Из Fedora будут исключать пакеты с неисправленными уязвимостями

На состоявшемся сегодня заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, утверждено предложение по удалению из репозиториев пакетов, для которых остаются не закрытыми уязвимости.

В частности, пакеты будут помечаться кандидатами на удаление, если в момент ответвления ветки для нового релиза у них имеются активные уведомления об опасных или критических уязвимостях, неисправленные в течение 4 недель. Для уязвимостей средней и низкой степени опасности удаление будет производиться в случае отсутствия исправления на протяжении 6 месяцев. Далее в течение 8 недель мэйнтейнерам будет направляться еженедельные предупреждение о наличии неисправленных проблем. Если после истечение этого срока уязвимость не будет закрыта, пакет будет удален из репозитория.

В настоящее время в репозитории находится несколько сотен с прошлого года незакрытых уведомления об уязвимостях, затрагивающих такие пакеты, как cpio, jenkins, xchat, rubygem-bundler, xen, busybox, scala, tcpdump, openjpeg, libtiff, ImageMagick, asterisk, sylpheed, texlive, webkitgtk, abiword, glibc, ghostscript, git, chromium, php и т. п. В большинстве случаев уведомления неактуальны, так как описанные в них уязвимости уже устранены в добавленных в репозитории новых выпусках. Тем не менее, сообщения о проблемах остаются не закрытыми и требуют ревизии.