Из Fedora будут исключать пакеты с неисправленными уязвимостями

28 августа 2018 года

На состоявшемся сегодня заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, утверждено предложение по удалению из репозиториев пакетов, в которых остаются незакрытыми уязвимости.

В частности, пакеты будут помечаться кандидатами на удаление, если в момент ответвления ветки для нового релиза Fedora у них имеются активные уведомления об опасных или критических уязвимостях, неисправленные в течение 4 недель. Для уязвимостей средней и низкой степени опасности удаление будет производиться в случае отсутствия исправления на протяжении 6 месяцев. Далее в течение 8 недель мэйнтейнерам будет направляться еженедельные предупреждение о наличии неисправленных проблем. Если после истечение этого срока уязвимость не будет закрыта, пакет будет удалён из репозитория.

В настоящее время в репозитории находится несколько сотен уведомлений об уязвимостях, незакрытых более 6 месяцев. Данные уведомления затрагивают такие пакеты, как cpio, jenkins, xchat, rubygem-bundler, xen, busybox, scala, tcpdump, openjpeg, libtiff, ImageMagick, asterisk, sylpheed, texlive, webkitgtk, abiword, glibc, ghostscript, git, chromium, php и т.п. В большинстве случаев уведомления неактуальны, так как описанные в них уязвимости уже устранены в добавленных в репозитории новых выпусках. Тем не менее, сообщения о проблемах остаются незакрытыми и требуют ревизии.