Оновлення безпеки для всесвітнього сховища для випусків LTS?

9

Що станеться, якщо в пакеті сховища Всесвіту через чотири роки після випуску 12.04 LTS є проблема безпеки; чи буде оновлений пакунок з верхніх, виправлених або залишених у спокої?

Наскільки я розумію, що "5 років підтримки та оновлення безпеки" стосується лише ядра Ubuntu - будь-чого в основному сховищі. Не для речей у сховищі Всесвіту.

Для більш конкретного прикладу - якщо я встановлю Ruby зараз і хочу використовувати його наступні кілька років 12.04, і він має вразливість безпеки; хоча це може бути зафіксовано у висхідному руслі (тому я завжди можу завантажити останнє з їхнього веб-сайту та скомпілювати його самостійно або використовувати PPA), чи буде це виправлення вище за течією перенесено у точні сховища пакетів? А що з бекспортами?

updates  package-management  security  lts 
Нік Мей
джерело

Відповіді:

6

Пакети у Всесвіті підтримуються спільнотою. Будь-які дані отримують оновлення безпеки, повністю залежить від громади, яка їх використовує.

Інструкції щодо створення оновлень безпеки для пакетів у Всесвіті тут:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

В основному, будь-хто може подати помилку, приєднати дедіфф, підписатися на команду спонсорів ubuntu-безпеки та хтось із команди перегляне це, щоб переконатися, що це нормально, а потім спонсорує його в архів.

mdeslaur
джерело
4

Приклад, який ви подали, Ruby, знаходиться в головному сховищі і підтримується протягом п'яти років:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

Дивіться також мою відповідь на тему: "12.04 LXDE має LTS?" і Як я можу отримати ефективний список нестандартних пакетів встановлених програм? .

Для програмного забезпечення , від Всесвіту, це навіть не підтримується офіційно взагалі , НЕ кажучи вже в протягом п'яти років. З Вікі спільноти у сховищах :

Canonical не дає гарантії регулярних оновлень безпеки для програмного забезпечення у компоненті Всесвіту, але надасть їх там, де вони стануть доступними спільнотою.

Однак ви можете очікувати, що найважливіші проблеми щодо популярних пакетів будуть виправлені спільнотою, яка підтримує програмне забезпечення у Всесвіті . Просто жодних гарантій.

Для Backports на мій погляд, вони не повинні бути використані у виробництві.

gertvdijk
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.