[Postfixbuch-users] clamav stirbt

[Christian Bricart]

vorweg: ich bin damit (<- Debian-Policy) auch nicht zufrieden ;-) Ich 
versuche das dann nur mal zu erklären, wie das wohl gemeint sein soll..

Peer Heinlein schrieb:
> [..]

> Um einen benutzbaren Clam zu kriegen, muß man auf volatile zurückgreifen, 
> wurde mir gesagt. Okay, das finde ich schon arg merkwürdig. Eine 
> Standard-Installation ermöglicht schlichtweg kein lauffähiges Debian und 
> der (unwissende) Admin darf erstmal eigene unstable-Paketquellen 
> einpflegen. Warum bitte wird ClamAV dann nicht gesperrt, als buggy 
> geupdated oder sonst was damit gemacht?!
> 
> Wir reden hier von Virenkillern! Debian will mir doch nicht erklären, daß 
> ich da zwei Jahre lang keine Updates machen darf weil das Binary nicht in 
> der Versionsnummer aktualisiert werden darf/soll.

Aber genau dafür ist doch das Debian-Volatile-Projekt...

Weil eben die Debian-Policy sagt, dass es innerhalb eines Lebenszyklus 
(soll heissen: "Sarge", "Etch", "Lenny") es keine Versionsupdates geben 
darf, weil QA sagt: "Diese Version haben wir mit den ganzen anderen 
Paketen und ihren hier enthaltenen Versionen getestet und die laufen 
alle miteinander. Neue Versionen von Paketen mit neuen Features (und 
evtl. neuen Schnittstellen/API/ABI/etc.) erfordern evtl. das Anheben 
anderer Paketversionen. Deshalb werden ausschliesslich Bug- und 
Security-Fixes geliefert."

Volatile wiederum beinhaltet Paktete, die eben "volatil" - d.h. in 
Bewegung sind. Um zu funktionieren _müssen_ hier und da Schnittstellen 
geändert werden, oder neue (<- lies: den neuen Gegebenheiten angepasste) 
Features implizieren eine Anhebung der Versionsnummer des Pakets und 
_können nicht_ als Patch in die Versionsnummer des Pakets aus "stable" 
zurückportiert werden - diese Eigenschaft steht in direktem Widerspruch 
zur stable-Policy.
Als Beispiel eben: clamav, timezones, ..

Das Debian-Volatile Repository ist mitnichten als "unstable" zu 
bezeichnen. Das sind eher andere Repositories wie z.B.: "backports".
Auch Volatile hat eine (eigene) QA-Abteilung, die nur getestete Archive 
in den Baum entlässt. Unter Volatile gibt es auch noch 
"volatile-sloppy", welches bei Updates evtl. das Eingreifen des Admins 
erfordert, weil sich zum Update auf die neue Version z.B. 
Konfigurationsdateien derart geändert haben, dass man nicht einfach 
blind eine neue Paketversion einspielen kann.
Für Pakte schnellstmöglich - aber ungetestet - zu bekommen, bindet man 
"volatile-<distname>-proposed-updates" ein... und bekommt evtl. ein 
neues aber evtl. kaputtes Paket...

Und zu deiner Frage "Warum bitte wird ClamAV dann nicht gesperrt, als 
buggy geupdated oder sonst was damit gemacht?!":

Prinzipiell stünde zur Diskussion, warum z.B. clamav überhaupt in 
"stable" mit ausgeliefert wird, und warum man nicht einfach drauf 
verzichtet und den Hinweis auf die Benutzung von volatile in die FAQ 
schreibt..
Darauf habe ich aber auch keine Antwort ;-)

> 
> Ich vertstehe das nicht. Wie soll man mit dem Material zuverlässig und 
> entspannt arbeiten?

Eben genau das versucht die Debian-Release-Policy zu garantieren: Ohne 
Nachzudenken "neue" (<- lies: gepatchte) Pakete einzuspielen, ohne die 
Stabilität des Gesamtsystems zu beeinflussen.

> 
> Oder aber: Ich habe es einfach nicht gerafft. Kann ja sein. Dann klärt 
> mich doch mal auf, damit ich mich nicht jede Debian-Installation erneut 
> drüber aufregen muß. Das meine ich jetzt ganz ernst. HELFT MIR! :-)

Hoffe ein wenig Licht in dein Dunkel gegeben zu haben
   Christian (der allerdings für Serversysteme sowieso keine 
release-zyklen-behaftete Distributionen mehr einsetzt)