From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: To: smoke-room@lists.altlinux.org Subject: Re: sec updates (was: [room] ALT) References: <20051112003710.GI27294@localhost.localdomain> <4375E598.2060005@stc.donpac.ru> <20051112181347.GB30649@localhost> <777d80610511121032k1ef50fa9x@mail.gmail.com> <20051113101821.GD21223@localhost> <20051114133108.GB20868@localhost> <20051114174037.GA21173@localhost> <20051116103400.GR16364@osdn.org.ua> X-Request-PGP: x-hkp://random.sks.keyserver.penguin.de X-PGP-KeyID: 4A101D3B From: Maxim Tyurin Date: Wed, 16 Nov 2005 14:27:31 +0200 In-Reply-To: <20051116103400.GR16364@osdn.org.ua> (Michael Shigorin's message of "Wed, 16 Nov 2005 12:34:00 +0200") Message-ID: User-Agent: Gnus/5.1006 (Gnus v5.10.6) Emacs/21.4 (gnu/linux) MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Cc: security-team@altlinux.org X-BeenThere: smoke-room@lists.altlinux.org X-Mailman-Version: 2.1.5 Precedence: list Reply-To: =?koi8-r?b?y9XM2NTV0s7ZyiDPxtTP0MnL?= List-Id: =?koi8-r?b?y9XM2NTV0s7ZyiDPxtTP0MnL?= List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 16 Nov 2005 12:27:32 -0000 Archived-At: List-Archive: Michael Shigorin writes: > On Mon, Nov 14, 2005 at 08:40:37PM +0300, Денис Смирнов wrote: >> MT> Период жизни не меньше 3-х лет. > > Со средами сборки это реально, но у нас, например, на сейчас > нет настолько старых систем. (понятно, что их появление при > нормальном подходе -- дешевле, чем гонка обновлений) А у меня есть. Если есть сервер и задачи его не изменились то смысла его обновлять я не вижу. Если стоит у меня Woody и делает все что надо то не буду я его обновлять пока поддержка Woody не закончится. >> MT> Насколько часто вопрос более сложный. Мне хватает раз в 2 года. >> Ясно. То есть при таком режиме одновременно необходимо >> поддерживать не более двух веток, причём одну из них можно >> в виде "security fixes and critical bugfix only". > > Угу. Но с прочерченными сроками ожидаемого окончания поддержки, > если речь не только о "своём цеху". Для себя-то хоть с закрытия > известных проблем начать, а там уж по оценке усилий выводы делать. > >> Этого, вместе с наличием в updates фиксов к свежим багам >> достаточно? > > С этого надо начинать. Дима говорит, что с координацией > sec team поможет, если люди хорошие будут. Не только security. Незаслуженно забытый errata тоже обязателен. > Собственно, мы попытались (с моей недожареной подачи) > организовать такой процесс; первая организованная пачка > обновлений по диминой сводке открытых проблем (выбрав наиболее > критичные IIRC) с сопутствующими анонсами была подписана > "при поддержке EMT", чего в опубликованных анонсах не было. > > Возобновление работ нашего народу именно по апдейтам > целенаправленно с тех пор не произошло; хотя дело не > в наивной рекламе именно себя, просто апдейты -- вещь > сугубо неинтересная, выгребная яма своего рода. > > Соответственно Дима вполне мог писать "спонсировано > Димой Левиным", и это было бы 1) честно; 2) указывало > на возможность получить лишнее внимание такой работой. > > Короче говоря, на сейчас если строить здесь более общественную > инфраструктуру -- получается > > - security-team@ как рассылка (сейчас алиас); > - перебраться туда теми, кто: > + отслеживает проблемы и может быстрее проинформировать о них, > чем майнтейнер узнает сам; > + является майнтейнером, поддерживающим свои пакеты и в stable; > + является заинтересованным в заткнутости дырок в используемых > пакетах, в т.ч. других сборщиков (на момент выпуска/текущий); > - попросить Диму составить список текущих нерешённых критичных > проблем в ALM2.4+updates; Если бы такой список регулярно падал в security-team@ то от него был бы толк и не загнулся бы он ИМХО. > - проверить наличие [попыток] решений в backports/2.4 и их > пригодность; > - приступить к разгребанию обретённого счастья, благо во многих > случаях патчи уже доступны (выковыриваются из RHEL или Debian); > - при уверенности в отсутствии регрессов в пакете вливать > в /i/u/2.4, иначе с описанием подозрительных мест -- > в /i/b/2.4 с тем, чтобы через несколько дней тестирования > рекомендовать перекладывание в u/M/2.4 или отзыв; > - напустить на /u/M/2.4 робота по чтению вслух changelog'ов > в security-announce@, уж если человеческого слова не хватает. > Соответственно мои changelog'и уже довольно давно для этого > готовы. Вот робот такой нужен. И пусть пишет в рассылку security@ Только желательно формализировать записи в changelog. > > PS: пошли в devel@? Не хочу. Такие обсуждения в узком кругу уже были и пшиком заканчивались. Да и может подскажут люди что-то полезное. -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com ___ / _ )__ _____ ___ ____ _______ _____ / _ / // / _ \/ _ `/ _ `/ __/ // (_-< /____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/ /___/