Cập nhật bảo mật cho kho vũ trụ cho các bản phát hành LTS?

9

Điều gì xảy ra nếu có vấn đề bảo mật trong một gói trong kho vũ trụ bốn năm sau khi phát hành 12.04 LTS; gói sẽ được cập nhật từ thượng nguồn, vá, hoặc để lại một mình?

Theo hiểu biết của tôi thì "5 năm cập nhật hỗ trợ và bảo mật" chỉ áp dụng cho lõi của Ubuntu - mọi thứ trong kho chính. Không cho những thứ trong kho vũ trụ.

Để có một ví dụ cụ thể hơn - nếu tôi cài đặt Ruby ngay bây giờ và muốn sử dụng nó trong vài năm tới vào ngày 12.04 và nó có một lỗ hổng bảo mật; trong khi điều này có thể được vá ở thượng nguồn (vì vậy tôi luôn có thể tải xuống bản mới nhất từ ​​trang web của họ và tự biên dịch hoặc sử dụng PPA), bản sửa lỗi ngược dòng này có được di chuyển vào kho lưu trữ gói chính xác không? Còn về backport thì sao?

updates  package-management  security  lts 
Nick tháng năm
nguồn

Câu trả lời:

6

Các gói trong vũ trụ được duy trì cộng đồng. Việc họ có nhận được cập nhật bảo mật hay không hoàn toàn phụ thuộc vào cộng đồng sử dụng chúng.

Hướng dẫn đóng góp cập nhật bảo mật cho các gói trong Vũ trụ có tại đây:

https://wiki.ubfox.com/SecurityTeam/UpdateProcedures#Preparing_an_update

Về cơ bản, bất kỳ ai cũng có thể gửi lỗi, đính kèm một bản sửa lỗi, đăng ký nhóm nhà tài trợ bảo mật ubfox và ai đó trong nhóm sẽ xem xét để đảm bảo rằng nó ổn, sau đó tài trợ cho kho lưu trữ.

mdeslaur
nguồn
4

Ví dụ bạn cung cấp, Ruby, nằm trong kho lưu trữ chính và được hỗ trợ trong năm năm:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

Xem thêm câu trả lời của tôi cho "12.04 LXDE có LTS không?" và làm cách nào để có được danh sách các gói không LTS được cài đặt hiệu quả? .

Đối với phần mềm từ vũ trụ, nó thậm chí không được hỗ trợ chính thức chút nào , nói gì đến năm năm. Từ Wiki cộng đồng trên các kho lưu trữ :

Canonical không đảm bảo cập nhật bảo mật thường xuyên cho phần mềm trong thành phần vũ trụ, nhưng sẽ cung cấp những nơi mà chúng được cộng đồng cung cấp.

Tuy nhiên, bạn có thể mong đợi hầu hết các sự cố nghiêm trọng trên các gói phổ biến đang được vá bởi cộng đồng duy trì phần mềm trong vũ trụ . Chỉ là không đảm bảo.

Đối với các backport quan điểm của tôi là những cái này không nên được sử dụng trong sản xuất.

gertvdijk
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.