| 1 |
20.06.2014 13:10, Alexander Y. Tiurin пишет: |
| 2 |
> |
| 3 |
> On Mon, 16 Jun 2014 13:35:00 +0400 |
| 4 |
> Sergey Popov <pinkbyte@g.o> wrote: |
| 5 |
> |
| 6 |
>> 14.06.2014 22:31, Alex Efros пишет: |
| 7 |
>>> Hi! |
| 8 |
>>> |
| 9 |
>>> А что вообще происходит с GLEP:57-60? Файлы Manifest вроде как |
| 10 |
>>> подписаны, но, по-моему, эти подписи никто не проверяет. И я не |
| 11 |
>>> смог найти доку как включить проверку подписей. Единственное, что |
| 12 |
>>> удалось найти - вариант с использованием emerge-webrsync[1] вместо |
| 13 |
>>> emerge --sync, но я бы предпочёл продолжить использовать emerge |
| 14 |
>>> --sync (а точнее eix-sync, который его вызывает). Кроме того, не |
| 15 |
>>> понятно как быть с подписями в оверлеях - их-то точно |
| 16 |
>>> emerge-webrsync не скачает, и что делать если разработчик оверлея |
| 17 |
>>> подписывает ebuild-ы и хочется его подписи тоже проверять (или |
| 18 |
>>> считается, что раз у оверлеев нет зеркал, то и смысла в |
| 19 |
>>> подписывании тоже нет)? |
| 20 |
>>> |
| 21 |
>>> [1] |
| 22 |
>>> http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=2&chap=3#doc_chap6 |
| 23 |
>>> |
| 24 |
>> |
| 25 |
>> В данный момент я думаю всё же никак, если только не импортировать все |
| 26 |
>> ключи разработчиков отсюда[1] в локальный keyring. |
| 27 |
>> |
| 28 |
>> Ведётся разработка gentoo-keys[2], где по идее должна быть подобная |
| 29 |
>> фича. Но недостаток людей очень остро бъёт по скорости реализации фич. |
| 30 |
>> |
| 31 |
>> Это не разгильдяйство, как тут заметили, это банальная нехватка |
| 32 |
>> рабочих рук, страничка "Требуется" не даст соврать[3] :-( |
| 33 |
>> |
| 34 |
>> С security последнее время начались подвижки(благодаря мне и еще |
| 35 |
>> нескольким новеньким там), но там просто чёртова прорва работы, на |
| 36 |
>> которую меня уже начинает нехватать. |
| 37 |
>> |
| 38 |
>> [1] - http://www.gentoo.org/proj/en/devrel/roll-call/userinfo.xml |
| 39 |
>> [2] - http://wiki.gentoo.org/wiki/Project:Gentoo-keys |
| 40 |
>> [3] - http://wiki.gentoo.org/wiki/Project:Gentoo/Staffing_Needs |
| 41 |
>> |
| 42 |
> |
| 43 |
> В чем прорва заключается, можно чуть подробнее? Нам опять грозит |
| 44 |
> отсутствие GLSA как это было ЕМНИП год или два назад? |
| 45 |
> |
| 46 |
> |
| 47 |
|
| 48 |
Прорва заключается в том, что мы закрываем за месяц 100 багов, а |
| 49 |
открывается их 200(условно). И уследить за всеми ними от начала и до |
| 50 |
конца(апстрим-коммит, релиз или снапшот, ебилд, стабилизация, GLSA, |
| 51 |
закрытие бага) очень сложно. |
| 52 |
|
| 53 |
А еще security-аудит, который тоже нужно как бы проводить периодически, да. |
| 54 |
|
| 55 |
Про hardened я даже не заикаюсь - там отдельная команда, у них тоже |
| 56 |
головной боли хватает. |
| 57 |
|
| 58 |
-- |
| 59 |
Best regards, Sergey Popov |
| 60 |
Gentoo developer |
| 61 |
Gentoo Desktop Effects project lead |
| 62 |
Gentoo Qt project lead |
| 63 |
Gentoo Proxy maintainers project lead |
Archives