Re: security updates
On Mon, Feb 18, 2002 at 08:16:46PM -0800, Francesco Bochicchio wrote:
> On Sun, Feb 17, 2002 at 09:48:31PM +0100, Nick Name wrote:
> > Il 23:02, domenica 17 febbraio 2002, Francesco Bochicchio ha scritto:
> >
> > >
> > > La parte meno bella e' che questo funziona solo per i pacchetti
> > > standard di potato, che e' alquanto vecchiotta (quasi due anni,
> > > credo). Se installi pacchetti non in potato, devi curarti da solo gli
> > > aggiornamenti di quei pacchetti.
> > >
> > > Per fortuna fra poco(?) esce woody...
> > >
> > > Ciao
> >
> > Come sarebbe a dire? Basta aggiungere i sources giusti!
> >
>
> Io mi riferivo alle patch che risolvono problemi di security:
>
> - in unstable, il problema viene risolto quando il pacchetto viene sostituito
> da qello nuovo, con la patch rilasciata dal developer originale del
> software (upstream); non so pero' se la presenza di un problema di
> sicurezza accelleri questa sostituzione, o se la cosa viene trattata come
> problemi di altra natura
> - per testing, i tempi sono ancora piu' lunghi, perche' bisogna aspettare
> che la nuova release entri in unstable e che quindi sia 'migrata' in
> testing dallo script che genera testing (che mi pare succeda quando
> il pacchetto non ha release-critical bugs per un certo periodo di
> tempo).
>
> O no?
Si', ma si potrebbe dire la stessa cosa di MacOS, di QNX, e di tutti i
prodotti sofware commerciali chiusi, si potrebbe solo se si ha visione
dell'attivita' di sviluppo, cosa che col software libero hai. La
realta' e' che altre distribuzioni GNU/Linux che sembrano piu'
aggiornate non sono affatto stabili e hanno seri problemi di natura
ben piu' generale di un buffer overflow o similae.
Si' e' vero e' una cosa triste che per fare un buon prodotto ci
vogliono persone e tempo, pero' e' la realta'. Questo, "purtroppo",
e' vero per qualunque cosa si voglia realizzare.
facendo un paragone un po' azzardato, MS Windows 2000 e XP sono stati
rilasciati a distanza di meno di un anno (o poco piu', correggetemi),
pero' alla Microsoft ci sono 70mila persone che bene o male (togli la
prima se preferisci) lavorano, e bene sono pagati, si portano avanti
sviluppo e testing di diverse scelte contemporaneamente (che parola
lunga) ... beh lascio perdere, il paragone non si puo' fare anche
perche' c'e' da vedere cosa realmente e' cambiato nella struttura del
sistema, quant'e' l'innovazione messa nel nuovo rilascio, etc.
poi in fondo se il sistema e' stabile e quello che devi farci e'
lavorare non ci si puo' lamentare del fatto che ci sono cose migliori
ma non ancora testate. Si puo' cercare un modo migliore per avere
pacchetti aggiornati e struttura stabile mantenendo il tutto coerente,
qualcuno ci ha provato, ci sta provando, ma rimangono solo utopie per
ora.
testing e' appunto testing ed e' li' per quello, non per essere una
via di mezzo tra stable e unstable. Di stabile e supportata Debian ha
solo potato, del resto, meglio una distribuzione buona che cento
arrabattate.
Daniele.
ps.: Ogni riferimento a varie distribuzioni GNU/Linux tipo
RedHat-Mandrake-Suse&C e' volutamente ricercato e spero che sia chiaro
leggendo tra le righe.
Reply to: