Aktualizacje bezpieczeństwa dla wszechświatowego repozytorium dla wydań LTS?

9

Co się stanie, jeśli w pakiecie w repozytorium wszechświata wystąpi problem bezpieczeństwa cztery lata po wydaniu LTS 12.04; czy pakiet zostanie zaktualizowany z poprzedniej wersji, załatany czy pozostawiony samemu sobie?

Rozumiem, że „5 lat wsparcia i aktualizacji bezpieczeństwa” dotyczy tylko rdzenia Ubuntu - wszystkiego w głównym repozytorium. Nie dla rzeczy w repozytorium Wszechświata.

Bardziej konkretny przykład - jeśli teraz zainstaluję Ruby i chcę go używać przez następne kilka lat 12.04 i ma on lukę w zabezpieczeniach; podczas gdy można to załatać w górę (tak, że zawsze mogłem pobrać najnowszą wersję z ich strony internetowej i sam ją skompilować lub użyć PPA), czy ta poprawka w górę zostanie przeniesiona do dokładnych repozytoriów pakietów? Co z backportami?

updates  package-management  security  lts 
Nick May
źródło

Odpowiedzi:

6

Pakiety we Wszechświecie są utrzymywane przez społeczność. To, czy otrzymają aktualizacje zabezpieczeń, zależy całkowicie od społeczności, która ich używa.

Instrukcje dotyczące przekazywania aktualizacji zabezpieczeń dla pakietów we wszechświecie znajdują się tutaj:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

Zasadniczo każdy może zgłosić błąd, dołączyć debdiff, zasubskrybować zespół sponsorów ubuntu-security, a ktoś z zespołu sprawdzi, czy wszystko jest w porządku, a następnie zasponsoruje go do archiwum.

mdeslaur
źródło
4

Podany przykład, Ruby, znajduje się w głównym repozytorium i jest obsługiwany przez pięć lat:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

Zobacz także moją odpowiedź na „Czy 12.04 LXDE ma LTS?” i W jaki sposób mogę sprawnie zainstalować listę pakietów innych niż LTS? .

W przypadku oprogramowania od wszechświata, to nie jest nawet oficjalnie obsługiwane w ogóle , nie mówiąc już o pięć lat. Z Community Wiki w repozytoriach :

Canonical nie zapewnia gwarancji regularnych aktualizacji bezpieczeństwa oprogramowania we wszechświecie, ale zapewni je tam, gdzie są one udostępniane przez społeczność.

Jednak możesz spodziewać się najpoważniejszych problemów z popularnymi pakietami, które są załatane przez społeczność utrzymującą oprogramowanie we wszechświecie . Po prostu żadnych gwarancji.

W przypadku backportów uważam, że nie należy ich używać w produkcji.

gertvdijk
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.