Обновления безопасности для хранилища юниверсов для выпусков LTS?

9

Что произойдет, если в пакете в хранилище юниверса возникнут проблемы с безопасностью через четыре года после выпуска 12.04 LTS; будет ли пакет обновлен из апстрима, исправлен или оставлен в покое?

Насколько я понимаю, «5 лет обновлений поддержки и безопасности» относятся только к ядру Ubuntu - что угодно в основном репозитории. Не для вещей в хранилище Вселенной.

Для более конкретного примера - если я установлю Ruby сейчас и захочу использовать его в течение следующих нескольких лет, 12.04, и у него будет уязвимость безопасности; хотя это может быть исправлено в апстриме (так что я всегда могу скачать последнюю версию с их сайта и скомпилировать ее самостоятельно или использовать PPA), будет ли это апстрим исправление перенесено в точные репозитории пакетов? Как насчет бэкпортов?

Ник Мэй
источник

Ответы:

6

Пакеты во Вселенной поддерживаются сообществом. Будут ли они получать обновления безопасности, полностью зависит от сообщества, которое их использует.

Инструкции по внесению обновлений безопасности для пакетов в Universe находятся здесь:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

По сути, любой может сообщить об ошибке, прикрепить debdiff, подписаться на команду ubuntu-security-спонсоров, и кто-то из команды посмотрит на нее, чтобы убедиться, что она в порядке, а затем спонсировать ее в архив.

mdeslaur
источник
4

Предоставленный вами пример, Ruby, находится в основном репозитории и поддерживается в течение пяти лет:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

См. Также мой ответ на вопрос: «Есть ли в 12.04 LXDE LTS?» и Как я могу получить список не-LTS пакетов, установленных эффективно? ,

Для программного обеспечения , от Вселенной, это даже не поддерживается официально вообще , не говоря уже в течение пяти лет. Из вики сообщества на репозитории :

Canonical не предоставляет гарантии регулярных обновлений безопасности для программного обеспечения в компоненте юниверса, но предоставляет их там, где они предоставляются сообществом.

Тем не менее, вы можете ожидать наиболее серьезные проблемы с исправлениями популярных пакетов сообществом, поддерживающим программное обеспечение в юниверсе . Просто никаких гарантий.

Для бэкпортов я считаю, что они не должны использоваться в производстве.

gertvdijk
источник