[ubuntu-it-dev] Re: Proposta nuovo gruppo legato ad ubuntu-it-dev

[Emanuele Gentili]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Presupponendo che comunque l'eventuale gruppo locale avrebbe
contribuito in prima persona, dopo aver letto storia passata ed idee
supplementari, sento di condividere la vostra idea, forse anche piu'
logica.
Vedremo cosa si riuscirà a fare per -security, magari prendendo spunto
dall'evoluzione di motu-SRU
direi che la discussione puo' ritenersi chiusa :)

Grazie a tutti.

Emanuele Gentili

Luca Falavigna ha scritto:
> Come ho già detto a Emanuele, sono contrario.
>
> Distribuire backport comporta un rischio calcolato, nel senso che
> eventuali regression/problemi possono essere risolti nel ramo di
> sviluppo e poi nuovamente backportati; i nuovi pacchetti, invece,
> devono essere installati su precisa richiesta dell'utente, in caso
> di problemi è sempre possibile rimuoverli senza danneggiare il
> sistema.
>
> Distribuire fix o aggiornamenti di sicurezza in via ufficiosa può
> portare a conseguenze spiacevoli. Cosa succede nel caso in cui una
> patch vada a risolvere un bug, ma ne inneschi un altro? Si rischia
> di compromettere diverse installazioni e creare spam su Launchpad.
>
> Durante l'ufficializzazione di Ubuntu-it-dev, il Consiglio ci ha
> fatto una domanda specifica per quanto riguarda i rischi per gli
> utenti. Ho risposto che, distribuendo solo backport di pacchetti
> già presenti nella distribuzione di sviluppo e nuovo software, il
> rischio di creare danno è molto limitato per il semplice fatto che
> non ci sarebbero state pesanti modifiche da parte nostra. In questo
> modo le cose cambierebbero radicalmente perchè andremmo a mettere
> mano nei pacchetti di una distribuzione stabile con fix
> potenzialmente a rischio. Il gioco non vale la candela e si rischia
> di rimanere bruciati.
>
> Il problema è la velocità del processo con cui vengono rilasciati i
> fix di sicurezza? Non è (concedetemi il giochino di parole)
> mettendoci una pezza a livello italiano che le cose si aggiustano,
> ma il tema va affrontato a livello internazionale, chiedendo di
> ampliare il numero di addetti all'upload diretto dei fix di
> sicurezza o altre soluzioni.
>
> Un esempio viene da quento è stato fatto per la parte che più mi
> interessa nello sviluppo: gli SRU. Ero insoddisfatto di come
> venivano gestiti a causa della lunghezza dei tempi di approvazione
> e di verifica. Si è discusso della questione in diversi meeting e
> ora sono parte di motu-sru (approvazione), MOTU (upload) e
> sru-verification (verifica) e ho contribuito nella riduzione del
> collo di bottiglia dato che attualmente ci sono solo quattro SRU
> per Universe in attesa di verifica [1] e una dozzina [2] in attesa
> di approvazione.
>
> Vogliamo far crescere e formare persone per l'upload in -security?
> Se ci sono interessati, lo si può fare benissimo nell'ambito di
> Ubuntu-it-dev, perchè non mi sembra che ci si diletti nell'arte del
> punto croce qui :)
>
> [1] http://people.ubuntu.com/~ubuntu-archive/pending-sru.html [2]
> http://launchpad.net/~motu-sru/+bugs
>
> My 500 ¬uros.
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iQEVAwUBR9ELM4dIcUD/0QBsAQK1qAf+L4/R1JP2s4qRMMLUrUKU3UEqp70ujsp7
uvGoebZ6R8RhNvLVeRbYGKS24fZIb0cXskXigh0YrviqpKs2Kiqxp/ct1stMrVHe
6PQ9nGJb80c6I7Tu8VaW0KBJkGt+wViL8qJru0yhCo9MpTQpOmJFzCrWA05mvFRY
wFgZDvyFhnVVKwL/5GwNpSBfbBAyDZjfU5BvqmuItw111EUhx7QvDvWgQn3uzIaq
d8cTjK2vhMehQWY7aUG0yzp4I2afcVCOiqKmopesGsh5Om7+oMWx7l0YAMpE2Fqf
gJJWizwi7+/60pEkgC7t5ybqEDhY3N4M1P2NRYqPmYOlzUEoabRoVw==
=z+q/
-----END PGP SIGNATURE-----