[Eisfair] Eisfair - Abstammung

Marcus Roeckrath marcus.roeckrath at gmx.de
Do Dez 13 15:42:24 CET 2018 

Hallo Alexander,

Alexander Dahl wrote:

>>> Eigentlich habe ich diese Frage deshalb gestellt, weil ich hin und
>>> wieder selbst Programme auf dem Eis kompiliere wie z.B. mutt.
>>> 
>>> Allerdings stelle ich mir immer die Frage welche Sourcen ich denn
>>> hernehmen soll. FreeBSD, Debian oder was auch immer?
> 
> Ich halte upstream für sinnvoll. Also mutt bspw. von
> http://www.mutt.org/ … wieso den Umweg über eine andere Distribution
> gehen?
> 
>> Vorzugsweise OpenSuSE (Tumbleweed) Source-RPM, die ich dann durch
>> rpmbuild jage. Holger macht das schon lange und hat uns weitere
>> Entwickler zu Recht auch in die Richtung geschubst, da der Prozess
>> gravierende zeitliche Vorteile hat. Zudem sind dort auch
>> Sicherheitspatches schon mit dabei, die der Originalsource fehlern.
> 
> Und ggf. andere Patches, die eisfair nicht braucht, oder ggf. kaputte
> Patches, ich erinnere da nur an das OpenSSL-Debakel bei Debian vor 10
> Jahren:

Das wäre ja auch Sache des Entwicklers, kurz reinzuschauen, was da für
Patches integriert sind.

Die sind ja in den SuSE-SRPMs nicht schon "reingepatcht" sondern werden als
Patchdatei mitgeliefert.

Das sind ja in der Regel auch keine nur SuSE-Patches, sondern sind meist
auch in den SRPMs oder Quellen anderer Distris enthalten, werden ja
untereinander ausgetaudscht.

Es spricht also in aller Regel nichts dagegen, diese von den großen Distris
zusammengestellten Patches auch auf dem eisfair zu benutzen, da sie in
aller Regel Probleme der Source bis hin zu Sicherheitsproblemen beheben.

sox ist z. B. seit Jahren bei der Version 14.4.2, obwohl es CVE-Advisories
gibt, die man mit dem SuSE-Paket dann auch alle erschlägt.

Ich habe bis lang noch nie festgestellt, dass ein Patch uns Probleme
bereitet hat.

> https://de.wikipedia.org/wiki/OpenSSL#Schwache_Schl%C3%BCssel_unter_Debian

Auch mit einer originalen Source kannst du dir ein gravierendes Problem
einfangen.

> Was tatsächlich sinnvoll wäre, gerade auch für eisfair: eine
> Build-Infrastruktur, die möglichst viel von dem Prozess automatisiert,
> so wie bei anderen Distributionen auch, d.h. inklusive Build-Servern, so
> dass der Entwickler ggf. nur noch eine winzige Änderung in einer
> Paketdatei machen muss und das Buildsystem kümmert sich um den Rest:
> runterladen, auspacken, patchen, configure, make, "install", pack, …

Genau das macht im wesentlichen doch ein rpmbuild.

> P.S.: wo ich gerade so im Repo rumklicke … Wieso ist denn das aktuelle
> rsnapshot-Paket nicht im SVN eingecheckt? o.O

Weil ich noch nicht dazu gekommen bin, mich hier mit svn
auseinanderzusetzen; bderuflich brennt trotz Teilzeit seit Sommer auch in
der Schule die EDV-Hütte auch wegen einer Softwareumstellung.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair