Re: [DONE] wml://security/2018/dsa-4154.wml

[Lev Lamberov]

Ср 28 мар 2018 @ 18:07 Gali Anikina :

> (что приводит к отказу в обслуживании) или потенциального выполнения
>
> может быть так  - "(что приведёт к отказу в обслуживании) или
> потенциального выполнения"

Зачем? Вполне обычная грамматическая конструкция.

Re: acheck_Version 0.5.5____ru.po

[Gali Anikina]

В Ср, 28/03/2018 в 19:19 +0300, Алексей Шилин пишет:
> В письме от среда, 28 марта 2018 г. 18:48:33 MSK пользователь Gali
> Anikina 
> написал:
> > Тогда и в этих (и аналогичных) случаях поставить русские кавычки?
> > 
> > «%s»: неизвестный отступ
> 
> С кавычками вообще полнейший разнобой: где-то оставляют оригинальные
> (как, 
> например, в ls), где-то заменяют...
> 


Да согласна. Тогда я заменю их везде на русские? 




> > Кстати - а как вы вводите кавычки - где в раскладке клавиатуры они
> > находятся - русские кавычки? Перебрала все раскладки клавиатуры
> > русские
> > и не нашла их. Сейчас делаю копированием.
> 
> Для этого используется клавиша Compose. По умолчанию она не назначена
> - 
> выполните "sudo dpkg-reconfigure keyboard-configuration", и когда
> дойдёте до 
> настройки Compose, назначьте её, скажем, на правую Win. Тогда для
> ввода 
> кавычек-"ёлочек" можно будет нажать Compose (и отпустить), а затем 
> последовательно нажать "<", "<" (естественно, в английской
> раскладке), тире 
> вводится нажатием Compose и тремя дефисами, и так далее. Подробнее
> смотрите в 
> Интернете.

Спасибо, просто раньше не было в этом необходимости :-)))
Конечно надо изучить данный вопрос, просто я думала, что они где-то
есть "из коробки", поэтому и спросила

Re: acheck_Version 0.5.5____ru.po

[Алексей Шилин]

В письме от среда, 28 марта 2018 г. 18:48:33 MSK пользователь Gali Anikina 
написал:
> Тогда и в этих (и аналогичных) случаях поставить русские кавычки?
> 
> «%s»: неизвестный отступ

С кавычками вообще полнейший разнобой: где-то оставляют оригинальные (как, 
например, в ls), где-то заменяют...

> Кстати - а как вы вводите кавычки - где в раскладке клавиатуры они
> находятся - русские кавычки? Перебрала все раскладки клавиатуры русские
> и не нашла их. Сейчас делаю копированием.

Для этого используется клавиша Compose. По умолчанию она не назначена - 
выполните "sudo dpkg-reconfigure keyboard-configuration", и когда дойдёте до 
настройки Compose, назначьте её, скажем, на правую Win. Тогда для ввода 
кавычек-"ёлочек" можно будет нажать Compose (и отпустить), а затем 
последовательно нажать "<", "<" (естественно, в английской раскладке), тире 
вводится нажатием Compose и тремя дефисами, и так далее. Подробнее смотрите в 
Интернете.

Re: [DONE] wml://security/2018/dsa-4154.wml

[Gali Anikina]

В Ср, 28/03/2018 в 18:17 +0300, Алексей Шилин пишет:
> В письме от среда, 28 марта 2018 г. 18:07:48 MSK пользователь Gali
> Anikina 
> написал:
> > Аутентификация (англизированное заимствование и привнесённое в
> > русский
> > язык) и идентификация (русское слово) - они вроде по смыслу
> > одинаковы.
> > И там и там производится сверка пользователя с чем-то - будь то
> > паспорт, электронная подпись, пароль и тд.
> > Соответственно и там где употребляется слово аутентификация лучше
> > использовать идентификация.
> 
> https://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD
> %D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F:
> 
> > Аутентификацию не следует путать с авторизацией (процедурой
> > предоставления
> > субъекту определённых прав) и идентификацией (процедурой
> > распознавания
> > субъекта по его идентификатору).

Да, поштудирую данный вопрос :-))) 


> > может быть - "до выпуска релиза" ? или "до выпуска первой версии"
> 
> Ах это прекрасное русское слово "релиз"... :)


Часто в статьях про Linux встречается, поэтому и предложила :-)))

Re: acheck_Version 0.5.5____ru.po

[Gali Anikina]

В Ср, 28/03/2018 в 17:59 +0300, Алексей Шилин пишет:
> В письме от среда, 28 марта 2018 г. 6:55:18 MSK пользователь Gali
> Anikina 
> написал:
> > "Если имя выходного файла отсутствует, то будет использовано имя
> > входного "
> > "файла; '-' — вывод в STDOUT\n"
> > 
> > (Точка с запятой и тире.)
> > 
> > 
> > 
> > Поставила
> 
> Точку с запятой в файле вижу, тире - нет.
> 
> В принципе, можно переформулировать:
> 
> "Если имя выходного файла отсутствует, то будет использовано имя
> входного 
> файла; укажите «-» для вывода в STDOUT\n"
> 

Ага, имела в виде тире, что в кавычках

Подправила - поставила ваш вариант - он вроде более подходит

Сейчас выглядит так -
"\n"
"Если имя входного файла установлено в «-» или отсутствует, то данные "
"читаются из STDIN\n"
"Если имя выходного файла отсутствует, то будет использовано имя
входного "
"файла; укажите «-» для вывода в STDOUT\n"
"\n"


> > оставила английские - вот эти - кавычки (они не будут показаны
> > пользователю)
> > 
> > `%s': неизвестный отступ
> 
> Будут показаны, почему нет?
> 
> > msgstr ""
> > "Использование: %s [ПАРАМЕТРЫ] [ВХОДНОЙ ФАЙЛ]\n"
> > "\n"
> > "параметры:\n"
> 
Тогда и в этих (и аналогичных) случаях поставить русские кавычки?

«%s»: неизвестный отступ

Кстати - а как вы вводите кавычки - где в раскладке клавиатуры они
находятся - русские кавычки? Перебрала все раскладки клавиатуры русские
и не нашла их. Сейчас делаю копированием.

> Возможно, "параметры" здесь стоит писать с прописной буквы несмотря
> на 
> оригинал?


Наверное не получится, вот в файле adduser_3.116_ru.po написано так-
букву в букву - маленькие в английском -маленькие в русском

msgid ""
.
"general options:\n"
"  --quiet | -q  don't give process information to stdout\n"
"  --help | -h   usage message\n"
"  --version | -vversion number and copyright\n"
"  --conf | -c FILE  use FILE as configuration file\n"
"\n"
msgstr ""
...
"общие параметры:\n"
"  --quiet | -q  не выводить информацию при работе в
stdout\n"
"  --help | -h   показать справку об использовании\n"
"  --version | -vпоказать версию и авторские права\n"
"  --conf | -c ФАЙЛ  использовать ФАЙЛ в качестве
конфигурационного\n"
"\n"



А вот в этом a2ps-4.14_ru.po - так-
слово OPTION переведено -как КЛЮЧИ
но опять сохранили тот регистр, который был в оригинале


#: src/main.c:653
#, fuzzy, c-format
msgid ""
"Usage: %s [OPTION]...
[FILE]...\n"
.7
msgstr ""
"Использование: %s [КЛЮЧИ]... ФАЙЛ...\n"
"\n"
.




А вот здесь в texinfo_ru_v_6_3_92.ro маленькими буквами


msgid ""
"Frequently-used options:\n"
"  -a, --alluse
all matching manuals\n"
"  -k, --apropos=STRING look up STRING
in all indices of all manuals\n"
"  -d, --directory=DIR  add DIR
to INFOPATH\n"
"  -f, --file=MANUALspecify Info manual to
visit"
msgstr ""
"Часто используемые параметры:\n"
"  -a, --all   
использовать все подходящие справочники\n"
"  -k, --
apropos=СТРОКА поиск СТРОКИ во всех указателях\n"
" 
 всех справочников\n"
"  -d, --directory=КАТ 
добавить КАТалог в INFOPATH\n"
"  -f, --file=СПРАВОЧНИКзадать
открываемый Info-справочник"




А вот в apt-1.6~beta1__ru___2017.po маленькие буквы

#: cmdline/apt-cache.cc
msgid ""
"Usage: apt-cache [options] command\n"
" 
 apt-cache [options] show pkg1 [pkg2 ...]\n"
"\n"
"apt-cache queries
and displays available information about installed\n"
"and installable
packages. It works exclusively on the data acquired\n"
"into the local
cache via the 'update' command of e.g. apt-get. The\n"
"displayed
information may therefore be outdated if the last update was\n"
"too
long ago, but in exchange apt-cache works independently of the\n"
"avail
ability of the configured sources (e.g. offline).\n"
msgstr ""
"Использов
ание: apt-cache [параметры] команда\n"
"   apt-cache [параметры]
show пакет1 [пакет2 …]\n"
"\n"
"apt-cache ищет и выдаёт доступную
информацию об установленных\n"
"и неустановленных пакетах. Она работает
только с данными локального\n"
"кэша, созданного командой «update»
программы apt-get. В следствие\n"
"этого отображаемая информация может
устаревшей, если обновление\n"
"долго не выполнялось, но зато apt-cache
работает независимо от\n"
"доступности настроенных источников (например,
без сети).\n"


Получается, что делают так, как написано в английском варианте- если
там заглавные буквы, то и в русском так, и тд

Re: [DONE] wml://security/2018/dsa-4154.wml

[Алексей Шилин]

В письме от среда, 28 марта 2018 г. 18:07:48 MSK пользователь Gali Anikina 
написал:
> Аутентификация (англизированное заимствование и привнесённое в русский
> язык) и идентификация (русское слово) - они вроде по смыслу одинаковы.
> И там и там производится сверка пользователя с чем-то - будь то
> паспорт, электронная подпись, пароль и тд.
> Соответственно и там где употребляется слово аутентификация лучше
> использовать идентификация.

https://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD
%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F:

> Аутентификацию не следует путать с авторизацией (процедурой предоставления
> субъекту определённых прав) и идентификацией (процедурой распознавания
> субъекта по его идентификатору).

> может быть - "до выпуска релиза" ? или "до выпуска первой версии"

Ах это прекрасное русское слово "релиз"... :)

Re: [DONE] wml://security/2018/dsa-4154.wml

[Gali Anikina]

В Ср, 28/03/2018 в 16:50 +0500, Lev Lamberov пишет:
> --- ../../english/security/2018/dsa-4154.wml  2018-03-28
> 14:22:51.0 +0500
> +++ 2018/dsa-4154.wml 2018-03-28 16:50:02.419122931 +0500
> @@ -1,25 +1,26 @@
> -security update
> +#use wml::debian::translation-check translation="1.1" mindelta="1"
> +обновление безопасности
>  
> -A heap corruption vulnerability was discovered in net-snmp, a
> suite of
> -Simple Network Management Protocol applications, triggered when
> parsing
> -the PDU prior to the authentication process. A remote,
> unauthenticated
> -attacker can take advantage of this flaw to crash the snmpd process
> -(causing a denial of service) or, potentially, execute arbitrary
> code
> -with the privileges of the user running snmpd.
> +В net-snmp, наборе приложений Simple Network Management Protocol,
> было
> +обнаружено повреждение содержимого памяти, возникающее при
> выполнении грамматического
> +разбора PDU до запуска процесса аутентификации. Удалённый
> неаутентифицированный
> +злоумышленник может использовать эту уязвимость для аварийной
> остановки процесса snmpd
> +(что приводит к отказу в обслуживании) или потенциального выполнения
> произвольного кода
> +с правами пользователя, запустившего snmpd.
>  


Удалённый неаутентифицированный злоумышленник может использовать эту
уязвимость


может так -
Удалённый неидентифицированный злоумышленник может использовать эту
уязвимость


Аутентификация (англизированное заимствование и привнесённое в русский
язык) и идентификация (русское слово) - они вроде по смыслу одинаковы.
И там и там производится сверка пользователя с чем-то - будь то
паспорт, электронная подпись, пароль и тд. 
Соответственно и там где употребляется слово аутентификация лучше
использовать идентификация. Но может быть я не знаю всех тонкостей
данного процесса.


-
(что приводит к отказу в обслуживании) или потенциального выполнения

может быть так  - "(что приведёт к отказу в обслуживании) или
потенциального выполнения"




> -For the oldstable distribution (jessie), these problems have been
> fixed
> -in version 5.7.2.1+dfsg-1+deb8u1.
> +В предыдущем стабильном выпуске (jessie) эти проблемы были
> исправлены
> +в версии 5.7.2.1+dfsg-1+deb8u1.
>  
> -For the stable distribution (stretch), these problems have been
> fixed
> -before the initial release.
> +В стабильном выпуске (stretch) эти проблемы были исправлены
> +до изначального выпуска.
>  

может быть - "до выпуска релиза" ? или "до выпуска первой версии"

Re: acheck_Version 0.5.5____ru.po

[Алексей Шилин]

В письме от среда, 28 марта 2018 г. 6:55:18 MSK пользователь Gali Anikina 
написал:
> "Если имя выходного файла отсутствует, то будет использовано имя
> входного "
> "файла; '-' — вывод в STDOUT\n"
> 
> (Точка с запятой и тире.)
> 
> 
> 
> Поставила

Точку с запятой в файле вижу, тире - нет.

В принципе, можно переформулировать:

"Если имя выходного файла отсутствует, то будет использовано имя входного 
файла; укажите «-» для вывода в STDOUT\n"

> оставила английские - вот эти - кавычки (они не будут показаны
> пользователю)
> 
> `%s': неизвестный отступ

Будут показаны, почему нет?

> msgstr ""
> "Использование: %s [ПАРАМЕТРЫ] [ВХОДНОЙ ФАЙЛ]\n"
> "\n"
> "параметры:\n"

Возможно, "параметры" здесь стоит писать с прописной буквы несмотря на 
оригинал?

Re: [DONE] wml://{security/2010/dsa-1992.wml}

[Gali Anikina]

В Ср, 28/03/2018 в 16:45 +0500, Lev Lamberov пишет:
> Ср 28 мар 2018 @ 14:29 Gali Anikina :
> 
> > В chronyd отсутствует
> > управление ограничением скорости передачи данных syslog при
> > журналировании получаемых пакетов от неавторизованных узлов. Это
> > позволяет злоумышленнику организовать отказ в обслуживании путём
> > повторяющейся отправки некорректных cmdmon-пакетов и следовательно
> > заполнения журналов, а таким образом быстрого использования всего
> > имеющегося дискового пространства.
> 
> Да, это лучше. Сделал так:
> 
> Это позволяет злоумышленнику вызывать отказ в обслуживании путём
> повторяющейся отправки некорректных cmdmon-пакетов, что приводит к
> заполнению журналов, а таким образом и использованию всего дискового
> пространства.

O`key, отлично!

Re: acheck_Version 0.5.5____ru.po

[Алексей Шилин]

В письме от среда, 28 марта 2018 г. 13:00:11 MSK пользователь Lev Lamberov 
написал:
> Кстати, тут в оригинале эти обе строки имеют специально одинаковую
> длину, 8 символов (благодаря пробелам). В переводе они обе имеют 9
> символов. Не уверен, но может быть убрать по одному пробелу из них?

В оригинале - 9, а в переводе - 10. Но по коду я не вижу, как это могло бы 
повлиять на выполнение программы. Скорее всего, это сделано просто для 
выравнивания, и в таком случае можно использовать любое одинаковое число 
символов.

Re: acheck_Version 0.5.5____ru.po

[Алексей Шилин]

В письме от вторник, 27 марта 2018 г. 21:22:43 MSK пользователь Lev Lamberov 
написал:
> > #: ../acheck:1163 ../acheck:1167
> > msgid "Aspell Perl module not found, spelling check cancelled."
> > msgstr "Модуль Perl aspell не найден, проверка правописания отменена."
> 
> 
> Алексей уже писал, что тут вместо запятой должно быть двоеточие. См.
> параграф 161 в http://new.gramota.ru/spravka/rules/157-dvoe

Всё же не двоеточие, а тире. Здесь вторая часть является следствием первой, а 
не причиной.

Re: [DONE] wml://{security/2018/dsa-4146.wml}

[Lev Lamberov]

Ср 28 мар 2018 @ 14:30 Gali Anikina :

> В Ср, 28/03/2018 в 12:16 +0500, Lev Lamberov пишет:
>> Ср 28 мар 2018 @ 07:43 Gali Anikina :
>> 
>> > > +Plexus выполняет недостаточное закавычивание дважды кодированных
>> > > +строк, что приводит к выполнению произвольных команд командной
>> > > оболочки.
>> > 
>> > к выполнению произвольных команд командной
>> > > оболочки
>> > 
>> > может быть "к выполнению произвольных команд оболочки пользователя"
>> > ?
>> > 
>> > так как дважды упоминается слово команда
>> 
>> Это не оболочка пользователя. Тут может быть "командный процессор",
>> "командная оболочка", "интерпретатор команд". Из этих вариантов мне
>> больше нравится "командная оболочка". От "команд" два раза не уйти.
>
>
> может быть так-
> приводит к выполнению произвольных операций командной оболочки

Нет, слово "операция" тут не подходит. То, о чём идёт речь, называется
"командой". Может быть вместе звучит не очень, но придётся оставить так,
чтобы не потерять точность перевода.

[DONE] wml://security/2018/dsa-4154.wml

[Lev Lamberov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- ../../english/security/2018/dsa-4154.wml  2018-03-28 14:22:51.0 
+0500
+++ 2018/dsa-4154.wml   2018-03-28 16:50:02.419122931 +0500
@@ -1,25 +1,26 @@
- -security update
+#use wml::debian::translation-check translation="1.1" mindelta="1"
+обновление 
безопасности
 
- -A heap corruption vulnerability was discovered in net-snmp, a suite of
- -Simple Network Management Protocol applications, triggered when parsing
- -the PDU prior to the authentication process. A remote, unauthenticated
- -attacker can take advantage of this flaw to crash the snmpd process
- -(causing a denial of service) or, potentially, execute arbitrary code
- -with the privileges of the user running snmpd.
+В net-snmp, наборе приложений Simple Network Management 
Protocol, было
+обнаружено повреждение содержимого 
памяти, возникающее при выполнении 
грамматического
+разбора PDU до запуска процесса 
аутентификации. Удалённый 
неаутентифицированный
+злоумышленник может использовать эту 
уязвимость для аварийной остановки 
процесса snmpd
+(что приводит к отказу в обслуживании) или 
потенциального выполнения произвольного 
кода
+с правами пользователя, запустившего snmpd.
 
- -For the oldstable distribution (jessie), these problems have been fixed
- -in version 5.7.2.1+dfsg-1+deb8u1.
+В предыдущем стабильном выпуске (jessie) эти 
проблемы были исправлены
+в версии 5.7.2.1+dfsg-1+deb8u1.
 
- -For the stable distribution (stretch), these problems have been fixed
- -before the initial release.
+В стабильном выпуске (stretch) эти проблемы 
были исправлены
+до изначального выпуска.
 
- -We recommend that you upgrade your net-snmp packages.
+Рекомендуется обновить пакеты net-snmp.
 
- -For the detailed security status of net-snmp please refer to its
- -security tracker page at:
- -https://security-tracker.debian.org/tracker/net-snmp;>https://security-tracker.debian.org/tracker/net-snmp
+С подробным статусом поддержки 
безопасности net-snmp можно ознакомиться на
+соответствующей странице отслеживания 
безопасности по адресу
+https://security-tracker.debian.org/tracker/net-snmp;>\
+https://security-tracker.debian.org/tracker/net-snmp
 
 
 # do not modify the following line
 #include "$(ENGLISHDIR)/security/2018/dsa-4154.data"
- -# $Id: dsa-4154.wml,v 1.1 2018/03/28 09:22:51 carnil Exp $
-BEGIN PGP SIGNATURE-
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=Hx88
-END PGP SIGNATURE-

Re: [DONE] wml://{security/2010/dsa-1992.wml}

[Lev Lamberov]

Ср 28 мар 2018 @ 14:29 Gali Anikina :

> В chronyd отсутствует
> управление ограничением скорости передачи данных syslog при
> журналировании получаемых пакетов от неавторизованных узлов. Это
> позволяет злоумышленнику организовать отказ в обслуживании путём
> повторяющейся отправки некорректных cmdmon-пакетов и следовательно
> заполнения журналов, а таким образом быстрого использования всего
> имеющегося дискового пространства.

Да, это лучше. Сделал так:

Это позволяет злоумышленнику вызывать отказ в обслуживании путём
повторяющейся отправки некорректных cmdmon-пакетов, что приводит к
заполнению журналов, а таким образом и использованию всего дискового
пространства.

Re: [DONE] wml://{security/2018/dsa-4146.wml}

[Gali Anikina]

В Ср, 28/03/2018 в 12:16 +0500, Lev Lamberov пишет:
> Ср 28 мар 2018 @ 07:43 Gali Anikina :
> 
> > > +Plexus выполняет недостаточное закавычивание дважды кодированных
> > > +строк, что приводит к выполнению произвольных команд командной
> > > оболочки.
> > 
> > к выполнению произвольных команд командной
> > > оболочки
> > 
> > может быть "к выполнению произвольных команд оболочки пользователя"
> > ?
> > 
> > так как дважды упоминается слово команда
> 
> Это не оболочка пользователя. Тут может быть "командный процессор",
> "командная оболочка", "интерпретатор команд". Из этих вариантов мне
> больше нравится "командная оболочка". От "команд" два раза не уйти.


может быть так-
приводит к выполнению произвольных операций командной оболочки

Re: [DONE] wml://{security/2010/dsa-1992.wml}

[Gali Anikina]

В Ср, 28/03/2018 в 12:11 +0500, Lev Lamberov пишет:
> 
> > > из-за заполнения журналов
> > 
> > может быть "из-за переполнения журналов"
> 
> Журнал не может переполнится, так как у журнала в данном случае нет
> ограничений. Он может только занять всё место на диске. Мне не
> нравится
> ни свой, ни ваш варианты. Честно сказать, не могу придумать, как
> сделать
> лучше.
> 
> Спасибо!


Может быть так-

 https://security-tracker.debian.org/tracker/CVE-2010-
0294">CVE-2010-0294
 
- -  chronyd lacks of a rate limit control
to the syslog facility when logging
- -  received packets from
unauthorized hosts.  This allows an attacker to
- -  cause denial of
service conditions via filling up the logs and thus disk
- -  space by
repeatedly sending invalid cmdmon packets.
+ 

В chronyd
отсутствует управление ограничением скорости передачи данных syslog при
журналировании получаемых пакетов от неавторизованных узлов. Это
позволяет злоумышленнику вызывать отказ в обслуживании из-за заполнения
журналов, а таким образом и дискового пространства, путём повторяющейся
отправки некорректных cmdmon-пакетов.
 
 



В chronyd отсутствует
управление ограничением скорости передачи данных syslog при
журналировании получаемых пакетов от неавторизованных узлов. Это
позволяет злоумышленнику организовать отказ в обслуживании путём
повторяющейся отправки некорректных cmdmon-пакетов и следовательно
заполнения журналов, а таким образом быстрого использования всего
имеющегося дискового пространства.

Re: Системы управления сервером?

[Artem Chuprina]

artiom -> debian-russian@lists.debian.org  @ Tue, 27 Mar 2018 23:35:21 +0300:

 >>  >>  >> В идеале пишутся тесты. Часть заранее, часть по мере наступания на
 >>  >>  >> грабли :) Код на Haskell и Scala даже и не тестируется 
 >> автомагически,
 >>  >>  >> настолько мало там багов, что написание тестов не окупается.
 >>  >>  >> 
 >>  >>  > Ну это две параллельные задачи. Часто тесты нельзя написать.
 >>  >> 
 >>  >> Если тесты нельзя написать, то код негодный. Другое дело, что на
 >>  >> написание тестов не всегда хватает ресурса.
 >>  >> 
 >>  > Ну почему сразу "код"? А взаимодействие с аппаратурой? Моки каждый раз
 >>  > делать?
 >> 
 >> Не каждый. Для unit-тестирования да, а для acceptance подключать
 >> аппаратуру, ага.
 >> 
 > А она бажная. Как факт. Потому что тоже разрабатывается.

Именно поэтому для acceptance, или, точнее, для integration, ее надо подключать.

 >>  >> Если более тысячи программистов отвечают за одно место в коде, код
 >>  >> работать не будет. В больших конторах за каждое место в коде отвечает
 >>  >> очень небольшое количество людей, а протоколы взаимодействия между кодом
 >>  >> разных отделов компактны.
 >>  >> 
 >>  >>  >> За коммитами джуниоров просто присматривают вручную. Недолго, 
 >> человек
 >>  >>  >> либо обучается, либо идет искать работу в другом месте.
 >>  >>  >> 
 >>  >>  > Да тут вопрос не о джуниорах. Всё сложнее. Но, в любом случае, код
 >>  >>  > сложный, хотелось бы видеть, что уйдёт в репозиторий.
 >>  >> 
 >>  >> В одной из контор у нас были любители почитать код, уходящий в
 >>  >> репозиторий. Ну, репозиторий был настроен так, чтобы рассылать коммиты
 >>  >> желающим. По почте. Тем же способом присматривали за джуниорами.
 >>  >> 
 >>  > Примерно так и есть, но почта заменяется ccollab (или, в общем случае,
 >>  > любым web интерфейсом), и код не проходит в репозиторий без одобрения.
 >> 
 >> Тут важный момент - не веб или почта "код не проходит в репозиторий без
 >> одобрения". У нас проходил. Мой point в том, что проблем от этого не
 >> происходит.
 >> 
 > Возможно. Надо подумать над этим. Раньше я даже не предполагал такой
 > практики.

Собственно, системы управления версиями придуманы ровно для этой
ситуации.  Чтобы заменить трехслойную бюрократию ревью, которая работает
месяц, но тоже пропускает баги, возможностью найти и откатить изменение,
если оно оказалось неудачным.

А чтобы неудачное изменение не долетело до заказчика, существует
релизный цикл.  И ревью его необходимости не отменяет.

 >>  >> Практика показывает, что читать код _до_ попадания в репозиторий - не
 >>  >> очень хорошая идея. Благо репозиторий позволяет, если что, откатить.
 >>  >> 
 >>  > Но сборки уже будут собраны и отправлены на тестирование, так не лучше
 >>  > ли - не допустить?
 >>  > Какая практика?
 >>  > В чём нехорошесть данной идеи?
 >> 
 >> Тормозной путь. Между моментом изменения кода и моментом, когда код
 >> будет изменен, проходит время.
 > Как минус, так и плюс.

В течение этого времени в системе присутствуют и старые, и новые баги.
Где плюс?

 >> Либо это очень большое время, либо
 >> ревьюер работает с частыми прерываниями. Если у него содержательная
 >> работа не обезьянья, то частые прерывания очень сильно снижают его
 >> продуктивность. Так и так изрядно падает КПД.
 >>
 > Ну, допустим, пара дней на ревью - это большое время?

Офигительно.  За это время я успею еще много чего сделать, и оно будет
пересекаться по коду с теми изменениями, и если изменение не примут как
есть, то попытка что-то там подкрутить приведет к конфликтам с точки
зрения VCS.  А разбор конфликта - одно из самых багопродуцирующих
действий.  И результатом его оказывается патч, разбираться в котором -
уже два полных рабочих дня, а не просто задержка на пару дней.

 > Да, с прерываниями. Но сложно постоянно концентрироваться на ревью и
 > ждать ответов автора (который в этом время уже над другим работает), к
 > тому же, ревьюверов бывает несколько.

Я про прерывания не процесса ревью, а про прерывания процесса своей
работы необходимостью ревью.  Для ревью надо загрузить в голову контекст
той задачи, к которой относится просматриваемый код.  Он там неизбежно
заменит контекст своей задачи.  После ревью придется снова грузить свой.
Это время, и в случае сложной задачи весьма изрядное.  От 15 минут до
часа каждая перегрузка, а их тут две.

 >>  >> Это вот понятное употребление ревью. Очень громоздкое, но цена ошибки
 >>  >> там такова, что оно окупается.
 >>  >> 
 >>  > В случае того, что есть сейчас, коммиты тоже обосновываются: к ним
 >>  > привязана задача, после чего проверяются (перед репозиторием).
 >> 
 >> А "в случае того, что есть сейчас" непонятно, окупается ли этот
 >> тормозной путь.
 >> 
 > Продукт окупается.
 > "Тормозной путь", скорее всего, да.
 > Не от хорошей жизни, а из-за некоторых разработчиков и сжатых сроков.

Вот тут уже сомнения.  Если сжатые сроки, то потеря в среднем получаса
на каждое ревью...  Это какие же должны быть разработчики, чтобы оно
окупалось?

 >>  >>  >>  

Re: acheck_Version 0.5.5____ru.po

[Lev Lamberov]

Ср 28 мар 2018 @ 06:55 Gali Anikina :

> msgid "ERROR"
> msgstr "ОШИБКА"
>
> #: ../Common.pm:110
> msgid "WARNING  "
> msgstr "ВНИМАНИЕ  "

Кстати, тут в оригинале эти обе строки имеют специально одинаковую
длину, 8 символов (благодаря пробелам). В переводе они обе имеют 9
символов. Не уверен, но может быть убрать по одному пробелу из них?

В остальном, как мне кажется, всё хорошо.

Re: [DONE] wml://{security/2018/dsa-4146.wml}

[Lev Lamberov]

Ср 28 мар 2018 @ 07:43 Gali Anikina :

>> +Plexus выполняет недостаточное закавычивание дважды кодированных
>> +строк, что приводит к выполнению произвольных команд командной
>> оболочки.
>
> к выполнению произвольных команд командной
>> оболочки
>
> может быть "к выполнению произвольных команд оболочки пользователя" ?
>
> так как дважды упоминается слово команда

Это не оболочка пользователя. Тут может быть "командный процессор",
"командная оболочка", "интерпретатор команд". Из этих вариантов мне
больше нравится "командная оболочка". От "команд" два раза не уйти.

Re: [DONE] wml://{security/2010/dsa-1992.wml}

[Lev Lamberov]

Ср 28 мар 2018 @ 07:40 Gali Anikina :


>> +В chrony, паре программ, используемых для контроля точности
>> системных часов
>
> Может быть так - 
>
> В паре программ chrony, используемых для контроля точности системных
> часов компьютера, было обнаружено несколько уязвимостей.

Если так, то смысл будет примерно такой: "есть несколько программ, а в
двух из них...". Это не то. Исправил на "В chrony, парной программе...".

> написано
>   с поддельным адресом и портом источника
>
> а так?
> с поддельными адресом и портом источника

> что приводит к исчерпанию памяти
>
> может быть
> что приводит к полному использованию памяти
>
> Слово "исчерпать" на мой взгляд довольно редко изменяют так свободно,
> как другие слова в русском языке

В этом контексте слова "исчерпать", "исчерпание" используют, см. в
поиске по запросу "исчерпание памяти".

>> из-за заполнения журналов
>
> может быть "из-за переполнения журналов"

Журнал не может переполнится, так как у журнала в данном случае нет
ограничений. Он может только занять всё место на диске. Мне не нравится
ни свой, ни ваш варианты. Честно сказать, не могу придумать, как сделать
лучше.

Спасибо!

Re: [DONE] wml://security/2012/dsa-2567.wml

[Lev Lamberov]

Ср 28 мар 2018 @ 07:13 Gali Anikina :

> Несколько различных уязвимостей в процессе обработки GnuPG позволяют
> злоумышленникам создать ситуацию, при которой RT некорректно
> подписывает исходящую почту.
>
> или
>
> Несколько различных уязвимостей в процессе обработки GnuPG позволяют
> злоумышленникам вызвать ситуацию, при которой RT некорректно
> подписывает исходящую почту.
>
>
> позволяют - настоящее время
>
> вызывать ситуацию, -тоже настоящее время
>
> Думаю, что здесь надо использовать будущее время-так как это позволит
> "в будущем" создать проблемы для пользователя

Злоумышленник создаёт ситуацию, в этой ситуации выполняется неправильное
подписывание. То есть, оно не обязательно в будущем, оно одновременно с
ситуацией.

Сделал так: "Несколько различных уязвимостей в процессе обработки GnuPG
позволяют злоумышленникам создавать ситуацию, при которой RT некорректно
подписывает исходящую почту."

Спасибо за предложенные варианты!

Re: [DONE] wml://security/2018/dsa-4151.wml

[Lev Lamberov]

Ср 28 мар 2018 @ 07:01 Gali Anikina :
>
> "которое возникает в ходе проверки сертификатов x509"
> переполнение - оно

Исправил. Спасибо!