[OpenSlides users-de] Virtualenv und Paketbau
Norman Jäckel
mail at normanjaeckel.de
Mi Nov 20 18:09:13 CET 2013
Am 20.11.2013 17:47, schrieb Andy Kittner:
> Unabhängig davon haben static deps auch einen Nachteil der noch nicht
> genannt wurde: Security-fixes
> Folgendes szenario:
> - harte Abhängigkeit auf foo-1.2.3
>
> - In foo wird ein remote code execution exploit gefunden, foo-1.2.4
> wird mit entsprechenden Fix released
>
> Mit "harten" Abhängigkeiten sind alle Openslides Installationen immer
> noch angreifbar auch wenn zum Zeitpunkt an dem der Anwender OpenSlides
> installiert schon ein Fix zur Verfügung steht.
Ein möglicher Kompromiss wäre an dieser Stelle, dass man alle
Abhängigkeiten, die Semantic Versioning betreiben (oder von denen man es
erhofft), hinsichtlich der Bugfixversionen öffnet, also foo==1.2.x statt
foo==1.2.3. Die dürfte aber für Programme, die noch im Nullbereich sind
(bar==0.x), nicht gelten, da hier jede beliebige neue Version jederzeit
inkompatibel sein kann. Nn.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 901 bytes
Beschreibung: OpenPGP digital signature
URL : <http://mail.openslides.org/pipermail/users-de/attachments/20131120/2cf592ae/attachment.sig>
More information about the users-de
mailing list