[ruby-dev:38745] A proposal for announcing a release of ruby to ruby distributors

Yuguiです。

先日のDebian Ruby 1.9会議にて、やまださんから「リリース前に告知して欲し
い」という要望がありました。

つまり、セキュリティフィックスのためのリリースなどでは脆弱性の開示後に、
各種パッケージングシステムに伝播するのが遅れると困る、という問題です。
現状ではディストリビューションのメンテナは脆弱性をリリース後に知ることに
なります。

ここで、誰もかもが「ディストリビュータだ」と言ってruby-securityリストに
参加するのでは0 day攻撃から守ろうというruby-securityリストの意義が失われ
ます。リリースを予告するというのでも同じことです。
ただ、「Rubyが公式にサポートしているプラットフォームに置ける公式なメンテ
ナ」というのは特別に扱っても良いのではないかと思いました。

そこで私はRuby 1.9に関しては、今後やまださんにはリリースを事前にお知らせ
することにしました。FreeBSDのportsの担当者(誰?)も希望があればお知らせし
ます。また、今後1.9がOSXに搭載されることがあれば、Appleの担当者にはお知
らせします。つまり、support levelがbest effort以上のプラットフォームにつ
いて対応したいと思います。

さて、Ruby 1.8についても同様な対応ができればきっと喜ばれるのでしょうけれ
ども、Ruby 1.8については「サポートしているプラットフォーム」が必ずしも明
確ではありません。リリースマネージャの負担を変に増やさないためにも、ま
た、それ以外の意味でも、そろそろ一度Ruby 1.8がサポートしているプラット
フォームをsupport levelのような形で明確にしませんか。

--
Yugui <yugui@...>
http://yugui.jp
私は私をDumpする

こんばんは。

In message <4A5413BE.3040008@...>
        on Wed, 8 Jul 2009 12:34:32 +0900,
        "Yugui (Yuki Sonoda)" <yugui@...> wrote:
> そこで私はRuby 1.9に関しては、今後やまださんにはリリースを事前にお知らせ
> することにしました。FreeBSDのportsの担当者(誰?)も希望があればお知らせし
> ます。また、今後1.9がOSXに搭載されることがあれば、Appleの担当者にはお知
> らせします。つまり、support levelがbest effort以上のプラットフォームにつ
> いて対応したいと思います。
他のところはわかりませんが、NetBSD(他向けの)pkgsrcについては、

        パッケージのメンテナ: taca@...

宛で、写しに

        pkgsrcのsecurity officer: pkgsrc-security@...

と入れていただくと幸いです。(最悪、どっちかでも良いのですが。)

--
神戸 隆博 / Takahiro Kambe