Вопросы Теги

Обновления безопасности для хранилища юниверсов для выпусков LTS?

Что произойдет, если в пакете в хранилище юниверса возникнут проблемы с безопасностью через четыре года после выпуска 12.04 LTS; будет ли пакет обновляться с апстрима, исправлений или оставлен в покое?

Насколько я понимаю, «5 лет поддержки и обновлений безопасности» относятся только к ядру Ubuntu - что угодно в основном репозитории. Не для вещей в хранилище Вселенной.

Для более конкретного примера - если я установлю Ruby сейчас и захочу использовать его в течение следующих нескольких лет 12.04, и у него есть уязвимость безопасности; хотя это может быть исправлено в апстриме (так что я всегда мог скачать последнюю версию с их сайта и скомпилировать ее самостоятельно или использовать PPA), будет ли это апстрим исправление перенесено в конкретные репозитории пакетов? А как насчет бэкпортов?

9
задан 1 March 2014 в 18:22

2 ответа

Пакеты во вселенной поддерживаются сообществом. Получат ли они обновления безопасности или нет, полностью зависит от сообщества, которое их использует.

Инструкции по внесению обновлений безопасности для пакетов в Universe находятся здесь:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

По сути, любой может сообщить об ошибке, прикрепить debdiff, подписаться на команду ubuntu-security-спонсоров, и кто-то из команды проверит ее, чтобы убедиться, что все в порядке, а затем передать его в архив.

7
ответ дан 1 March 2014 в 18:22

Приведенный вами пример Ruby находится в основном репозитории и поддерживается в течение пяти лет: 

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

См. Также мой ответ на «Есть ли в LXDE 12.04 LTS? " и Как мне получить список пакетов, не относящихся к LTS, эффективно установленных? .

Что касается программного обеспечения из вселенной, оно даже официально не поддерживается вообще , не говоря уже о пяти годах. Из вики сообщества по репозиториям :

Canonical не предоставляет гарантии регулярных обновлений безопасности для программного обеспечения в компоненте юниверса, но будет предоставлять их там, где они будут доступны сообществом.

Однако вы можете ожидать наиболее серьезных проблем с популярными пакетами, которые будут исправлены сообществом, поддерживающим программное обеспечение во вселенной . Просто никаких гарантий.

Что касается обратных портов , я считаю, что они не должны использоваться в производстве.

5
ответ дан 1 March 2014 в 18:22

Другие вопросы по тегам:

Похожие вопросы: