Мы пытаемся урезать двоичные пакеты, перечисленные в наших USN, только до тех пакетов, которые, по нашему мнению, связаны с рассматриваемыми исправлениями, чтобы электронные письма не представляли собой смехотворно длинные списки из десятков или сотен пакетов. (Пакеты -dev или -doc практически никогда не затрагиваются проблемами безопасности.)
Мы решили перечислить все двоичные пакеты, сгенерированные из одного исходного пакета, как затронутые в наших каналах данных OVAL. Хотя это может ввести в заблуждение с точки зрения пакетов с исходным кодом, которые предоставляют как клиентов, так и серверы, это консервативный выбор, который также отражает ожидаемые обновления пакетов.
(В конкретном случае с MySQL это тоже хорошая идея: Oracle не публикует много информации о своих проблемах с безопасностью.Мы не должны пытаться угадать, какой бинарный пакет содержит какие именно исправления CVE от Oracle. Лучше обновить их все, когда они будут выпущены, а не пытаться понять, какие конкретные исправления находятся в каких конкретных пакетах.)
Список пакетов USN немного урезан, чтобы их можно было прочитать. ОВАЛ намеренно перечисляет все. У обоих подходов есть проблемы, но мы решили, что OVAL должен ошибаться в плане безопасности, а USN — в отношении удобочитаемости.
Спасибо
