前田です。

2008/07/09 15:54 Urabe Shyouhei <shyouhei / ruby-lang.org>:
> つまり今の私達のセキュリティフィックス基準というのは実はたいへんに偏って
> いると思います。「セキュリティフィックスに限る」とかにしてしまうなら、い
> まよりきちんと何をもってセキュリティ上の脅威と呼ぶか決めておかないと、な
> んでもかんでもセキュリティフィックスだと叫び出す人が出てきたり、なにもか
> もがセキュリティフィックスではないと叫び出す人が出てくるでしょう。

セキュリティフィックスに限ると言いたいわけではなくて、リリースする必要がある
と判断されるような重要な修正のみに限ってはどうかという提案です。
セキュリティフィックスについても、それほど重要ではないと判断したものは
ruby_1_8_6/ruby_1_8_7には適用しない、という方針です。
もちろん、判断の基準があった方がよい(Debianのstableに対するポリシーが
参考になるかもしれません、と思ったのですが参考URLがぱっと見つからない)
とは思うのですが、ある程度恣意的な側面が残っても仕方ないんじゃないですかね。

適用しなかった結果、「この修正を適用しないなんてけしからん」という人が多け
れば、そこで考え直して適用したバージョンをリリースすればよいんじゃないでしょ
うか。
逆にそういう人がそれほど出て来ない修正については、1.8系の最新を使うか、
自分でバックポートしてください、ということで。

どんなにがんばっても批判はあると思いますが、ちゃんと耳を傾けた上で、同意
して対処したり、反論したり、場合によっては無視すればよいと思います。

> 私は、今のなんとなくユルい運用も嫌いではありませんが、いまの運用が許され
> ているのは、ひとえに「問題に対する修正は重要度に限らずやがてすべての枝に
> 入る」という前提があるからだと思っています。この前提なしでは、ある問題に
> 対する重要度の評価がいまほどダメな状態は危険だと思います。

私としては先ほど書いたような考えなので、その前提には疑問があります。
また、修正が少ないブランチにメリットを見い出すユーザもいると思います。
バグ修正とはいえ、Rubyの挙動が変わればアプリケーションが期待通りに動作
しなくなる可能性もあるわけですから。

自分の提案で、何の問題もない理想的な状況になるとは思いませんが、
限られたリソースですぐにできる対策としては、それなりに有効なんじゃな
いでしょうか。

で、他の対策をする必要がないと思っているわけではなくて、重要度の評価基準
やリリース前のテストの強化についても別途検討した方がよいと思います。
とくにテストについては、わりとだれでもできて、かつボランティアでやるにはモチ
ベーションを維持しにくい作業が多いと思うので、Rubyアソシエーションで何か
できないか検討したいと思います。

-- 
Shugo Maeda