Vulnerability Policy

Версия для печати больше не поддерживается и может содержать ошибки обработки. Обновите закладки браузера и используйте вместо этого функцию печати браузера по умолчанию.

Черновик политики Sisyphus

Автор(ы) —

Указание устраненных уязвимостей в changelog

В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен синтаксису указания закрытого багрепорта:

(Fixes: CVE-NNNN-NNNNN)

Регистр не учитывается, обязательно в скобках, несколько указываются через запятую, двоеточие можно не указывать.

Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее.