[FLUG] Re: Package management
- From: BlueRaven <blueraven@xxxxxxxxx>
- To: fanolug@xxxxxxxxxxxxx
- Date: Thu, 8 May 2003 09:25:37 +0200
Mailing List del Fortunae LUG
=============================
On Tue, May 06, 2003 at 03:44:21PM +0200, Filippo Carletti wrote:
> > Sapevo della policy di Debian di limitarsi ai fix di sicurezza, ma
> > pensavo che non si spingessero al punto di rendere - per loro stessa
> > ammissione! - inutile un software.
> Snort e' inutile per definizione ! :-)
Mi rendo disponibile anche io per la flame war live. :-)
> > offerta dall'ottimo sistema di pacchetti e poi, che diamine, se devo
> > usare i sorgenti allora uso Slackware o Gentoo!
> * Temo che la traduzione della parola "sources" nel brano riportato vada
> intesa come "fonti" e non come sorgenti.
Uhm... hai ragione, potrebbe anche essere intesa così, ma IMHO non cambia la
sostanza del discorso.
Per come la vedo io, le patch di sicurezza le deve fornire la distribuzione,
non una terza parte.
E' vero che neanche la distribuzione dà garanzie che la patch funzioni a
dovere, ma c'è sicuramente un processo di testing più approfondito e si
tratta, comunque, di un qualcosa di ufficiale.
> > L'uso di pacchetti non ufficiali e non testati mi pare ugualmente
> > sconsigliabile, può andare bene per l'utenza casalinga, non certo per
> > macchine di produzione.
> Infatti si preoccupano loro stessi di prepararli (capoverso successivo del
> brano quotato).
Secondo me è irrilevante, sono sempre dei pacchetti a parte rispetto alla
distribuzione, che non puoi installare con le procedure abituali.
Mi spiego meglio: Debian ti dice che, inserendo in sources.list la riga
relativa ai security update, puoi mantenere la distribuzione sempre al passo
con i tempi per quanto riguarda la sicurezza.
Non vedo perché, per qualche pacchetto, debbano esistere delle eccezioni e
soprattutto perché la ricerca e l'installazione dei pacchetti in questione
siano lasciate all'iniziativa dell'utente.
OK, li preparano loro e ti avvisano, ma non ti vengono installati tramite il
semplice apt-get update && apt-get upgrade... è il principio che non mi
piace.
> > Usare unstable o testing, ve lo garantisco per esperienza, non è
> > possibile. In situazioni come questa, mi sembra che i ports siano
> > veramente l'ideale: aggiorni quel pacchetto e solo quello e hai
> > risolto il problema. Commenti?
> Ho capito che prima poi dovro' dare un'occhiata a Gentoo, magari me la
> mostrate in sede.
Sarò felicissimo di farlo, anche se ancora non ho esplorato per benino tutti
i meccanismi di cui dispone.
> Ancora non capisco che problema crei aggiornare un pacchetto ?
Ti riferisci a Debian? La risposta è semplice: non lo fanno per partito
preso. Non è una scelta sbagliata, ma in casi come questo, IMHO, crea
effetti collaterali quantomeno sgradevoli.
RH come si comporta? So che anche loro backportano i fix, ma in questi casi
che succede?
Visto che non ci sono procedure automatiche standard (a parte up2date, che
non considero in quanto non fa parte della distribuzione standard), immagino
che si limitino a rilasciare un pacchetto aggiornato.
--
#include <best/regards.h>
BlueRaven
There are only 10 types of people in this world...
those who understand binary, and those who don't.
--
Bill Gates : "No! Nel nostro software non ci sono bug significativi che un
numero significativo di utenti vuol vedere corretti."
Other related posts:
