RPMパッケージはどのように「セキュリティ」アップデートとしてマークされますか?
yum install -y --securityを適用していて、パッケージが更新された場合。パッケージはどのようにセキュリティアップデートとして「マーク」されますか?
たとえば、私が管理しているパッケージblahがあり、その現在のバージョンは1.18.3であるとします。新しいパッケージを1.18.4としてビルドした場合、それは自動的に「セキュリティ」パッケージですか?そうでない場合、パッケージを「セキュリティ」アップデートとしてマークするためのドキュメントはどこにありますか?
yumは、CentOS7のyum(個別にインストールする必要はありません)の一部である yum-security(8) プラグインを介してこれを行います( 公式RHEL docs )。
yum update ... --securityyumを作成すると、/var/lib/<Arch>/<repo>でリポジトリのメタ情報の更新がダウンロードされます。メタ情報ファイル(xmlファイルとして編成)の各パッケージには、<update>タグにtypeフィールドが含まれています。 type=securityの場合、更新はセキュリティ更新です。
yum update --cve <CVE>またはyum update --bugzilla <bugzilla_id>を生成すると、yumはフィールドtypeのメタ情報内の各パッケージのタグ<references>のタグ<reference>を分析します。 bugzilla。 --cveと入力した場合は、CVEを<reference>タグのtitleフィールドと比較します。 --bugzillaと入力した場合は、bugzilla_idタグのidフィールドと<reference>を比較します。
yumパッケージのupdate_md.pyファイルには、説明されている上位機能が含まれています。
$ rpm -ql yum|grep update_md
/usr/lib/python2.7/site-packages/yum/update_md.py
P.S. Debianパッケージ(DEB)には、パッケージの変更ログにurgencyフィールドが含まれているため、セキュリティ更新に役立つ場合があります。