<div dir="ltr">hi,<div><br></div><div class="gmail_extra"><div class="gmail_quote">On Mon, Sep 23, 2013 at 8:56 PM, Jonas Smedegaard <span dir="ltr"><<a href="mailto:dr@jones.dk" target="_blank">dr@jones.dk</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Package: rt4-extension-jsgantt,trac-jsgantt<br>
Severity: normal<br>
Tags: security<br>
<br>
Packages rt4-extension-jsgantt and trac-jsgantt embed the Javascript<br>
library jsgantt.<br>
<br>
That Javascript library should instead be packaged separately and<br>
depended upon.  Package name should be libjs-jsgantt according to<br>
<<a href="https://wiki.debian.org/Javascript/Policy" target="_blank">https://wiki.debian.org/Javascript/Policy</a>>.<br>
<br>
This issue potentially affects security: See Debian Policy 3.9.4 § 4.13.</blockquote><div><br></div><div>Unfortunately, rt-extension-jsgantt includes modified version of jsgantt to </div><div>work with rt, so it couldn't depend on libjs-jsgantt if it exists.</div>
<div><br></div><div>regards,</div><div>-- <br></div></div>KURASHIKI Satoru
</div></div>