Pembaruan keamanan untuk repositori semesta untuk rilis LTS?


9

Apa yang terjadi jika ada masalah keamanan dalam paket di repositori semesta empat tahun setelah rilis 12,04 LTS; apakah paket akan diperbarui dari hulu, ditambal, atau dibiarkan sendiri?

Ini pemahaman saya bahwa "5 tahun pembaruan dukungan & keamanan" hanya berlaku untuk inti Ubuntu - apa pun di repositori Utama. Bukan untuk hal-hal di repositori Universe.

Untuk contoh yang lebih spesifik - jika saya menginstal Ruby sekarang, dan ingin menggunakannya untuk beberapa tahun ke depan pada 12.04 dan memiliki kerentanan keamanan; sementara ini mungkin ditambal di hulu (jadi saya selalu bisa mengunduh yang terbaru dari situs web mereka dan kompilasi sendiri atau menggunakan PPA), akankah perbaikan hulu ini dimigrasikan ke dalam repositori paket yang tepat? Bagaimana dengan backport?

Jawaban:


6

Paket di Universe dikelola oleh komunitas. Apakah mereka mendapatkan pembaruan keamanan atau tidak sepenuhnya tergantung pada komunitas yang menggunakannya.

Petunjuk untuk berkontribusi pembaruan keamanan untuk paket di Universe ada di sini:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

Pada dasarnya, siapa pun dapat mengajukan bug, melampirkan debdiff, berlangganan tim ubuntu-security-sponsor dan seseorang dari tim akan melihatnya untuk memastikan tidak apa-apa, dan kemudian mensponsori ke arsip.


4

Contoh yang Anda berikan, Ruby, ada di repositori utama dan didukung selama lima tahun:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

Lihat juga jawaban saya untuk "Apakah 12,04 LXDE memiliki LTS?" dan Bagaimana cara saya mendapatkan daftar paket non-LTS yang diinstal secara efisien? .

Untuk perangkat lunak dari jagat raya, bahkan tidak didukung secara resmi sama sekali , apalagi selama lima tahun. Dari Wiki Komunitas di repositori :

Canonical tidak memberikan jaminan pembaruan keamanan reguler untuk perangkat lunak dalam komponen semesta, tetapi akan menyediakan ini di mana mereka disediakan oleh komunitas.

Namun, Anda dapat mengharapkan masalah paling parah pada paket populer yang ditambal oleh komunitas yang memelihara perangkat lunak di alam semesta . Hanya tidak ada jaminan.

Untuk backports , pandangan saya adalah bahwa ini tidak boleh digunakan dalam produksi.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.