* domenica 12 novembre 2006, alle 13:47, Ivan Sergio Borgonovo scrive:
> Epperò così mi sembra tu stia dando dei cretini a chi ci ha provato
> più volte di fronte a un sicuro fallimento se la cosa è così ovvia.
Ho piacere di discutere, eventualmente, quello che dico, non le tue
deduzioni.
Il perche` "ci si prova", e` di una semplicita` disarmante, essendo
scritto nel contratto sociale: (c'e` scritto:) la nostra priorita` sono
gli utenti.
Quello che affermo, e` che non tutto quello che vogliono gli utenti, si
puo` fare (anche perche` non sempre gli utenti hanno un idea d'insieme
della cosa - e nemmeno gli e` richiesto), ed e` questo che sto
affermando.
Il resto, sono tue deduzioni (anche di gusto non elevato, se mi
permetti, come se avessi dei problemi a dare del cretino a qualcuno, se
lo ritenessi opportuno), e non mie.
> Quello che dico è che in testing è lecito che un pacchetto cambi di
> versione e eg. il software che ci hai sviluppato sopra o la tua cfg
> custom si sminchino, in stable no.
Non c'e` solo questo. Leggiti come funziona testing.
> E` un bel constrain non avendo il quale ad esempio una delle
> situazioni da te descritte può avere come soluzione più economica
> l'upgrade a una nuova versione che non ha vulnerabilità anzichè lo
> studio di un patch custom che verrà superato "domani".
Ma non sarebbe in quality assurance Debian. Debian si assume la
responsabilita`, in _stable_ - che` e` l'unica debian _ufficiale_ nel
senso proprio del termine, di garantire i security anche in assenza di
operosita` e dei maintainer (capita, per mille motivi, e non sempre
"perche` sono cattivi"), quando non addirittura del/degli autori
mainstream.
Ovvero, debian garantisce che ci siano i security anche se non lo
garantisce l'autore. Per fare questo devi avere un ramo stable. (e ti
assicuro che gia` cosi`... ci sono stati dei casi dove qualche security
ha tardato per complessita` del software + poca disponibilitu` di
upstream).
Questo e` il modello che usa debian ed e` un modello che funziona. Non
e` l'unico ne quello giusto in senso assoluto, ovviamente.
Un'altro modello puo` essere quello di ubuntu, dove si supera (in parte)
il tema security con un release plan serrato (e un tot di developer a
stipendio). Funziona? Si e no. E` presto per dirlo, pero` ad esempio
dapper venne rilasciata in ritardo ed edgy ha dovuto recuperare, e per
la mia unica esperienza "si vede", visto che un update da stable a
stable, senza repository strani, addirittura senza multiverse mi ha
scancherato x e usplash (oltre ad acpid)[1]. E` vero che il portatilino
su cui ho ubuntu e` peculiare, eppero` da stable a stable, non mi
aspetto tanti breakage, specie se sopra ho si e no ssh e vi.
> Se togliere questo constrain sia o meno sufficiente per rendere il
> problema affrontabile è altra cosa visto che te e chi si è proposto di
> farlo, persone indubbiamente più qualificate di me in questo ambito
> avete pareri diversi, quindi non esprimo giudizio.
Questo e` facilmente spiegabile: troppo spesso (e lo faccio anche io),
si da per scontanto che la domanda e` "cosa faresti tu", non "cosa si
dovrebbe fare", ovvero, si contestualizza alle proprie competenze e non
alla competenza specifica della domanda.
E` evidente che andycapp, finelli, kurgan, possono mettere su server
anche con plan9 e renderli rocksolid, mettendoci le mani. Alcuni hanno
addirittura dei server win! Questa pero` non e` la domanda. Se la
domanda e`:
sono io tannoiser (o andycapp, o kurgan) in grado di gestire in
sicurezza un server su testing? La risposta e` "ovvio che si".
Ne vale la pena? Qui, la risposta e` piu` fuzzy. Io cerco sempre di
ricordarmi che anche se rispondo a kurgan, non scrivendogli in privato,
ma su una lista pubblica, sto in realta` rispondendo a diverse persone,
che *non* sono necessariamente kurgan, e *non* hanno necessariamente il
mestiere dello stesso.
A costoro, scrivendo su una lista pubblica, mi rivolgo, e personalmente,
non penso che sia corretto far passare il messaggio "si si, testing va
benissimo per un server[2]", perche` manca un pezzo evidente: "...se sei
kurgan, e hai tempo/voglia/conoscenze/budget per starci dietro".
Spero ovviamente di non dover specificare che sto parlando a titolo
personale, e su opinioni fortemente personali... :)
[1]
Niente che con un tot di tempo di smanazzamento, non si rimetta a
posto. Peccato che ho messo ubuntu su quel portatilino apposta per non
doverci smanazzare. Allo stato attuale, ho annullato in termini di
tempo, qualunque vantaggio in fase di configurazione (visto che la so
configurare). Se ci dovessi perdere ulteriormente tempo, dal mio punto
di vista, si rivelerebbe un fiasco tremendo (se ci devo mettere lo
stesso tempo se non adirittura di piu` che in unstable, perche` dovrei
volere ubuntu?)
[2]
Ibidem il discorso "ubuntu per un server?" come scritto in reply ad
altro messaggio di andycapp.
--
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
Lamb: (reading $50 bill) Veronica Mars is... smarter than me...
Veronica: Oh, you stop it!
-- Veronica Mars: 1x12
|