>
 <9d3ec9d7-4008-2568-6de7-7c36378a5943@altlinux.org>
 <3edffbe8-7add-c425-61ea-2f2ff15f4dce@basealt.ru>
 <20230207135349.223a0556@legato>
 <93edca3c-ab06-2945-5524-831cd0dc844e@basealt.ru>
 <20230207141646.7a841e4b@legato>
 <20230207200322.cagr5nue3ruqoo5t@titan.localdomain>
From: Anton Farygin <rider@basealt.ru>
Organization: BaseALT
In-Reply-To: <20230207200322.cagr5nue3ruqoo5t@titan.localdomain>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [devel] =?utf-8?b?0J3QsNGA0YPRiNC10L3QuNGPIFZ1bG5lcmFiaWxpdHkg?=
 =?utf-8?q?Policy?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 08 Feb 2023 05:34:15 -0000
Archived-At: <http://lore.altlinux.org/devel/dd7a94bc-8353-cc6f-47b8-e63d5b52abc8@basealt.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On 07.02.2023 23:03, Ivan A. Melnikov wrote:
> On Tue, Feb 07, 2023 at 02:16:46PM +0300, Paul Wolneykien wrote:
>> В Tue, 7 Feb 2023 14:07:19 +0300
>> Anton Farygin<rider@basealt.ru>  пишет:
>>
>>> On 07.02.2023 13:53, Paul Wolneykien wrote:
>>>> В Tue, 7 Feb 2023 12:01:57 +0300
>>>> Anton Farygin<rider@basealt.ru>  пишет:
>>>>   
>>>>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>>>>      
>>>>>>> И формат и обязанность, судя по тексту политики.
>>>>>>>      
>>>>>> Что из этого предлагается заинфорсить?
>>>>> Заэнфорсить получится только формат.
>>>>     А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
>>> вроде бы.
>>    Тогда, значит, если выходит версия про которую известно, что в
>> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
>> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
>> бывают...
> Такие строгости мне кажутся не слишком уместными. А вот какой-то
> сервис типа репокопа, предлагающий патчи на ченджлог...

В моём видении идеального мира указывать в changelog закрытие CVE, если 
оно закрывается новой версией должно быть необязательно, при условии 
наличия специального сервиса, информирующего о таком ментейнеров и 
пользователей.