> А еслиИсключения не отменяли. :)
> "выделенные люди" будут просто пинать мейнтейнера и ждать, когда он выйдет из анабиоза?
Обычно дают таймаут на ответ и сообщают свои предполагаемые дальнейшие планы.
>>> Вы, видимо, предлагаете до загрузки пакетов исключить из public все:
>> Для некоторых видов дырок -- да, именно так.
> и принцип "мы не скрываем проблем" - это "правило" (вообще, часть конституции).
Вот здесь и у меня есть претензия к отмазывающим. Лучше уж отмалчивались бы...
>> Ваш покорный слуга несколько раз такие обновления готовил
> В одиночку?
Нет, координированно и при поддержке security@.
>>> вы никак не устраните лаг между выходом DSA и обновлением пакетов у [...]
>> Конечно, но vulnerability window уменьшится.
> А вы так уверены?
Да.
> Вы думаете, они молча ждут каждый раз, когда мейнтейнер выпустит апдейт
Вы существенно более оптимистичного мнения о нынешних хостерах, такое было более характерным лет десять тому. Хотя могу сгущать краски, не имея достаточной полноты информации.
>>> Так что лично я за то, чтобы о проблемах знали как можно скорее не только те
>>> "кому надо" - но и конечные пользователи (например, я).
>> Зачем именно?
> Затем, к примеру, что ваши пользователи могут быть квалифицированнее вас.
> Не приходило такое в голову?
Мои-то регуляно :-) Но для пользы от такой информации нужно ещё много чего помимо квалификации.
>> Вот и я говорю, что ни при чём и слово "зависящие" неудачно употребили.
> Ну, я даже не знаю:
Если ABI не едет, пересобирать ни к чему. Хотите -- верьте, хотите -- проверьте.
>>> и для openssh, к примеру, был выпущен апдейт, чтобы все это дело вылечить.
>> Конкретно по openssh -- не "вылечить", а влепить чёрный список
> Это я и назвал "вылечить".
(занудно) Это не вылечить. :) Это заткнуть один из наиболее вероятных векторов атаки для случая длины ключей по умолчанию, помнится.