<div dir="ltr">To All,<div><br></div><div>There is an Arch security team, but they don't necessarily have developer access. The strategy is to current report to the arch-security mailing list and file a bug report. I'd just like to know if security issues that are reported are already fixed (since there is a delay for non-distro subscribing lists). Could developers file any security changes they make in the arch-security mailing list as well then?</div>
<div><br></div><div>Regards,</div><div>Mark</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jun 5, 2014 at 7:13 PM, Daniel Micay <span dir="ltr"><<a href="mailto:danielmicay@gmail.com" target="_blank">danielmicay@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 05/06/14 05:36 PM, Allan McRae wrote:<br>
> On 06/06/14 05:14, Mark Lee wrote:<br>
>> To All,<br>
>><br>
>> There are several linux-distro subscription requests on the oss-security<br>
>> mailing list, and some bugs are disclosed first on that mailing list. I<br>
>> just want to be sure that Arch Linux is getting this expedited<br>
>> notification of bugs. Are you still on it Allan?<br>
>><br>
><br>
> Yes - I pass on the worst (or at least let people know the public<br>
> release dates if not the details).<br>
><br>
> A<br>
<br>
</div></div>There's not much we really can do to prepare since we're unlikely to<br>
have anything to backport. The work to backport to the stable release<br>
will already be done for anything important enough to go through an<br>
embargo. A restriction on disclosure for 7 days just means we'll get the<br>
fix 7 days later.<br>
<br>
The important issue here is that there needs to be enough interest in<br>
security by developers and trusted users to prioritize these package<br>
upgrades even if it's not a package they maintain, because the<br>
maintainer might not be around.<br>
<br>
</blockquote></div><br></div>