我自行托管 Discourse。但我不喜欢部署不稳定的版本(测试版,更糟糕的是:仅测试通过的版本)。然而,Discourse 似乎只在这些不稳定版本中包含安全修复。因此,倾向于仅部署稳定版本的服务器管理员可能会错过潜在的关键安全更新。
最近的一个例子是 2.7.0 beta5,其中包含一项安全修复。上一个稳定版本发布于 29 天前(v2.6.3),而包含该安全修复的版本直到最近才发布,即 v2.7.0.beta5(发布于 23 天前)。正因如此,我的仪表板上出现了以下警告:
为了获得这项安全修复,我别无选择,只能更新到测试版……
Discourse 是一款非常出色的软件,我理解 CDCK 会向客户部署不稳定的分支(测试通过)。然而,我发起此讨论是出于担忧:一些系统管理员可能会错过关键的安全更新……
因此,我想请求 Discourse 团队将中/高等安全更新向后移植,并尽快发布包含该安全修复的稳定版本。
稳定版构建在必要时会接收安全修复。然而,并非所有在测试版发布说明中提到的安全修复都需要向后移植。有些可能微不足道或影响较小,不值得为此投入精力或承担风险。另一些虽然属于中等或严重级别,但由于在更早的测试版中已发生变更,导致该安全漏洞在稳定版中已不存在。
以当前 2.7.0.beta5 中的示例为例,该漏洞仅在特定条件下、且网站未遵循默认安全设置时才能被利用。因此,出于避免引入意外错误或变更风险的考虑(我们力求在稳定分支中避免此类情况),决定不对该漏洞进行向后移植。
有道理,谢谢你的解释。
我认为,如果您指定的是稳定分支,系统就不会推荐升级。
运行“测试通过”分支的网站数量远多于稳定版或测试版(包括 cdck 托管),因此在某些方面,“测试通过”分支比稳定版更安全。正因如此,我认为运行稳定版需要更多工作。不过,经常使用稳定版的用户在此处也常称赞其回移植关键修复的能力非常出色。
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
