Hlavní navigace

Názor ke zprávičce Linux Mint stále hazarduje s bezpečností od Filip Jirsák - Pochybuju, že u běžného balíčku správce v Debianu...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 22. 12. 2016 18:20

    Filip Jirsák

    Pochybuju, že u běžného balíčku správce v Debianu nebo RHELu věnuje zdrojákům spravovaného programu víc času, než jeho upstream programátor. A co vím, je u takových balíčků problém, aby se o to vůbec někdo staral. Představa, jak upstream vývojář stráví čtyři hodiny opravou nějaké chyby, a pak se na to vrhnou správci a QA jednotlivých distribucí, backportují to a otestují a věnují tomu řádově víc času, než ten upstream vývojář, je sice hezká, ale nemyslím, že by byla z tohoto světa. Ona by pak byla otázka, proč by se ti správci nevěnovali přímo upstreamu, a také jestli by bylo efektivní, aby se menšina energie vynakládala na vývoj a údržbu samotného programu, a většina energie by se vynakládala na vytváření dočasných upravených verzí toho programu.

    Nepočítám tedy s tím, že by takový správce byl lepší analytik/kodér/QA/au­ditor, než co má k dispozici ta konkrétní distribuce.
    Jenže stejně tak většinou platí, že správce distribučního balíku zpravidla není lepší analytik/QA/au­ditor, než co má k dispozici upstream. Předpokládám, že takové OpenSSL bude mít od distribučních správců spíš dost nadprůměrnou péči, přesto žádný distribuční analytik/odér/QA/au­ditor za celou dobu neodhalil, jaký průšvih OpenSSL je. Takže se nezdá, že by ta distribuční péče byla výrazně lepší, než jakou tomu věnoval upstream.

    Že je to nejvýhodnější z hlediska stability, o tom právě pochybuju. Vznikají tak unikátní verze programů a unikátní kombinace, které testuje a používá méně lidí - to jde proti stabilitě. Navíc často vznikají ve spěchu - upstream může opravu chyby, která ještě není známá, ladit třeba týdny, ale když opravu vydají, distribuce ji potřebuje backportovat co nejdřív. Mohou už dříve spolupracovat s upstreamem, ale také nemusí. A jisté není ani to, jak moc se ty patchované verze používají - jestli se u těch stabilních distribucí nedrží původní verze většiny softwaru i se známými bezpečnostními chybami a neaktualizuje se jenom pár vybraných komponent, případně zda se pro důležité věci nepoužívají vlastní sestavení.