临时TC会议纪要:
【与会人】:陈亚强、胡峰、江裕民、缪开波、李永强、宋楠楠 【会议时间】:2020.09.18 10:40 -11:00
【会议结论】:同意将jasper移除openeuler,先放在cycle组内,后续跟随openeuler节奏彻底删除
【会议纪要】: 1、openjpeg当前已经提供jpeg2000图形格式的处理和转换:https://bugzilla.redhat.com/show_bug.cgi?id=1553235 2、当前jasper先放入cycle组内,后续跟随openeuler节奏(半年或一年)彻底删除 3、此类删除的软件包需要有个列表,以便于后续跟踪和防止再次引入。目前cycle是否会永久存在? --- 责任人:胡欣蔚 完成时间:待定 4、关于jasper的cve状态标记,与颜小兵和朱建伟商议状态,是标记成已拒绝还是已挂起。 --- 责任人:宋楠楠, 完成时间:2020.09.18
发件人: myeuler [mailto:myeuler@163.com] 发送时间: 2020年9月17日 15:45 收件人: songnannan (A) songnannan2@huawei.com 抄送: tc@openeuler.org; dev@openeuler.org; Chenxiang (EulerOS) rose.chen@huawei.com; Yanan (Euler) yanan@huawei.com; Luzhihao (luzhihao, Euler) luzhihao@huawei.com; Hexiaowen (Hex, EulerOS) hexiaowen@huawei.com; Licihua licihua@huawei.com; Zengweifeng (Weifeng Zeng) zwfeng@huawei.com; Zhaowei (EulerOS) zhaowei23@huawei.com; shenyangyang shenyangyang4@huawei.com; Zhuchunyi zhuchunyi@huawei.com; chenyaqiang chenyaqiang@huawei.com; liyongqiang (H) liyongqiang10@huawei.com; Jiangyumin (Jimmy) jiangyumin@huawei.com; Hufeng (Solar, Euler) solar.hu@huawei.com 主题: Re:[Tc] 在TC会议中申请openEuler社区移除jasper
看起来这个分析已经非常的详细了。有两种方法: 1. 申请TC会议的topic进行决策,不过要到两周以后了。 2. 你写的内容已经比较清晰了,可以直接提交PR进行审核,把邮件的内容附在PR中。
你可以选择一种方式。
在 2020-09-17 11:37:05,"songnannan (A)" <songnannan2@huawei.commailto:songnannan2@huawei.com> 写道: Hi All:
目前openEuler 社区中存在jasper软件包,包含master分支和20.09分支,不涉及20.03-LTS分支(之前删除过)。由于jasper的上游社区的owner有在评论中声明不继续维护,考虑从openEuler中移除该包,因此申请会议裁决。
目标:在openEuler社区中移除jasper。
移除具体原因:
1、 上游社区的owner在此issue中明确表示,无资金在继续维护jasper
https://github.com/mdadams/jasper/issues/208
[cid:image001.jpg@01D68DAB.E84A0F20]
2、 当前jasper含有大量的高分CVE,比如:CVE-2018-19541 、CVE-2018-19540 、CVE-2018-19542等12个高分CVE
3、 关于jasper的功能介绍:
Jasper提供了jpeg2000格式的图像处理、转换等功能,openjpeg2已经提供此功能了。目前都是由于dcraw的构建依赖引入。
4、 Jasper删除的历史影响:
(1) 当前jasper不存在20.03-LTS版本中,是因为在2020.01.23第一次删除,同时也去除了openeuler里涉及的软件包。
[cid:image002.jpg@01D68DAB.E84A0F20]
(2) 当前jasper被引入的原因是dcraw被引入到openeuler,jasper作为dcraw的构建依赖再次被引入openeuler中,当前该依赖线已经解除。
[cid:image003.png@01D68DAB.E84A0F20]
5、 其他OS厂商的情况:suse也已经发表声明去除jasper,fedora未去除(他们认为相关的cve属于低分,不处理)。
