Mises à jour de sécurité pour le référentiel d'univers pour les versions LTS?

9

Que se passe-t-il en cas de problème de sécurité dans un package du référentiel de l'univers quatre ans après la version 12.04 LTS; le package sera-t-il mis à jour en amont, corrigé ou laissé seul?

Je crois comprendre que les «5 ans de mises à jour de support et de sécurité» s'appliquent uniquement au cœur d'Ubuntu - tout ce qui se trouve dans le référentiel principal. Pas pour les choses dans le référentiel Universe.

Pour un exemple plus spécifique - si j'installe Ruby maintenant, et que je veux l'utiliser pour les prochaines années le 12.04 et qu'il a une vulnérabilité de sécurité; bien que cela puisse être corrigé en amont (afin que je puisse toujours télécharger la dernière de leur site Web et le compiler moi-même ou utiliser un PPA), ce correctif en amont sera-t-il migré dans les référentiels de packages précis? Et les backports?

updates package-management security lts Nick May
la source

Réponses:

6

Les packages dans Univers sont gérés par la communauté. Qu'ils obtiennent ou non des mises à jour de sécurité dépend entièrement de la communauté qui les utilise.

Les instructions pour contribuer aux mises à jour de sécurité pour les packages dans Univers sont ici:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

Fondamentalement, n'importe qui peut déposer un bogue, attacher un debdiff, abonner l'équipe ubuntu-security-sponsors et quelqu'un de l'équipe l'examinera pour s'assurer qu'il est correct, puis le sponsorise dans l'archive.

mdeslaur
la source
4

L'exemple que vous avez fourni, Ruby, se trouve dans le référentiel principal et est pris en charge pendant cinq ans:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

Voir aussi ma réponse à "12.04 LXDE at-il un LTS?" et Comment puis-je obtenir une liste des packages non LTS installés efficacement? .

Pour les logiciels de l' univers, il est même pas officiellement pris en charge du tout , et encore moins pendant cinq ans. Du Community Wiki sur les référentiels :

Canonical ne fournit pas de garantie de mises à jour de sécurité régulières pour les logiciels du composant Univers, mais les fournira là où elles sont mises à disposition par la communauté.

Cependant, vous pouvez vous attendre à ce que les problèmes les plus graves sur les packages populaires soient corrigés par la communauté qui gère le logiciel dans l' univers . Juste aucune garantie.

Pour les rétroportages, je pense que ceux-ci ne devraient pas être utilisés dans la production.

gertvdijk
la source