* Thursday 24 April 2003, alle 21:19, Christian Surchi scrive: > On Thu, Apr 24, 2003 at 06:40:50PM +0200, Ferdinando wrote: > > Certo, in riferimento a pacchetti comuni, anche se le versioni sono > > differenti e se il rilascio da parte del team per la sicurezza viene > > fatto nello stesso momento in pratica farai il pacchetto per Sid e per > > stable no? > > Si', ma come dicevo non esistono update di sicurezza per sid, esistono > semplicemente pacchetti nuovi. :)
Beh, in Sid il Changelog � pubblico e quindi tu non puoi fare un fix di sicurezza ad un pacchetto per una vulnerabilit� che ancora non � stata resa nota. A quanto ne so alcune volte capita di dover aspettare un breve periodo perch� il team si coordini con vari altri enti addetti alla sicurezza e per coordinare i rilasci di un po' tutti i prodotti, da Debian a Red Hat ecc. ecc. Nel Debian securing manual c'� proprio riportato un esempio nel quale, se colui che ha scoperto la vulnerabilit� ed avvisato il team richiedendo la non diffusione, il team pu� (perch� ha facolt� di procedere anche in autonomia) avvertire il manutentore del relativo pacchetto, avvisandolo di non diffondere la notizia fino a data (tempi ristretti comunque ovviamente) da stabilirsi. A quel punto il maintainer non pu� rilasciare una nuova versione, non per il team security ma per Sid perch� nel Changelog sarebbe indicata pure la copertura della vulnerabilit� ancora nota. A questo punto mi sembra chiaro che vari aspetti siano intrecciati, anche se formalmente Sid non ha il ramo security, in realt� Sid � coperta per forza di cose e Stable � coperta ufficialmente con ancora maggior attenzione. Ok, l'ho fatta lunga ma mi sembrava di essere diventato improvvisamente pi� rimbecillito del solito ed invece qualcosa mi era sembrato di averla capita ... ;-) Ciao Ferdinando
