Mises à jour de sécurité pour le référentiel d'univers pour les versions LTS?

9

Que se passe-t-il en cas de problème de sécurité dans un package du référentiel de l'univers quatre ans après la version 12.04 LTS; le package sera-t-il mis à jour en amont, corrigé ou laissé seul?

Je crois comprendre que les «5 ans de mises à jour de support et de sécurité» s'appliquent uniquement au cœur d'Ubuntu - tout ce qui se trouve dans le référentiel principal. Pas pour les choses dans le référentiel Universe.

Pour un exemple plus spécifique - si j'installe Ruby maintenant, et que je veux l'utiliser pour les prochaines années le 12.04 et qu'il a une vulnérabilité de sécurité; bien que cela puisse être corrigé en amont (afin que je puisse toujours télécharger la dernière de leur site Web et le compiler moi-même ou utiliser un PPA), ce correctif en amont sera-t-il migré dans les référentiels de packages précis? Et les backports?

updates  package-management  security  lts 
Nick May
source

Réponses:

6

Les packages dans Univers sont gérés par la communauté. Qu'ils obtiennent ou non des mises à jour de sécurité dépend entièrement de la communauté qui les utilise.

Les instructions pour contribuer aux mises à jour de sécurité pour les packages dans Univers sont ici:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

Fondamentalement, n'importe qui peut déposer un bogue, attacher un debdiff, abonner l'équipe ubuntu-security-sponsors et quelqu'un de l'équipe l'examinera pour s'assurer qu'il est correct, puis le sponsorise dans l'archive.

mdeslaur
source
4

L'exemple que vous avez fourni, Ruby, se trouve dans le référentiel principal et est pris en charge pendant cinq ans:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

Voir aussi ma réponse à "12.04 LXDE at-il un LTS?" et Comment puis-je obtenir une liste des packages non LTS installés efficacement? .

Pour les logiciels de l' univers, il est même pas officiellement pris en charge du tout , et encore moins pendant cinq ans. Du Community Wiki sur les référentiels :

Canonical ne fournit pas de garantie de mises à jour de sécurité régulières pour les logiciels du composant Univers, mais les fournira là où elles sont mises à disposition par la communauté.

Cependant, vous pouvez vous attendre à ce que les problèmes les plus graves sur les packages populaires soient corrigés par la communauté qui gère le logiciel dans l' univers . Juste aucune garantie.

Pour les rétroportages, je pense que ceux-ci ne devraient pas être utilisés dans la production.

gertvdijk
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.