看起来这个分析已经非常的详细了。有两种方法: 1. 申请TC会议的topic进行决策,不过要到两周以后了。 2. 你写的内容已经比较清晰了,可以直接提交PR进行审核,把邮件的内容附在PR中。
你可以选择一种方式。
在 2020-09-17 11:37:05,"songnannan (A)" songnannan2@huawei.com 写道:
Hi All:
目前openEuler 社区中存在jasper软件包,包含master分支和20.09分支,不涉及20.03-LTS分支(之前删除过)。由于jasper的上游社区的owner有在评论中声明不继续维护,考虑从openEuler中移除该包,因此申请会议裁决。
目标:在openEuler社区中移除jasper。
移除具体原因:
1、 上游社区的owner在此issue中明确表示,无资金在继续维护jasper
https://github.com/mdadams/jasper/issues/208
2、 当前jasper含有大量的高分CVE,比如:CVE-2018-19541 、CVE-2018-19540 、CVE-2018-19542等12个高分CVE
3、 关于jasper的功能介绍:
Jasper提供了jpeg2000格式的图像处理、转换等功能,openjpeg2已经提供此功能了。目前都是由于dcraw的构建依赖引入。
4、 Jasper删除的历史影响:
(1) 当前jasper不存在20.03-LTS版本中,是因为在2020.01.23第一次删除,同时也去除了openeuler里涉及的软件包。
(2) 当前jasper被引入的原因是dcraw被引入到openeuler,jasper作为dcraw的构建依赖再次被引入openeuler中,当前该依赖线已经解除。
5、 其他OS厂商的情况:suse也已经发表声明去除jasper,fedora未去除(他们认为相关的cve属于低分,不处理)。
