[Gelistirici] corporate2/devel/network/analyzer/rrdtool - Remove leaked system.base dependency

Serdar Dalgıç serdar at pardus.org.tr
19 Eki 2010 Sal 16:00:47 EEST 

19 Ekim 2010 Salı günü (saat 15:27:25) H. İbrahim Güngör şunları yazmıştı:
> On Tue, 19 Oct 2010 15:17:26 +0300
> 
> Fatih Aşıcı <fatih at pardus.org.tr> wrote:
> >  On Tue, 19 Oct 2010 11:48:36 +0300, "H. İbrahim Güngör"
> >  
> >  <ibrahim at pardus.org.tr> wrote:
> > > On Tue, 19 Oct 2010 09:20:37 +0300
> > > 
> > > Necdet Yücel <necdetyucel at gmail.com> wrote:
> > >> Biraz acayip görünüyor biliyorum ama perl bağımlılığı olan
> > >> paketlere bunu yazıyoruz. Sysytem.base'de olmasına rağmen bir perl
> > >> güncellemesinde hepsi güncellensin diye böyle yapılıyor.
> > > 
> > > Bir sefer olan birşeydi bu diye hatırlıyorum. Perl ABI kırdığı için
> > > güncellenmeleri garanti olsun diye yazılmıştı. Artık bağımlılık
> > > olarak
> > > barındırmaya gerek olmayabilir.
> >  
> >  Olası bir güncellemeye karşı bulunması gerekiyor. system.base
> >  paketlerinin ters
> >  bağımlılıklarını güncellemenin başka yolu yok.
> 
> Bu durumda python bağımlılığı da yazılması gerek, Perl'de olduğu gibi
> beklenmedik bir güvenlik açığı ya da benzeri bir durumdan ötürü ABI
> kırıldığında? Yanılıyor muyum?

İki paketin de sahibi ve kurumsal2 depo sorumlularından biri olarak durumu 
şöyle açıklıyyim :

Normalde sürüm çıkana kadar ABI/API kırabiliyoruz, ama sürüm çıktıktan sonra 
böyle bir şey yaşamamaya özen gösteriyoruz. perl paketi için 2009'da özel bir 
durum vardı, perl 5.10 kullanıyordu ve gerekli güvenlik güncellemelerinin 
backport edilmesi yeni sürüme(5.10.1) geçmekten daha sancılı olacaktı, O zaman 
da sürüm yöneticisi (Onur) ve paketin sahibi (Faik) başta olmak üzere böyle 
bir karar alındı.

Pardus 2009'da perl paketlerine perl 5.10.1 bağımlılığını yazıyoruz, 2011'e 
alırken böyle yapmamıza gerek olmamasına rağmen olası bir perl yükseltmesi 
durumunda kullanmak üzere perl 5.12.1 bağımlığını yazmaya başladık. Mass 
rebuild öncesi de perl 5.12.2 sürümüne geçtik, şu an 5.12.2'den devam 
ediyoruz.

Perl için istisnai bir durum, bana biraz da "sütten ağzımız yandığı için" :) 
böyle bir uygulamaya gidiyoruz gibi geliyor. "Kaldıralım mı" diye Fatih'e 
sorduğumda tercih etmediğini söylemişti, ben de o yüzden perl paketlerindeki 
bağımlılığı kaldırmamıştım. O yüzden yazmaya devam ediyoruz şu anki bütün 
sürümlerimizde. Gereksiz olduğunu düşünüyorsanız sürüm yöneticileri de 
hemfikirse paketlerden ilgili bağımlılık satırlarını silebiliriz.

Python içinse şöyle bir durum söz konusu, 2009 ve corp2'de python2.6 var, 
2011'de python2.7. Python2.7 Python2.x serisinin en son kararlı sürümü ve 2 
yıl desteğinin verileceği yazıyor Python ana sayfasında. Python2.6 içinse eğer 
böyle bir durum yaşanırsa (önemli bir güvenlik açığını backport edemezsek) o 
zaman yeniden böyle bir uygulamaya gidebiliriz. Burada kendime ve Ozan'a bir 
dip not, Kurumsal2'de de python2.7'ye geçmemiz iyi olabilir, bu da ayrı bir 
tartışma konusu tabi ki..

-- 
- Serdar Dalgic
TUBITAK/UEKAE - Pardus GNU/Linux
http://www.pardus.org.tr/eng

Gelistirici mesaj listesiyle ilgili daha fazla bilgi