web-dev-qa-db-fra.com

Mises à jour de sécurité pour le référentiel d'univers pour les versions LTS?

Que se passe-t-il s'il y a un problème de sécurité dans un paquet du référentiel d'univers quatre ans après la publication de la version 12.04 de LTS? le paquet sera-t-il mis à jour depuis l'amont, corrigé ou laissé seul?

D'après ce que j'ai compris, les "5 années de mises à jour de support et de sécurité" s'appliquent uniquement au noyau d'Ubuntu - tout élément du référentiel principal. Pas pour les choses dans le référentiel Univers.

Pour un exemple plus spécifique - si j’installe Ruby maintenant et que je veux l’utiliser pendant les prochaines années le 12.04 et que cela pose un problème de sécurité; Bien que cela puisse être corrigé en amont (pour que je puisse toujours télécharger la dernière version de leur site Web et le compiler moi-même ou utiliser un PPA), ce correctif en amont sera-t-il migré dans les référentiels de packages précis? Qu'en est-il des backports?

9
Nick May

Les packages dans Universe sont gérés par la communauté. Qu'ils obtiennent ou non des mises à jour de sécurité dépend entièrement de la communauté qui les utilise.

Les instructions pour contribuer aux mises à jour de sécurité pour les paquets dans Universe sont ici:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

En gros, n'importe qui peut créer un bogue, attacher un debdiff, inscrire l'équipe d'ubuntu-security-sponsors et un membre de l'équipe l'examinera pour s'assurer que tout va bien, puis le parrainera pour les archives.

6
mdeslaur

L'exemple que vous avez fourni, Ruby, se trouve dans le référentiel principal et est pris en charge pendant cinq ans:

$ apt-cache show Ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/Ruby-defaults/Ruby_4.8_all.deb
Supported: 5y

Voir aussi ma réponse à "Est-ce que 12.04 LXDE a un LTS?" et Comment puis-je obtenir une liste de paquets non-LTS installés efficacement? .

Pour les logiciels d'univers, ils ne sont même pas officiellement supportés , encore moins pendant cinq ans. Depuis le Wiki de la communauté sur les référentiels :

Canonical ne garantit pas la disponibilité régulière de mises à jour de sécurité pour les logiciels du composant univers, mais les fournira là où elles sont mises à disposition par la communauté.

Cependant, vous pouvez vous attendre à ce que les problèmes les plus graves concernant les paquetages populaires soient corrigés par la communauté gérant le logiciel dans un univers . Juste aucune garantie.

Pour les backports , j’estime qu’ils ne devraient pas être utilisés en production.

4
gertvdijk