Sicherheitsupdates für das Universum-Repository für LTS-Releases?

9

Was passiert, wenn vier Jahre nach der Version 12.04 LTS ein Sicherheitsproblem in einem Paket im Universum-Repository vorliegt? Wird das Paket von Upstream aktualisiert, gepatcht oder in Ruhe gelassen?

Nach meinem Verständnis gelten die "5 Jahre Support- und Sicherheitsupdates" nur für den Kern von Ubuntu - alles im Haupt-Repository. Nicht für Dinge im Universum-Repository.

Ein genaueres Beispiel: Wenn ich Ruby jetzt installiere und es für die nächsten Jahre am 12.04 verwenden möchte und eine Sicherheitslücke aufweist; Während dies im Upstream gepatcht sein könnte (so dass ich immer das Neueste von der Website herunterladen und selbst kompilieren oder eine PPA verwenden könnte), wird dieses Upstream-Update in die genauen Paket-Repositorys migriert? Was ist mit Backports?

updates package-management security lts Nick May
quelle

Antworten:

6

Pakete im Universum werden von der Community gepflegt. Ob sie Sicherheitsupdates erhalten oder nicht, hängt ganz von der Community ab, die sie verwendet.

Anweisungen zum Bereitstellen von Sicherheitsupdates für Pakete in Universe finden Sie hier:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

Grundsätzlich kann jeder einen Fehler melden, einen Debdiff anhängen, das Ubuntu-Security-Sponsors-Team abonnieren, und jemand aus dem Team wird ihn sich ansehen, um sicherzustellen, dass er in Ordnung ist, und ihn dann im Archiv sponsern.

mdeslaur
quelle
4

Das von Ihnen bereitgestellte Beispiel Ruby befindet sich im Hauptrepository und wird fünf Jahre lang unterstützt:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

Siehe auch meine Antwort auf "Hat 12.04 LXDE LTS?" und Wie erhalte ich eine Liste von Nicht-LTS-Paketen, die effizient installiert werden? .

Für Software von Universum, ist es nicht einmal offiziell unterstützt überhaupt , allein für fünf Jahre lassen. Aus dem Community-Wiki zu den Repositories :

Canonical bietet keine Garantie für regelmäßige Sicherheitsupdates für Software in der Universumskomponente, stellt diese jedoch dort zur Verfügung, wo sie von der Community zur Verfügung gestellt werden.

Es ist jedoch zu erwarten, dass die meisten schwerwiegenden Probleme bei beliebten Paketen von der Community gepatcht werden, die die Software im Universum verwaltet . Nur keine Garantien.

Für die Backports bin ich der Meinung, dass diese nicht in der Produktion verwendet werden sollten.

gertvdijk
quelle