Re: security update su stable/unstable
* Thursday 24 April 2003, alle 21:19, Christian Surchi scrive:
> On Thu, Apr 24, 2003 at 06:40:50PM +0200, Ferdinando wrote:
> > Certo, in riferimento a pacchetti comuni, anche se le versioni sono
> > differenti e se il rilascio da parte del team per la sicurezza viene
> > fatto nello stesso momento in pratica farai il pacchetto per Sid e per
> > stable no?
>
> Si', ma come dicevo non esistono update di sicurezza per sid, esistono
> semplicemente pacchetti nuovi. :)
Beh, in Sid il Changelog è pubblico e quindi tu non puoi fare un fix di
sicurezza ad un pacchetto per una vulnerabilità che ancora non è stata
resa nota. A quanto ne so alcune volte capita di dover aspettare un
breve periodo perché il team si coordini con vari altri enti addetti
alla sicurezza e per coordinare i rilasci di un po' tutti i prodotti,
da Debian a Red Hat ecc. ecc. Nel Debian securing manual c'è proprio
riportato un esempio nel quale, se colui che ha scoperto la
vulnerabilità ed avvisato il team richiedendo la non diffusione, il
team può (perché ha facoltà di procedere anche in autonomia) avvertire
il manutentore del relativo pacchetto, avvisandolo di non diffondere la
notizia fino a data (tempi ristretti comunque ovviamente) da
stabilirsi. A quel punto il maintainer non può rilasciare una nuova
versione, non per il team security ma per Sid perché nel Changelog
sarebbe indicata pure la copertura della vulnerabilità ancora nota.
A questo punto mi sembra chiaro che vari aspetti siano intrecciati,
anche se formalmente Sid non ha il ramo security, in realtà Sid è
coperta per forza di cose e Stable è coperta ufficialmente con ancora
maggior attenzione.
Ok, l'ho fatta lunga ma mi sembrava di essere diventato improvvisamente
più rimbecillito del solito ed invece qualcosa mi era sembrato di
averla capita ... ;-)
Ciao
Ferdinando
Reply to: