LTSリリースのユニバースリポジトリのセキュリティ更新プログラム
12.04 LTSリリースの4年後にユニバースリポジトリのパッケージにセキュリティ問題がある場合はどうなりますか。パッケージはアップストリームから更新されますか、パッチが適用されますか、それともそのままですか?
「5年間のサポートとセキュリティアップデート」はUbuntuのコア(メインリポジトリ内のすべて)にのみ適用されることを理解しています。ユニバースリポジトリ内のものではありません。
より具体的な例として、Rubyを今インストールし、12.04で今後数年間使用したい場合、セキュリティの脆弱性があります。これはアップストリームでパッチが適用される場合があります(したがって、自分のWebサイトから常に最新版をダウンロードしてコンパイルするか、PPAを使用できます)が、このアップストリームの修正は正確なパッケージリポジトリに移行されますか?バックポートはどうですか?
ユニバースのパッケージはコミュニティによって管理されています。セキュリティ更新プログラムを入手するかどうかは、それらを使用するコミュニティに完全に依存します。
Universeのパッケージのセキュリティ更新プログラムを提供する手順は次のとおりです。
https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update
基本的には、誰でもバグを提出し、debdiffを添付し、ubuntu-security-sponsorsチームをサブスクライブし、チームの誰かがそれを見て問題がないことを確認し、アーカイブにスポンサーできます。
あなたが提供した例のRubyはメインリポジトリにあり、5年間サポートされています:
$ apt-cache show Ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/Ruby-defaults/Ruby_4.8_all.deb
Supported: 5y
私の答え 「12.04 LXDEにはLTSがありますか?」も参照してください。および 非LTSパッケージのリストを効率的にインストールする方法は? 。
ユニバースのソフトウェアの場合、正式にはサポートさえされていませんat all、もちろん5年間です。 リポジトリのコミュニティWiki から:
Canonicalは、ユニバースコンポーネントのソフトウェアの定期的なセキュリティ更新を保証するものではありませんが、コミュニティから入手可能な場合は提供します。
ただし、niverseでソフトウェアを保守しているコミュニティによってパッチが適用される一般的なパッケージで最も深刻な問題が発生する可能性があります。保証なし。
backportsの場合、私の見解では、これらは本番環境では使用すべきではありません。