Aggiornamenti di sicurezza per il repository universe per le versioni LTS?

9

Cosa succede se c'è un problema di sicurezza in un pacchetto nel repository dell'universo quattro anni dopo la versione LTS 12.04; il pacchetto verrà aggiornato da upstream, patchato o lasciato solo?

Comprendo che i "5 anni di supporto e aggiornamenti di sicurezza" si applicano solo al nocciolo di Ubuntu - qualsiasi cosa nel repository principale. Non per cose nel repository Universe.

Per un esempio più specifico, se installo Ruby ora e voglio utilizzarlo per i prossimi anni su 12.04 e presenta una vulnerabilità di sicurezza; mentre questo potrebbe essere corretto nell'upstream (in modo da poter sempre scaricare l'ultimo dal loro sito Web e compilarlo da solo o utilizzare un PPA), questa correzione a monte verrà migrata nei repository di pacchetti precisi? E i backport?

updates  package-management  security  lts 
Nick May
fonte

Risposte:

6

I pacchetti nell'universo sono gestiti dalla comunità. Il fatto che ricevano o meno aggiornamenti di sicurezza dipende interamente dalla comunità che li utilizza.

Le istruzioni per contribuire agli aggiornamenti di sicurezza per i pacchetti nell'universo sono qui:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

Fondamentalmente, chiunque può presentare un bug, allegare un debdiff, iscrivere il team di ubuntu-security-sponsor e qualcuno del team lo guarderà per assicurarsi che sia ok, quindi sponsorizzarlo nell'archivio.

mdeslaur
fonte
4

L'esempio che hai fornito, Ruby, è nel repository principale ed è supportato per cinque anni:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

Vedi anche la mia risposta a "LXDE 12.04 ha LTS?" e come posso ottenere un elenco di pacchetti non LTS installati in modo efficiente? .

Per il software dall'universo, non è nemmeno supportato affatto ufficialmente , figuriamoci per cinque anni. Dal Wiki della community sui repository :

Canonical non fornisce una garanzia di aggiornamenti di sicurezza regolari per il software nel componente dell'universo, ma li fornirà laddove resi disponibili dalla comunità.

Tuttavia, ci si può aspettare che i problemi più gravi relativi ai pacchetti più diffusi vengano patchati dalla community mantenendo il software nell'universo . Solo nessuna garanzia.

Per i backport la mia opinione è che questi non dovrebbero essere usati in produzione.

gertvdijk
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.