如果在 12.04 LTS 发布四年后,Universe 存储库中的某个软件包出现安全问题,会发生什么情况?该软件包会从上游更新、进行修补,还是保持不变?
据我了解,“5 年支持和安全更新”仅适用于 Ubuntu 的核心 —— 主存储库中的任何内容。不适用于 Universe 存储库中的内容。
举一个更具体的例子——如果我现在安装 Ruby,并希望在接下来的几年里在 12.04 版本上使用它,并且它有一个安全漏洞;虽然上游可能会修补这个问题(所以我总是可以从他们的网站下载最新版本并自己编译或使用 PPA),但这个上游修复是否会迁移到精确的软件包存储库中?反向移植怎么样?
答案1
Universe 中的软件包由社区维护。它们是否获得安全更新完全取决于使用它们的社区。
为 Universe 中的软件包贡献安全更新的说明如下:
https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update
基本上,任何人都可以提交错误、附加 debdiff、订阅 ubuntu-security-sponsors 团队,然后团队中的某个人会查看它以确保它没有问题,然后将它赞助到档案中。
答案2
您提供的示例 Ruby 位于主存储库中,并受支持五年:
$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y
也可以看看我的回答“12.04 LXDE 有 LTS 吗?”和如何有效获取已安装的非 LTS 软件包列表?。
对于来自 universe 的软件,它甚至没有得到官方支持根本,更不用说五年了。从存储库上的社区 Wiki:
Canonical 不保证为 universe 组件中的软件提供定期安全更新,但会在社区提供更新时提供这些更新。
不过,你可以预期,流行软件包上的大多数严重问题都会由维护该软件的社区进行修补宇宙. 只是没有保证。
为了向后移植我的观点是这些不应该在生产中使用。