Nic*_*ick 9 updates lts package-management security
如果在 12.04 LTS 发布四年后,Universe 存储库中的某个包出现安全问题,会发生什么情况;包是从上游更新、打补丁还是单独留下?
我的理解是“5 年的支持和安全更新”仅适用于 Ubuntu 的核心——主存储库中的任何内容。不适用于 Universe 存储库中的内容。
举一个更具体的例子——如果我现在安装 Ruby,并且想在接下来的几年里在 12.04 上使用它并且它有一个安全漏洞;虽然这可能会在上游修补(所以我总是可以从他们的网站下载最新的并自己编译或使用 PPA),但这个上游修复会迁移到精确的包存储库中吗?反向移植呢?
小智 7
Universe 中的包由社区维护。他们是否获得安全更新完全取决于使用它们的社区。
为 Universe 中的包提供安全更新的说明在这里:
https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update
基本上,任何人都可以提交错误,附加 debdiff,订阅 ubuntu-security-sponsors 团队,团队中的某个人会查看它以确保它没问题,然后将其赞助到存档。
您提供的示例 Ruby 位于主存储库中,并且支持五年:
$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y
另请参阅我对“12.04 LXDE 是否具有 LTS?”的回答。以及如何获取有效安装的非 LTS 软件包列表?.
对于来自宇宙的软件,它甚至没有正式支持在所有的,更不用说五年。从存储库上的社区 Wiki:
Canonical 不为 Universe 组件中的软件提供定期安全更新的保证,但会在社区提供这些更新时提供这些更新。
但是,您可以预料到在Universe 中维护软件的社区正在修补的流行软件包上会出现最严重的问题。只是没有保证。
对于向后移植,我的观点是这些不应在生产中使用。
| 归档时间: |
|
| 查看次数: |
1391 次 |
| 最近记录: |