申报议题:openEuler 多版本软件包CVE 修复策略讨论

目前 openEuler 代码仓中存在同一软件多个版本的情况。如redis 就有:

https://gitee.com/src-openeuler/redis

https://gitee.com/src-openeuler/redis5

https://gitee.com/src-openeuler/redis6

 

在修复CVE时发现了一个问题,比如 CVE-2021-32626 redis 上没有修复补丁,在redis5 redis6 有修复补丁。如果将 redis 升级到5.x 6.x , 又和原有的redis5redis6 重复了。

同时,发布安全公告就比较复杂,redis 未修复、redis5redis6 已修复,但实际上 redis5redis6 又是同一个软件。

 

想讨论一下,这种情况  redis redis5 是否可以放到 oepkg EPOL 中,只保留 redis6 everything 中,保障 redis6 的漏洞修复。

 

类似存在多版本的软件还有很多比如

mozjs52 mozjs60mozjs68mozjs72

 

From: Zhuyanpeng [mailto:zhuyanpeng@huawei.com]
Sent: Tuesday, November 2, 2021 9:59 AM
To: openEuler conference <public@openeuler.org>; dev@openeuler.org; release@openeuler.org; community@openeuler.org; tc@openeuler.org
Subject: [Tc] 议题收集//答复: [Dev] openEuler Release Sig双周例会

 

 

 

发件人: openEuler conference [mailto:public@openeuler.org]
发送时间: 2021112 9:37
收件人: dev@openeuler.com; release@openeuler.com; community@openeuler.com; tc@openeuler.com
主题: [Dev] openEuler Release Sig双周例会

 

您好!

openEuler sig-release-management SIG 邀请您参加 2021-11-04 10:00 召开的ZOOM会议(自动录制)

会议主题:openEuler Release Sig双周例会

会议链接:https://us06web.zoom.us/j/83445316535?pwd=dVZJandRV1RwRVF5K0tuS2dzWXU0QT09

温馨提醒:建议接入会议后修改参会人的姓名,也可以使用您在gitee.comID

更多资讯尽在:https://openeuler.org/zh/

 

Hello!

openEuler sig-release-management SIG invites you to attend the ZOOM conference(auto recording) will be held at 2021-11-04 10:00,

The subject of the conference is openEuler Release Sig双周例会,

You can join the meeting at https://us06web.zoom.us/j/83445316535?pwd=dVZJandRV1RwRVF5K0tuS2dzWXU0QT09.

Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.

More information