[Linux-bruxelles] Stabilité Sarge aujourd'hui...

Hervé Eychenne rv at eychenne.org
Mar 21 Sep 21:14:02 CEST 2004 

On Tue, Sep 21, 2004 at 06:58:42PM +0200, Frederic Peters wrote:

> Hervé Eychenne écrivait :

> > C'est une bonne façon de faire, excepté le fait qu'en attendant,
> > les évenutelles failles de sécu colmatées par de nouveaux paquets restent
> > béantes.

> Il y a toujours possibilité de suivre les alertes sécurité de Debian,
> par exemple via le fil RSS http://www.debian.org/security/dsa-long.rdf
> et de mettre à jour ces paquets.

Débat récurrent, et réponse standard (rappel : nous parlons des
utilisateurs de unstable ou testing) :
- ce sont les alertes pour les paquets de la stable, officiellement,
  et pas de unstable, encore moins de testing : les alertes concernant
  uniquement la testing ou la unstable ne sont pas traitées
- le nom du paquet unstable correspondant peut avoir changé, il faut
  parfois le chercher à la main
- il faut regarder la version du paquet affecté, et la comparer
  manuellement avec celle du paquet local
- il arrive que le paquet sid correspondant ait déjà été corrigé également
  lors de l'annonce, mais c'est loin d'être systématique, et il n'est
  pas rare que l'on trouve dans le descriptif de ces alertes la mention
  suivante :
  "For the unstable distribution (sid) these problems will be fixed soon."
  Dans ce cas, les problèmes sont les suivants :
  * la notion de "soon" varie extrêmement selon les cas (j'ai même vu
    un délai de 15j concernant une alerte cvs d'il y a environ un an)
  * ca oblige à monitorer spécifiquement les mises à jour de ce paquet
    pour la unstable (et donc à regarder dans le changelog), jusqu'à
    ce que le bon paquet ait été uploadé
- dans tous les cas il faut installer à la main ce paquet (avec parfois des
  problèmes de dépendance)

Les commentaires sur ces différentes points varient pour moi de
"gênant" à "rédhibitoire".

> > > Ça me fait un upgrade toutes les 2 semaines ou tous les mois mais ça me
> > > convient très bien et c'est stable,
> > 
> > Mais pas toujours très sûr...

> J'ai déjà pointé apt-listbugs.  S'il t'affiche qu'il existe un bug et
> que tu ne veux pas t'exposer à celui-ci, il permet de ne pas mettre à
> jour ce paquet précis.

Connais pas... mais s'il faut à chaque upgrade (et Dieu sait qu'il y
en a, des paquets à upgrader) se taper toute la liste des bugs
existants pour dénicher d'éventuels bugs rédhitoires, cela prendrait
beaucoup trop de temps.
De plus, si je ne m'abuse, les alertes de sécu font l'objet de mesures
particulière, la bonne pratique étant de ne pas révéler publiquement
l'information avant que l'on ait eu le temps d'éditer un correctif.
Donc apt-listbugs ne marche pas dans ce cadre, si je ne m'abuse.

> > > Enfin j'avais envie d'ennuyer un peu ton pessimisme. Parce qu'il
> > > faudrait y songer, tu n'es pas souvent optimiste (jamais?) :-)
> > 
> > "Optimisme de la volonté, pessimisme de la raison"...

> Antonio Gramsci disait plus précisément « Dans l'action, il faut garder
> l'optimisme de la volonté, accouplé au pessimisme de la raison. ».

> *Dans l'action*.  Important, ça, l'action...

Je suppose que cela sous-entend que je ne fais que critiquer, sans
rien faire pour Debian... ;-/
Pourtant, j'ai bien cru pouvoir m'investir de manière valable, au
début... Mais je me suis bien vite rendu compte que les
mainteneurs Debian n'ont pas toujours les mêmes priorités que moi,
et surtout qu'ils partagent une certaine tournure d'esprit qui fait
que les changements proposés tombent très souvent sous le coup d'une des
4 excuses typiques déjà évoquées à la fin de
http://lists.bxlug.be/pipermail/linux-bruxelles/2004-June/020014.html

Puisque il me semble qu'une majorité de mainteneurs Debian ne soit
par exemple pas le moins du monde dérangé par le rythme des releases
stable (voir même trouve cela très bien !), le seul moyen d'agir,
c'est-à-dire ici de faire changer des choses de cet ordre,
serait d'acquérir une légitimité suffisante pour être en
mesure de l'imposer. Outre le fait que ce genre de méthode ne
marcherait sans doute pas bien dans un contexte de développement libre,
cela me demanderait sans doute des années d'investissement quasi-complet,
ce que je ne peux pas me permettre, étant déjà engagé dans d'autres
actions. :-)
Je continue donc de soumettre parfois quelques patchs, de
faire des bug reports, ou de lancer quelques idées, faute de mieux.

 Hervé

-- 
 _
(°=  Hervé Eychenne
//)  Homepage:          http://www.eychenne.org/
v_/_ WallFire project:  http://www.wallfire.org/

Plus d'informations sur la liste de diffusion Linux-bruxelles