Путаница с исправлениями безопасности, как сообщается на releases.discourse.org

Например, я использую версию 2026.4.2, в которой, согласно отчёту, исправлено 25 уязвимостей по сравнению с 2026.4.

Поскольку 2026.4.2 вышла совсем недавно, я ожидал бы, что она содержит обратные порты большинства или всех исправлений безопасности из 2026.6, которая вышла примерно в то же время.

Но нет, снова я вижу исправление 25 уязвимостей. Скорее всего, это те же самые.

Действительно, в 2026.6, согласно отчёту, исправлено — угадайте что — 25 уязвимостей по сравнению с 2026.4.2.

Возможно, точные номера версий не отображаются корректно?

Я ожидаю, что использование 2026.4.2 примерно так же безопасно, как и 2026.6.0, и если это так, то это должно быть видно при сравнении релизов.

В ней действительно есть обратные порты, и, я думаю, в этом и заключается проблема… мы рассматриваем только переход от 2026.4.2 к 2026.6 и выбираем «вот исправления безопасности в этой версии», не проверяя, были ли они уже применены в вашей текущей версии.

Я прав, @david? Исправление должно заключаться в проверке, есть ли в текущей версии те же патчи, что и в новой, и исключении совпадений?

Да, это совершенно верно, это просто артефакт того, как сайт релизов выполняет сравнения. Мы переносим все исправления безопасности во все поддерживаемые на данный момент релизы.

Посмотрю, сможем ли мы добавить какую-то логику, чтобы кросс-релизные сравнения на сайте работали лучше :eyes:

Это решит проблему:

Спасибо — подтверждаю, что с версии 2026.4.2 по 2026.6 исправлений безопасности больше не отображается, что и ожидалось.

Возник ещё один связанный вопрос. На странице релизов текущий находящийся в разработке 2026.7 предлагает две ссылки:

Вторая из них ведёт нас на

где в настоящее время отображается 11 исправлений безопасности относительно v2026.6.0-latest. Это верно? Быстрая проверка трёх из них показывает, что все они уже исправлены в 2026.6.0

Да. Версия 2026.6.0-latest вышла раньше, чем 2026.6.0, и большинство коммитов, помеченных как 2026.6.0-latest, уязвимы к этим проблемам безопасности.

Так что если вы используете 2026.6.0-latest, вам нужно обновиться до 2026.7.0-latest. (или до 2026.6.0, но это означает переход на канал «release» вместо «latest")

Хм, хорошо, я это вижу, спасибо. Я ожидал, что фактическая метка для -latest будет соответствовать последней версии этого варианта.

Фактическая проблема, которую я пытаюсь решить, или вопрос, на который мне нужно регулярно отвечать, заключается в том, получит ли моя установка важные исправления безопасности, если я обновлюсь до какой-то конкретной более поздней версии. Поэтому я надеюсь получить список исправлений, которые есть в этой более поздней версии по сравнению с моей текущей, а затем изучить их, чтобы понять, применимы ли они или выглядят ли они серьезными. (Например, всё, что касается чата или входящей почты, не относится к моим установкам).

Это имеет смысл? Я стараюсь обновляться, когда считаю это необходимым, и в остальном как можно реже.