在 2020-09-17 11:37:05，"songnannan (A)" <songnannan2@huawei.com> 写道：

Hi All:

 

目前openEuler 社区中存在jasper软件包，包含master分支和20.09分支，不涉及20.03-LTS分支（之前删除过）。由于jasper的上游社区的owner有在评论中声明不继续维护，考虑从openEuler中移除该包，因此申请会议裁决。

 

目标：在openEuler社区中移除jasper。

 

移除具体原因：

1、  上游社区的owner在此issue中明确表示，无资金在继续维护jasper

https://github.com/mdadams/jasper/issues/208

2、  当前jasper含有大量的高分CVE，比如：CVE-2018-19541 、CVE-2018-19540 、CVE-2018-19542等12个高分CVE

3、  关于jasper的功能介绍：

Jasper提供了jpeg2000格式的图像处理、转换等功能，openjpeg2已经提供此功能了。目前都是由于dcraw的构建依赖引入。

4、  Jasper删除的历史影响：

（1）       当前jasper不存在20.03-LTS版本中，是因为在2020.01.23第一次删除，同时也去除了openeuler里涉及的软件包。

（2）       当前jasper被引入的原因是dcraw被引入到openeuler，jasper作为dcraw的构建依赖再次被引入openeuler中，当前该依赖线已经解除。

5、  其他OS厂商的情况：suse也已经发表声明去除jasper，fedora未去除（他们认为相关的cve属于低分，不处理）。