[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:44392] Re: volatile.debianに付いて (Ex. Re: ClamAV のバージョンアップに関して)
池田@オレンジです。
On Tue, 9 Aug 2005 15:27:19 +0900
In ClamAV のバージョンアップに関して
Hideki Yamane <henrich@xxxxxxxxxxxxxx> Wrote
> やまね です。
>
> >「良い」かどうかは個々人の判断によるのではないでしょうか?
>
> それは正ですね。ですので、判断できるだけの情報を提供するように
> 心がけたつもりなのですが。
volatileの「良い点」に付いての情報は提供頂いていると思いますが、「悪い
(かもしれない)点」「不安な点」に対する情報が欠けていると思いました。
具体的に言えば、たとえば今回のClamAVであれば、最新のエンジンでないと対応
できないウィルスも発生してきますので、最新を追いかけるのはほぼ必須と言っ
て良いでしょう。エンジンを最新にする以外、対応する方法が無い場合もありま
すし。
そういう意味ではClamAVがvolatileで最新を維持することは意味があります。
一方で、もう一つリポジトリに入っているwhoisの方はというと、新しいccTLDの
サーバを加えたとか、その手の -h オプションでwhoisサーバを指定してやれば
回避可能な更新です。不便と言えば不便ですが、この更新がないと機能しないと
いう類の更新ではありません。
ずっと古いバージョンのwhoisでは、.jpの情報を引こうと思えば whois -h
whois.nic.ad.jp と指定しなくてはいけなかったのと同じ状況に戻るだけ。
まだたった2つしか入っていない現状でも、「最新にしないと役に立たない(か
もしれない)」ものと「最新にすると便利だね」というものが混在している訳で、
「結局、volatileに入れるか入れないかという基準は何?」というのが不明です。
あれもこれもとどんどんvolatileに入っていくようであれば、testingとの違い
は何?という話も出てくるでしょう。
そのあたりの線引きが、文書的にも実績的にも表されていないというのは不安に
感じる点です。
最新を追いかけるという事は、常にバグが入り込む可能性があるという事で、実
際ClamAVも0.86.2, 0.86.1はセキュリティFixでの更新ですし。
> >Debian的「良い」というのは
> >
> > 次のリリースまではセキュリティFix以外のバージョンアップをしない事
> >
> >です。公式には。
>
> うーん、そこまで断言されるのもどうかなぁ、と私は思います。
> volatile は今までの stable としての運用の問題とその反省から
> 生まれてきているものです。
いくら多くの人が問題があると思っても(私も思ってますが)、ポリシーが変更
される、または、volatileをOfficialに提供する体制にならない限りは、Debian
総体として「公式に」言えるのは↑である事に変わりありません。
> 何を以って「公式」かはありますが、policy は守るべきものでは
> ありますが「鉄の掟」とかではなくて、よりより結果に合わせて
> 変化して行くものですし、そのための試金石として volatile は
> 運用されていると思います。
ポリシーを金科玉条として堅持しろとか、そういう話はしていません。
必要に合わせてポリシーを変更するのは望ましい事ですが「公式」=「ポリシー」
である事に疑問の余地はありません。
いくら多くの人が問題と思っていても、ポリシーが変更されるまでは非公式な見
解です。
> >また、回答する側の立場から言えば
> >・何かwhoisまでバージョンアップされちゃったんですが何で?
> >・ClamAVだけバージョンアップしたいんですがどうやったら良いんですか?
>
> 「だけ」バージョンアップしたいというのもかなり特殊ですね。
そうですか?
私はwhoisを更新する必要性を覚えません。
まぁ、更新しても無害だとは思いますが。
将来どのようなものが入ってくるのかわからないし、それを全て受け入れる必要
があるかどうか、判断をするだけの実績はまだ示されていません。
将来どうなるかわからないのでとりあえずClamAVだけは(明確に更新の必要性が
わかるので)更新対象にしようという判断は特殊でしょうか?
> >・PINってどうやって使うの?
>
> aptitude で hold するのもありですよ :-)
holdだとsecurity.debian.orgによるセキュリティFixも適用されませんね。
誤解があるといけないので、一応蛇足ながら書いておきますが、何もvolatileは
ダメだとか使い物にならないと言ってる訳ではありません。
取組みとしては望ましいものだと思いますし、将来的に役立つものになる可能性
はおおいにあると思っています。
ただ、もうちょっとvolatileに入るパッケージが出揃って、丸ごと受け入れる事
が望ましいかどうかという判断ができる状態になるまでは、「面白そうなので
volatile使ってみませんか?」とは言えても、無条件に誰にでも「良い」と薦め
るには、ちょっと不安が残ります。
特に公開サーバなどで保守的な運用をしている所であれば、パッケージをvolatile
に入れるか入れないかという判断基準が明確にならないとvolatileを使うか使わ
ないかという判断も難しいと思います。
--
Masaki Ikeda <masaki {at} orange.co.jp>
Orange System Co.