Atualizações de segurança para o repositório Universe para lançamentos LTS?

9

O que acontece se houver um problema de segurança em um pacote no repositório do universo quatro anos após o lançamento do 12.04 LTS; o pacote será atualizado a partir do upstream, corrigido ou deixado sozinho?

Entendo que os "5 anos de atualizações de suporte e segurança" se aplicam apenas ao núcleo do Ubuntu - qualquer coisa no repositório Principal. Não é para coisas no repositório Universe.

Para um exemplo mais específico - se eu instalar o Ruby agora e quiser usá-lo pelos próximos anos no 12.04 e ele tiver uma vulnerabilidade de segurança; Embora isso possa ser corrigido no upstream (para que eu possa sempre baixar o mais recente do site deles e compilá-lo por conta própria ou usar um PPA), essa correção do upstream será migrada para os repositórios de pacotes precisos? E os backports?

updates package-management security lts Nick May
fonte

Respostas:

6

Pacotes no Universo são mantidos pela comunidade. A obtenção ou não de atualizações de segurança depende inteiramente da comunidade que as utiliza.

As instruções para contribuir com atualizações de segurança para pacotes no Universe estão aqui:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

Basicamente, qualquer pessoa pode registrar um bug, anexar um debdiff, inscrever-se na equipe de patrocinadores do ubuntu-security e alguém da equipe analisará para garantir que está tudo bem e depois patrociná-lo no arquivo.

mdeslaur
fonte
4

O exemplo que você forneceu, Ruby, está no repositório principal e é suportado por cinco anos:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

Veja também minha resposta para "12.04 LXDE possui LTS?" e Como obtenho uma lista de pacotes não LTS instalados com eficiência? .

Para o software de universo, não é mesmo oficialmente suportado em tudo , muito menos por cinco anos. No Wiki da comunidade nos repositórios :

A Canonical não oferece garantia de atualizações regulares de segurança para o software no componente universo, mas as fornece onde elas são disponibilizadas pela comunidade.

No entanto, você pode esperar que problemas mais graves em pacotes populares sejam corrigidos pela comunidade, mantendo o software no universo . Apenas sem garantias.

Para os backports, minha opinião é que eles não devem ser usados ​​na produção.

gertvdijk
fonte