[ubuntu-it-dev] Re: Proposta nuovo gruppo legato ad ubuntu-it-dev
Luca Falavigna
dktrkranz a ubuntu.com
Ven 7 Mar 2008 08:27:55 GMT
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Come ho già detto a Emanuele, sono contrario.
Distribuire backport comporta un rischio calcolato, nel senso che
eventuali regression/problemi possono essere risolti nel ramo di
sviluppo e poi nuovamente backportati; i nuovi pacchetti, invece, devono
essere installati su precisa richiesta dell'utente, in caso di problemi
è sempre possibile rimuoverli senza danneggiare il sistema.
Distribuire fix o aggiornamenti di sicurezza in via ufficiosa può
portare a conseguenze spiacevoli. Cosa succede nel caso in cui una patch
vada a risolvere un bug, ma ne inneschi un altro? Si rischia di
compromettere diverse installazioni e creare spam su Launchpad.
Durante l'ufficializzazione di Ubuntu-it-dev, il Consiglio ci ha fatto
una domanda specifica per quanto riguarda i rischi per gli utenti. Ho
risposto che, distribuendo solo backport di pacchetti già presenti nella
distribuzione di sviluppo e nuovo software, il rischio di creare danno è
molto limitato per il semplice fatto che non ci sarebbero state pesanti
modifiche da parte nostra. In questo modo le cose cambierebbero
radicalmente perchè andremmo a mettere mano nei pacchetti di una
distribuzione stabile con fix potenzialmente a rischio. Il gioco non
vale la candela e si rischia di rimanere bruciati.
Il problema è la velocità del processo con cui vengono rilasciati i fix
di sicurezza? Non è (concedetemi il giochino di parole) mettendoci una
pezza a livello italiano che le cose si aggiustano, ma il tema va
affrontato a livello internazionale, chiedendo di ampliare il numero di
addetti all'upload diretto dei fix di sicurezza o altre soluzioni.
Un esempio viene da quento è stato fatto per la parte che più mi
interessa nello sviluppo: gli SRU. Ero insoddisfatto di come venivano
gestiti a causa della lunghezza dei tempi di approvazione e di verifica.
Si è discusso della questione in diversi meeting e ora sono parte di
motu-sru (approvazione), MOTU (upload) e sru-verification (verifica) e
ho contribuito nella riduzione del collo di bottiglia dato che
attualmente ci sono solo quattro SRU per Universe in attesa di verifica
[1] e una dozzina [2] in attesa di approvazione.
Vogliamo far crescere e formare persone per l'upload in -security? Se ci
sono interessati, lo si può fare benissimo nell'ambito di Ubuntu-it-dev,
perchè non mi sembra che ci si diletti nell'arte del punto croce qui :)
[1] http://people.ubuntu.com/~ubuntu-archive/pending-sru.html
[2] http://launchpad.net/~motu-sru/+bugs
My 500 €uros.
- --
Luca Falavigna
Ubuntu MOTU Developer
GPG Key: 0x86BC2A50
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.8 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iEYEARECAAYFAkfQ/IsACgkQnXjXEYa8KlAcOACeM7J0jmFxdew2e04EWaLKBcc8
UEoAn0bw1Gu+SA+3fHN+97TGAIK6Thop
=cXDS
-----END PGP SIGNATURE-----
Maggiori informazioni sulla lista
Gruppo-Sviluppo