[Gelistirici] corporate2/devel/network/analyzer/rrdtool - Remove leaked system.base dependency
Serdar Dalgıç
serdar at pardus.org.tr
19 Eki 2010 Sal 16:00:47 EEST
19 Ekim 2010 Salı günü (saat 15:27:25) H. İbrahim Güngör şunları yazmıştı:
> On Tue, 19 Oct 2010 15:17:26 +0300
>
> Fatih Aşıcı <fatih at pardus.org.tr> wrote:
> > On Tue, 19 Oct 2010 11:48:36 +0300, "H. İbrahim Güngör"
> >
> > <ibrahim at pardus.org.tr> wrote:
> > > On Tue, 19 Oct 2010 09:20:37 +0300
> > >
> > > Necdet Yücel <necdetyucel at gmail.com> wrote:
> > >> Biraz acayip görünüyor biliyorum ama perl bağımlılığı olan
> > >> paketlere bunu yazıyoruz. Sysytem.base'de olmasına rağmen bir perl
> > >> güncellemesinde hepsi güncellensin diye böyle yapılıyor.
> > >
> > > Bir sefer olan birşeydi bu diye hatırlıyorum. Perl ABI kırdığı için
> > > güncellenmeleri garanti olsun diye yazılmıştı. Artık bağımlılık
> > > olarak
> > > barındırmaya gerek olmayabilir.
> >
> > Olası bir güncellemeye karşı bulunması gerekiyor. system.base
> > paketlerinin ters
> > bağımlılıklarını güncellemenin başka yolu yok.
>
> Bu durumda python bağımlılığı da yazılması gerek, Perl'de olduğu gibi
> beklenmedik bir güvenlik açığı ya da benzeri bir durumdan ötürü ABI
> kırıldığında? Yanılıyor muyum?
İki paketin de sahibi ve kurumsal2 depo sorumlularından biri olarak durumu
şöyle açıklıyyim :
Normalde sürüm çıkana kadar ABI/API kırabiliyoruz, ama sürüm çıktıktan sonra
böyle bir şey yaşamamaya özen gösteriyoruz. perl paketi için 2009'da özel bir
durum vardı, perl 5.10 kullanıyordu ve gerekli güvenlik güncellemelerinin
backport edilmesi yeni sürüme(5.10.1) geçmekten daha sancılı olacaktı, O zaman
da sürüm yöneticisi (Onur) ve paketin sahibi (Faik) başta olmak üzere böyle
bir karar alındı.
Pardus 2009'da perl paketlerine perl 5.10.1 bağımlılığını yazıyoruz, 2011'e
alırken böyle yapmamıza gerek olmamasına rağmen olası bir perl yükseltmesi
durumunda kullanmak üzere perl 5.12.1 bağımlığını yazmaya başladık. Mass
rebuild öncesi de perl 5.12.2 sürümüne geçtik, şu an 5.12.2'den devam
ediyoruz.
Perl için istisnai bir durum, bana biraz da "sütten ağzımız yandığı için" :)
böyle bir uygulamaya gidiyoruz gibi geliyor. "Kaldıralım mı" diye Fatih'e
sorduğumda tercih etmediğini söylemişti, ben de o yüzden perl paketlerindeki
bağımlılığı kaldırmamıştım. O yüzden yazmaya devam ediyoruz şu anki bütün
sürümlerimizde. Gereksiz olduğunu düşünüyorsanız sürüm yöneticileri de
hemfikirse paketlerden ilgili bağımlılık satırlarını silebiliriz.
Python içinse şöyle bir durum söz konusu, 2009 ve corp2'de python2.6 var,
2011'de python2.7. Python2.7 Python2.x serisinin en son kararlı sürümü ve 2
yıl desteğinin verileceği yazıyor Python ana sayfasında. Python2.6 içinse eğer
böyle bir durum yaşanırsa (önemli bir güvenlik açığını backport edemezsek) o
zaman yeniden böyle bir uygulamaya gidebiliriz. Burada kendime ve Ozan'a bir
dip not, Kurumsal2'de de python2.7'ye geçmemiz iyi olabilir, bu da ayrı bir
tartışma konusu tabi ki..
--
- Serdar Dalgic
TUBITAK/UEKAE - Pardus GNU/Linux
http://www.pardus.org.tr/eng
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi