[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Tempi di rilascio fix security per *alcuni* pacchetti

Il 01/03/2012 13:49, dea ha scritto:
>
[cut]
> Ho *IMMENSO* rispetto per gli sviluppatori e per tutta la
> gente che lavora dietro il progetto Debian.

Ne sono pienamente convinto :-), altrimenti non replicavo :-)

> Riguardo al testing di una patch non sono d'accordo che richieda
> tempi così esagerati. Non si tratta di un cambio di versione dato che
> siamo in Stable, si tratta di applicare delle patch risolutive già
> pronte (al codice PHP in questione) e non penso che una patch di
> questo tipo possa andare a dare fastidio ad altri pacchetti
> (proprio perchè si è in Stable).

A volte una patch può essere la correzione di una singola riga
di codice, come pure di diversi file script. Dipende :-),
pur non parlando di cambio di versione [sono sicuro che sai queste
cose, scrivo per chiarezza per chi legge].


> Ovvio che tutto va provato e riprovato... ma 52 giorni mi sembrano
> un po tantini.
Ripeto, dipende :-), per la tua esperienza può sembrarti tanto, per me normale (mantenendo una veduta generica su qualsiasi pacchetto), ciò non toglie che migliorare si può sempre :-) 

[cut]
> Sarebbe interessante, IMHO, identificare per ogni pacchetto
> un "tempo di risposta medio" ai problemi di sicurezza.
> Così sarà l'utilizzatore a decidere se usare un software
> pacchettizzato o uno non (quindi la gestione sarà totalmente
> a carico suo).

Su quali altri pacchetti hai riscontrato tempi di intervento
che reputi "tantini"?
Puoi darmi qualche esempio, su cose più corpose, tipo Apache?
o magari kernel ?


> Che ne so... Apache-2 "descrizione", "tempo medio di risposta
> per fix: 3 giorni" (sparo a caso).

:-) piacerebbe anche a me :-) .

Nel frattempo però cerco di essere anche propositivo.

In che senso ?

Se io faccio uso intenso di un pacchetto, es. Moodle, sicuramente
riscontrerò in maniera più attiva/reattiva i relativi bug e problematiche nel suo uso. 

Questo mi porta ad una posizione di vantaggio rispetto al semplice
utente che usa in modo sporadico lo stesso pacchetto.

Essendo avvantaggiato, potrei essere d'aiuto al mantainer del
pacchetto di modo da facilitare la fase di testing della patch ?
Aiutando ad abbreviare i tempi di rilascio?

Non mi pare che ci sia un obbligo di un minimo di giorni
prima del rilascio di una patch (IMHO lascio rispondere
a chi mantiene i pacchetti), ma penso che aiutando al posto
di attendere, forse non sarebbero stati 52 i giorni, ma sicuramente
molto meno.

Questo non per critica nei tuoi riguardi, anzi!
Ma incoraggiamento per tutti (me compreso ovvio);
se divenisse un'abitudine, sicuramente:

tempo rilascio / (tempo_capacità_uomo in incremento),
il risultato tenderebbe a zero.

a beneficio nostro :-).

Dario
Reply to: