[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:44392] Re: volatile.debianに付いて (Ex. Re: ClamAV のバージョンアップに関して)



池田@オレンジです。

On Tue, 9 Aug 2005 15:27:19 +0900
In ClamAV  のバージョンアップに関して
Hideki Yamane <henrich@xxxxxxxxxxxxxx> Wrote
>   やまね  です。
> 
> >「良い」かどうかは個々人の判断によるのではないでしょうか?
> 
>  それは正ですね。ですので、判断できるだけの情報を提供するように
>  心がけたつもりなのですが。

volatileの「良い点」に付いての情報は提供頂いていると思いますが、「悪い
(かもしれない)点」「不安な点」に対する情報が欠けていると思いました。

具体的に言えば、たとえば今回のClamAVであれば、最新のエンジンでないと対応
できないウィルスも発生してきますので、最新を追いかけるのはほぼ必須と言っ
て良いでしょう。エンジンを最新にする以外、対応する方法が無い場合もありま
すし。
そういう意味ではClamAVがvolatileで最新を維持することは意味があります。

一方で、もう一つリポジトリに入っているwhoisの方はというと、新しいccTLDの
サーバを加えたとか、その手の -h オプションでwhoisサーバを指定してやれば
回避可能な更新です。不便と言えば不便ですが、この更新がないと機能しないと
いう類の更新ではありません。
ずっと古いバージョンのwhoisでは、.jpの情報を引こうと思えば whois -h
whois.nic.ad.jp と指定しなくてはいけなかったのと同じ状況に戻るだけ。

まだたった2つしか入っていない現状でも、「最新にしないと役に立たない(か
もしれない)」ものと「最新にすると便利だね」というものが混在している訳で、
「結局、volatileに入れるか入れないかという基準は何?」というのが不明です。

あれもこれもとどんどんvolatileに入っていくようであれば、testingとの違い
は何?という話も出てくるでしょう。

そのあたりの線引きが、文書的にも実績的にも表されていないというのは不安に
感じる点です。
最新を追いかけるという事は、常にバグが入り込む可能性があるという事で、実
際ClamAVも0.86.2, 0.86.1はセキュリティFixでの更新ですし。

> >Debian的「良い」というのは
> >
> >  次のリリースまではセキュリティFix以外のバージョンアップをしない事
> >
> >です。公式には。
> 
>  うーん、そこまで断言されるのもどうかなぁ、と私は思います。
>  volatile は今までの stable としての運用の問題とその反省から
>  生まれてきているものです。

いくら多くの人が問題があると思っても(私も思ってますが)、ポリシーが変更
される、または、volatileをOfficialに提供する体制にならない限りは、Debian
総体として「公式に」言えるのは↑である事に変わりありません。

>  何を以って「公式」かはありますが、policy は守るべきものでは
>  ありますが「鉄の掟」とかではなくて、よりより結果に合わせて
>  変化して行くものですし、そのための試金石として volatile は
>  運用されていると思います。

ポリシーを金科玉条として堅持しろとか、そういう話はしていません。
必要に合わせてポリシーを変更するのは望ましい事ですが「公式」=「ポリシー」
である事に疑問の余地はありません。
いくら多くの人が問題と思っていても、ポリシーが変更されるまでは非公式な見
解です。

> >また、回答する側の立場から言えば
> >・何かwhoisまでバージョンアップされちゃったんですが何で?
> >・ClamAVだけバージョンアップしたいんですがどうやったら良いんですか?
> 
>  「だけ」バージョンアップしたいというのもかなり特殊ですね。

そうですか?
私はwhoisを更新する必要性を覚えません。
まぁ、更新しても無害だとは思いますが。

将来どのようなものが入ってくるのかわからないし、それを全て受け入れる必要
があるかどうか、判断をするだけの実績はまだ示されていません。
将来どうなるかわからないのでとりあえずClamAVだけは(明確に更新の必要性が
わかるので)更新対象にしようという判断は特殊でしょうか?

> >・PINってどうやって使うの?
> 
>  aptitude で hold するのもありですよ :-)

holdだとsecurity.debian.orgによるセキュリティFixも適用されませんね。

誤解があるといけないので、一応蛇足ながら書いておきますが、何もvolatileは
ダメだとか使い物にならないと言ってる訳ではありません。
取組みとしては望ましいものだと思いますし、将来的に役立つものになる可能性
はおおいにあると思っています。

ただ、もうちょっとvolatileに入るパッケージが出揃って、丸ごと受け入れる事
が望ましいかどうかという判断ができる状態になるまでは、「面白そうなので
volatile使ってみませんか?」とは言えても、無条件に誰にでも「良い」と薦め
るには、ちょっと不安が残ります。

特に公開サーバなどで保守的な運用をしている所であれば、パッケージをvolatile
に入れるか入れないかという判断基準が明確にならないとvolatileを使うか使わ
ないかという判断も難しいと思います。

--

Masaki Ikeda <masaki {at} orange.co.jp>
    Orange System Co.