Vulnerability Policy
Версия от 19:24, 21 февраля 2017; Lineprinter (обсуждение | вклад)
Указание устраненных уязвимостей в changelog
В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен синтаксису указания закрытого багрепорта:
(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
- регистр не учитывается
- обязательно в скобках
- несколько уязвимостей указываются через запятую, пробел или and
- двоеточие можно не указывать
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее.