Vulnerability Policy: различия между версиями

Черновик политики Sisyphus

Автор(ы) — lineprinter@

Указание устраненных уязвимостей в changelog

В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен синтаксису указания закрытого багрепорта:

(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)

При этом:

• регистр не учитывается
• конструкция обязательно обрамлена скобками
• несколько уязвимостей указываются через запятую, пробел или and
• двоеточие можно не указывать

Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.