[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Tempi di rilascio fix security per *alcuni* pacchetti

> Alla fine si deve per forza raggiunge un compromesso fra
> tempo + capacità + risorse uomo e mantenimento sicurezza del 
> proprio sistema (che non sarà mai 100% sicuro) sempre IMHO.
> 
> Dario

Dario, lo dico sempre anche se questa volta non l'ho detto...

Ho *IMMENSO* rispetto per gli sviluppatori e per tutta la gente che lavora
dietro il progetto Debian.

La mia non era una semplice critica, solo un'analisi dei fatti.
Riguardo al testing di una patch non sono d'accordo che richieda tempi così
esagerati.
Non si tratta di un cambio di versione dato che siamo in Stable, si tratta di
applicare delle patch risolutive già pronte (al codice PHP in questione) e non
penso che una patch di questo tipo possa andare a dare fastidio ad altri
pacchetti (proprio perchè si è in Stable).

Ovvio che tutto va provato e riprovato... ma 52 giorni mi sembrano un po tantini.

Nessuna critica, ci sono software che hanno problemi noti e le patch non sono
state rilasciate dopo 10 anni (XP è del 2002, si 10 anni).

Sarebbe interessante, IMHO, identificare per ogni pacchetto un "tempo di
risposta medio" ai problemi di sicurezza.
Così sarà l'utilizzatore a decidere se usare un software pacchettizzato o uno
non (quindi la gestione sarà totalmente a carico suo).

Che ne so... Apache-2 "descrizione", "tempo medio di risposta per fix: 3
giorni" (sparo a caso).

A mi piacerebbe.

:)

Luca
Reply to: