12.04 LTSリリースから4年後のユニバースリポジトリ内のパッケージにセキュリティの問題がある場合はどうなりますか。パッケージはアップストリームから更新されますか、パッチが適用されますか、それとも放置されますか?
「5年間のサポートとセキュリティの更新」は、Ubuntuのコア(メインリポジトリのすべてのもの)にのみ適用されると私は理解しています。Universeリポジトリにあるものではありません。
より具体的な例として、Rubyを今すぐインストールし、12.04に今後数年間使用したい場合、セキュリティ上の脆弱性があります。これは上流でパッチが適用される可能性があります(そのため、常に最新のものをWebサイトからダウンロードして自分でコンパイルするか、PPAを使用できます)が、この上流の修正は正確なパッケージリポジトリに移行されますか?バックポートについてはどうですか?
回答:
ユニバースのパッケージはコミュニティで管理されています。セキュリティ更新プログラムを入手するかどうかは、それらを使用するコミュニティに完全に依存します。
ユニバースのパッケージのセキュリティ更新を提供するための手順は次のとおりです。
https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update
基本的に、誰でもバグを報告し、debdiffを添付し、ubuntu-security-sponsorsチームをサブスクライブできます。チームの誰かがそれを見て、問題がないことを確認してから、アーカイブにスポンサーします。
あなたが提供したサンプル、Rubyはメインリポジトリにあり、5年間サポートされています:
$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y
「12.04 LXDEにはLTSがありますか?」に対する私の回答も参照してください。そして、はどのように効率的にインストールされた非LTSパッケージのリストを得るのですか?。
ユニバースのソフトウェアについては、5年間はもちろんのこと、公式にサポートされることすらありません。リポジトリのコミュニティWikiから:
Canonicalは、ユニバースコンポーネント内のソフトウェアの定期的なセキュリティアップデートの保証を提供していませんが、コミュニティによって利用可能になった場合にそれらを提供します。
ただし、ユニバースでソフトウェアを保守するコミュニティによってパッチが適用される一般的なパッケージで最も深刻な問題が発生する可能性があります。保証はありません。
バックポートについて、私の見解では、これらは本番環境では使用しないでください。