Que se passe-t-il s'il y a un problème de sécurité dans un paquet du référentiel d'univers quatre ans après la publication de la version 12.04 de LTS? le paquet sera-t-il mis à jour depuis l'amont, corrigé ou laissé seul?
D'après ce que j'ai compris, les "5 années de mises à jour de support et de sécurité" s'appliquent uniquement au noyau d'Ubuntu - tout élément du référentiel principal. Pas pour les choses dans le référentiel Univers.
Pour un exemple plus spécifique - si j’installe Ruby maintenant et que je veux l’utiliser pendant les prochaines années le 12.04 et que cela pose un problème de sécurité; Bien que cela puisse être corrigé en amont (pour que je puisse toujours télécharger la dernière version de leur site Web et le compiler moi-même ou utiliser un PPA), ce correctif en amont sera-t-il migré dans les référentiels de packages précis? Qu'en est-il des backports?
Les packages dans Universe sont gérés par la communauté. Qu'ils obtiennent ou non des mises à jour de sécurité dépend entièrement de la communauté qui les utilise.
Les instructions pour contribuer aux mises à jour de sécurité pour les paquets dans Universe sont ici:
https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update
En gros, n'importe qui peut créer un bogue, attacher un debdiff, inscrire l'équipe d'ubuntu-security-sponsors et un membre de l'équipe l'examinera pour s'assurer que tout va bien, puis le parrainera pour les archives.
L'exemple que vous avez fourni, Ruby, se trouve dans le référentiel principal et est pris en charge pendant cinq ans:
$ apt-cache show Ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/Ruby-defaults/Ruby_4.8_all.deb
Supported: 5y
Voir aussi ma réponse à "Est-ce que 12.04 LXDE a un LTS?" et Comment puis-je obtenir une liste de paquets non-LTS installés efficacement? .
Pour les logiciels d'univers, ils ne sont même pas officiellement supportés , encore moins pendant cinq ans. Depuis le Wiki de la communauté sur les référentiels :
Canonical ne garantit pas la disponibilité régulière de mises à jour de sécurité pour les logiciels du composant univers, mais les fournira là où elles sont mises à disposition par la communauté.
Cependant, vous pouvez vous attendre à ce que les problèmes les plus graves concernant les paquetages populaires soient corrigés par la communauté gérant le logiciel dans un univers . Juste aucune garantie.
Pour les backports , j’estime qu’ils ne devraient pas être utilisés en production.