<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le jeu. 4 juil. 2024 à 06:33, Salvatore Bonaccorso <<a href="mailto:carnil@debian.org">carnil@debian.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
On Wed, Jul 03, 2024 at 11:36:46PM +0200, Jérémy Lal wrote:<br>
> Le mer. 3 juil. 2024 à 23:04, Andres Salomon <<a href="mailto:dilinger@queued.net" target="_blank">dilinger@queued.net</a>> a écrit :<br>
> <br>
> ><br>
> ><br>
> > On 6/25/24 16:34, Jérémy Lal wrote:<br>
> > ><br>
> > ><br>
> > > Le mar. 25 juin 2024 à 22:22, Salvatore Bonaccorso <<a href="mailto:carnil@debian.org" target="_blank">carnil@debian.org</a><br>
> > > <mailto:<a href="mailto:carnil@debian.org" target="_blank">carnil@debian.org</a>>> a écrit :<br>
> > [...]<br>
> > ><br>
> > >     Thanks a lot for your work Adrian. Please note that there is<br>
> > currently<br>
> > >     a nodejs upload pending for releasing via a DSA, which will rebase<br>
> > >     nodejs to 18.20.3+dfsg-1~deb12u1 so this might invalidate those<br>
> > >     changes.<br>
> > ><br>
> > >     Jérémy, Aron is that something you want to have included in your<br>
> > >     prepared update?<br>
> > ><br>
> > ><br>
> > > Indeed, it's applied to 18.20.3+dfsg-1~deb12u1, along with other skipped<br>
> > > tests.<br>
> > > I'll resume work on this by the end of the week.<br>
> > ><br>
> ><br>
> > While we wait for this, is there any reason to keep the existing<br>
> > 18.20.3+dfsg-1~deb12u1 upload in the embargoed security queue? Security<br>
> > packages are actively building against it, which is a bit of a problem<br>
> > for reproducibility. Someone actually asked me about oddities in the<br>
> > chromium package that was originally built for bookworm-security, and<br>
> > now sits in the 12.6 point release. It turns out that it built against<br>
> > the embargoed nodejs, but since that nodejs package was never released,<br>
> > they can't use it to reproduce the chromium in 12.6.<br>
> ><br>
> > If there's a new nodejs bookworm-security package being uploaded at some<br>
> > point and the currently embargoed nodejs package will never be released,<br>
> > perhaps we should REJECT it now?<br>
> ><br>
> <br>
> Sorry, probably me being overbooked here.<br>
> I was supposed to check the regressions against it, and been on another job<br>
> since then.<br>
<br>
Aron is taking care of the DSA, so I do not want to interfer here with<br>
his planning, but sharing an idea: There will be an upcoming release<br>
for nodejs on Monday, 8th (actually was planned for today):<br>
<a href="https://nodejs.org/en/blog/vulnerability/july-2024-security-releases" rel="noreferrer" target="_blank">https://nodejs.org/en/blog/vulnerability/july-2024-security-releases</a><br>
<br>
Do you think you will be less overbooked, can review the regression<br>
report and with Aron's help work on fixing the new CVEs for mondays<br>
release and we base the update upon that?<br></blockquote><div><br></div><div>Yes, I'll have more time next week, so it's doable.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Again, I do not mean to interfer here with Aron was thinking about<br>
releasing the packages.<br>
<br>
Regards,<br>
Salvatore<br>
</blockquote></div></div>