Bug 39314

Summary: Пакет openssl скрывает свой апстрим от роботов
Product: Sisyphus Reporter: Vitaly Lipatov <lav>
Component: opensslAssignee: Gleb F-Malinovskiy <glebfm>
Status: NEW --- QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: glebfm, mike
Version: unstable   
Hardware: x86_64   
OS: Linux   

Description Vitaly Lipatov 2020-11-18 21:03:00 MSK 
В репозитории есть пустой фиктивный .gear/tags/list

В спеке указана ссылка на местный git с предыдущей версией
# git://git.altlinux.org/gears/o/openssl10.git
Source: openssl-%version.tar

При всём этом сборка происходит с исходниками из тарбола, которые неизвестно где берутся, куда-то коммиттятся и откуда-то мержатся:

Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
Date:   Tue Apr 21 16:23:35 2020 +0300

    1.1.1g-alt1
    
    - Updated to 1.1.1g (fixes CVE-2019-1551, CVE-2020-1967).

commit d0bcb9408ae2ae9965918af3b3a8bc1ef3303179
Merge: ce9bc58d f48497bc
Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
Date:   Tue Apr 21 16:20:40 2020 +0300

    Merge tag 'v1.1.1g'
    
    openssl 1.1.1g

commit f48497bcbf99b7d62e695570d573a18bab52bee1
Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
Date:   Tue Apr 21 16:19:39 2020 +0300

    Import https://openssl.org/source/openssl-1.1.1g.tar.gz
    
    Major changes between OpenSSL 1.1.1f and OpenSSL 1.1.1g [21 Apr 2020]
    - Fixed segmentation fault in SSL_check_chain() (CVE-2020-1967)
Comment 1 Michael Shigorin 2020-11-19 11:40:43 MSK 
А роботы хотели собрать 1.1.1h? :)
Comment 2 Gleb F-Malinovskiy 2020-11-19 16:56:51 MSK 
(Ответ для Vitaly Lipatov на комментарий #0)
> В репозитории есть пустой фиктивный .gear/tags/list
> 
> В спеке указана ссылка на местный git с предыдущей версией
> # git://git.altlinux.org/gears/o/openssl10.git

Это, конечно ошибка.

> Source: openssl-%version.tar

> При всём этом сборка происходит с исходниками из тарбола, которые неизвестно
> где берутся, куда-то коммиттятся и откуда-то мержатся:

Но при этом довольно странно, что вы утверждаете это, а потом ...
 
> Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
> Date:   Tue Apr 21 16:23:35 2020 +0300
> 
>     1.1.1g-alt1
>     
>     - Updated to 1.1.1g (fixes CVE-2019-1551, CVE-2020-1967).
> 
> commit d0bcb9408ae2ae9965918af3b3a8bc1ef3303179
> Merge: ce9bc58d f48497bc
> Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
> Date:   Tue Apr 21 16:20:40 2020 +0300
> 
>     Merge tag 'v1.1.1g'
>     
>     openssl 1.1.1g
> 
> commit f48497bcbf99b7d62e695570d573a18bab52bee1
> Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
> Date:   Tue Apr 21 16:19:39 2020 +0300
> 
>     Import https://openssl.org/source/openssl-1.1.1g.tar.gz

... цитируете ссылку на тарболл.

>     Major changes between OpenSSL 1.1.1f and OpenSSL 1.1.1g [21 Apr 2020]
>     - Fixed segmentation fault in SSL_check_chain() (CVE-2020-1967)

Помимо прочего, в этой цитате показано что и куда коммитилось и мержилось.
Comment 3 Vitaly Lipatov 2020-11-19 18:58:54 MSK 
(Ответ для Gleb F-Malinovskiy на комментарий #2)
...
> > При всём этом сборка происходит с исходниками из тарбола, которые неизвестно
> > где берутся, куда-то коммиттятся и откуда-то мержатся:
> 
> Но при этом довольно странно, что вы утверждаете это, а потом ...
>  
... 
> Помимо прочего, в этой цитате показано что и куда коммитилось и мержилось.
Это я уже потом туда залез. Но повторить это невозможно, тем более роботу.

Зачем сначала импортировать тарбол, потом его мержить, а потом делать
tar: openssl
в rules
и хранить отдельно патчи?

Или это такой способ вести историю апстримных тарболов в отдельной чистой ветке?
Тогда хочется узнать, почему же не забрать апстримный git?