1 月 3 日消息,据科技媒体 Tom's Hardware 今天报道,开发者 Jussi Pakkanen 最近指出,Debian 系统基于电子邮件的 Bug 管理机制正在主动劝退无私贡献者,导致大量漏洞长期缺乏维护。
据报道,Jussi Pakkanen 平时负责维护 Debian 系统里的 Meson 软件包。他指出,Debian 的漏洞管理系统至今只能使用特定格式电子邮件,向控制地址提交指令来修改状态。
虽然 Debian 官方提供了预览漏洞的网页界面,但关闭、重新指派、调整严重级别等编辑操作都只能通过邮件命令完成,完全没法使用现代化、具备身份验证的网页界面。
他直言道:“把电子邮件客户端作为修改漏洞的唯一方式实在是糟糕透顶。对我来说,这种糟糕的工作机制是我离开 Debian 开发工作的主要原因,我实在不愿意和这个追踪系统打交道,我怀疑不止一个人有这种感觉”。
Pakkanen 还表示,即使上游已经给出了解决方案,但这套追踪系统仍会给维护者带来不必要的额外负担,而且漏洞在本应关闭或重新分类时,仍可能长期保持未解决状态。
此外,他还对这套系统的安全性与可审计性提出质疑:既然只是发邮件改代码,那只要了解控制语法,任何人都能发送漏洞控制指令,而且这套系统并不强制验证身份,只作为可选项。
当然,并非所有人都认同他的观点。一些开发者认为,电子邮件是一种稳定且标准化的接口,完全不依赖网页服务或账户管理体系,在长期维护以及基础设施可靠性方面更具优势。
不过从事实角度讲,其实很久以前就有开发者呼吁为 Debian 漏洞追踪系统引入完整网页管理后台。Debian 自身文档显示,类似的提案早在 2000 年就已经出现,其中部分被标记为“wontfix”(IT之家注:不会修复),理由是电邮控制方式已足够,且更可靠、耐用。