1 |
20.06.2014 13:10, Alexander Y. Tiurin пишет: |
2 |
> |
3 |
> On Mon, 16 Jun 2014 13:35:00 +0400 |
4 |
> Sergey Popov <pinkbyte@g.o> wrote: |
5 |
> |
6 |
>> 14.06.2014 22:31, Alex Efros пишет: |
7 |
>>> Hi! |
8 |
>>> |
9 |
>>> А что вообще происходит с GLEP:57-60? Файлы Manifest вроде как |
10 |
>>> подписаны, но, по-моему, эти подписи никто не проверяет. И я не |
11 |
>>> смог найти доку как включить проверку подписей. Единственное, что |
12 |
>>> удалось найти - вариант с использованием emerge-webrsync[1] вместо |
13 |
>>> emerge --sync, но я бы предпочёл продолжить использовать emerge |
14 |
>>> --sync (а точнее eix-sync, который его вызывает). Кроме того, не |
15 |
>>> понятно как быть с подписями в оверлеях - их-то точно |
16 |
>>> emerge-webrsync не скачает, и что делать если разработчик оверлея |
17 |
>>> подписывает ebuild-ы и хочется его подписи тоже проверять (или |
18 |
>>> считается, что раз у оверлеев нет зеркал, то и смысла в |
19 |
>>> подписывании тоже нет)? |
20 |
>>> |
21 |
>>> [1] |
22 |
>>> http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=2&chap=3#doc_chap6 |
23 |
>>> |
24 |
>> |
25 |
>> В данный момент я думаю всё же никак, если только не импортировать все |
26 |
>> ключи разработчиков отсюда[1] в локальный keyring. |
27 |
>> |
28 |
>> Ведётся разработка gentoo-keys[2], где по идее должна быть подобная |
29 |
>> фича. Но недостаток людей очень остро бъёт по скорости реализации фич. |
30 |
>> |
31 |
>> Это не разгильдяйство, как тут заметили, это банальная нехватка |
32 |
>> рабочих рук, страничка "Требуется" не даст соврать[3] :-( |
33 |
>> |
34 |
>> С security последнее время начались подвижки(благодаря мне и еще |
35 |
>> нескольким новеньким там), но там просто чёртова прорва работы, на |
36 |
>> которую меня уже начинает нехватать. |
37 |
>> |
38 |
>> [1] - http://www.gentoo.org/proj/en/devrel/roll-call/userinfo.xml |
39 |
>> [2] - http://wiki.gentoo.org/wiki/Project:Gentoo-keys |
40 |
>> [3] - http://wiki.gentoo.org/wiki/Project:Gentoo/Staffing_Needs |
41 |
>> |
42 |
> |
43 |
> В чем прорва заключается, можно чуть подробнее? Нам опять грозит |
44 |
> отсутствие GLSA как это было ЕМНИП год или два назад? |
45 |
> |
46 |
> |
47 |
|
48 |
Прорва заключается в том, что мы закрываем за месяц 100 багов, а |
49 |
открывается их 200(условно). И уследить за всеми ними от начала и до |
50 |
конца(апстрим-коммит, релиз или снапшот, ебилд, стабилизация, GLSA, |
51 |
закрытие бага) очень сложно. |
52 |
|
53 |
А еще security-аудит, который тоже нужно как бы проводить периодически, да. |
54 |
|
55 |
Про hardened я даже не заикаюсь - там отдельная команда, у них тоже |
56 |
головной боли хватает. |
57 |
|
58 |
-- |
59 |
Best regards, Sergey Popov |
60 |
Gentoo developer |
61 |
Gentoo Desktop Effects project lead |
62 |
Gentoo Qt project lead |
63 |
Gentoo Proxy maintainers project lead |