SG
Это если в bodhi апдейт помечен как security.
Для серьезных штук обычно помечают
А секурити фиксы для какого-нибудь pwgen не так уж и нужны))
А секурити фиксы для какого-нибудь pwgen не так уж и нужны))
Size: a a a
2020 July 10
V
Чаще просто выходит новая версия и не все заморачиваются помечанием апдейта.
V
Для серьезных штук обычно помечают
А секурити фиксы для какого-нибудь pwgen не так уж и нужны))
А секурити фиксы для какого-нибудь pwgen не так уж и нужны))
Это да, но всё же надо учитывать.
VP
Чаще просто выходит новая версия и не все заморачиваются помечанием апдейта.
Удивительно, что для Арча занимаются отслеживанием уязвимостей и их статуса
SG
Это да, но всё же надо учитывать.
А еще нужно учитывать, что не бывает неуязвимых систем
Помимо этого, 99,9% "уязвимых" систем уязвимы по причине какого-нибудь user/user для ssh
Помимо этого, 99,9% "уязвимых" систем уязвимы по причине какого-нибудь user/user для ssh
SG
Ну, или Exim, хаха))
V
У меня вот висит два-три CVE для cryptopp. И жду когда апстрим вывалит новую версию.
V
Vladislav Pashinskikh
Удивительно, что для Арча занимаются отслеживанием уязвимостей и их статуса
Тут тоже, но не в mail листе. Это же опасно.
АМ
У меня вот висит два-три CVE для cryptopp. И жду когда апстрим вывалит новую версию.
но это же жопа.
АМ
в чём смысл тогда дистра - так можно самому собирать всё
SG
в чём смысл тогда дистра - так можно самому собирать всё
В том, чтобы был какой-никакой qa
V
в чём смысл тогда дистра - так можно самому собирать всё
А что делать? Хочешь - собирай сам. Но там же могут быть другие дыры, несовместимости и т.д.
V
В том, чтобы был какой-никакой qa
+1
АМ
А что делать? Хочешь - собирай сам. Но там же могут быть другие дыры, несовместимости и т.д.
патчить уязвимость и выпускать версию патченную
АМ
собственно для этого и нужна security team
V
патчить уязвимость и выпускать версию патченную
Патчи, пришли мне пулл реквест, например.
SG
патчить уязвимость и выпускать версию патченную
Так с крипто++ проблема в апстриме же. Сами разработчики не фиксят, если я правильно понял))
VP
в чём смысл тогда дистра - так можно самому собирать всё
Как уже отметили выше - QA. Если есть желание этим всем заниматься - Gentoo / LFS
АМ
Так с крипто++ проблема в апстриме же. Сами разработчики не фиксят, если я правильно понял))
это понятно что она в апстриме. я всегда поражался как за мантейнерство таких сложных пакетов беруться люди которые никакого к этому отношения не имеют. поэтому разработчики и недолюбливают дитсрибутивы вцелом.
V
Так с крипто++ проблема в апстриме же. Сами разработчики не фиксят, если я правильно понял))
У них много коммитов, вроде, но стрёмно девелоперскую версию собирать.