أقوم باستضافة discourse ذاتيًا. لكنني لا أحب نشر الإصدارات غير المستقرة (النسخ التجريبية أو الأسوأ من ذلك: من الاختبارات التي تم اجتيازها). ومع ذلك، يبدو أن discourse تتضمن إصلاحات الأمان فقط في هذه الإصدارات غير المستقرة. وبالتالي، فإن مسؤولي الخوادم الذين يفضلون النشر من الإصدارات المستقرة فقط يفوتون تحديثات أمان قد تكون حرجة.
مثال حديث على ذلك هو 2.7.0 beta5 الذي يتضمن إصلاحًا واحدًا للأمان. كان آخر إصدار مستقر قبل 29 يومًا ( v2.6.3 )، لكن الإصدار الذي يحتوي على إصلاح الأمان أصبح متاحًا فقط في v2.7.0.beta5 (نُشر قبل 23 يومًا). بسبب ذلك، أرى التحذير التالي في لوحة معلوماتي:
ولتطبيق هذا الإصلاح الأمني لا خيار لي سوى التحديث إلى إصدار تجريبي…
تُعد discourse قطعة برمجية رائعة، وأنا أفهم أن CDCD تنشر فروعًا غير مستقرة (اختبارات-تم-اجتيازها) لعملائها. ومع ذلك، أبدأ هذا الموضوع بدافع القلق من أن بعض مسؤولي الأنظمة قد يفوتونهم تحديثات حرجة…
لذلك، أطلب من فريق discourse إعادة ترحيل تحديثات الأمان متوسطة/عالية الخطورة، وإصدار نسخة مستقرة تحتوي على إصلاح الأمان هذا في أقرب وقت ممكن.
تتلقى الإصدارات المستقرة إصلاحات أمنية عند اللزوم. ومع ذلك، لا تتطلب كل إصلاحات أمنية مذكورة في ملاحظات إصدار النسخة التجريبية الترحيل العكسي. فبعضها قد يكون تافهاً أو بسيطاً، ولا يستحق الجهد أو المخاطر المرتبطة بالترحيل العكسي. والبعض الآخر قد يكون متوسط الخطورة أو حرجاً، لكنه ناتج عن تغييرات حدثت في نسخة تجريبية سابقة، مما يعني أن الثغرة الأمنية غير موجودة في الإصدار المستقر.
في المثال الحالي من النسخة 2.7.0.beta5، لم يكن من الممكن استغلال الثغرة الأمنية إلا في ظروف محددة، وعلى المواقع التي انحرفت عن إعدادات الموقع الآمنة الافتراضية. وبناءً على ذلك، تم اتخاذ قرار بعدم ترحيلها عكسياً، نظراً لمخاطر إدخال أخطاء غير متوقعة أو تغييرات، وهو ما نسعى لتجنبه في الفرع المستقر.
أعتقد أنه إذا كنت قد حددت الفرع المستقر، فلن يُوصى بالترقية.
توجد مواقع أكثر بكثير تعمل بنجاح اختبارات “tests-passed” مقارنة بالفرع المستقر أو النسخة التجريبية (بما في ذلك استضافة cdck)، لذا فإن “tests-passed” أكثر أمانًا من الناحية المستقرة إلى حد ما. وبسبب ذلك، أعتقد أن تشغيل الفرع المستقر يتطلب جهدًا أكبر. مع ذلك، فإن أولئك الذين يعملون بالفرع المستقر يتحدثون غالبًا بشكل إيجابي هنا عن مدى كفاءتهم في نقل التصحيحات الحرجة إلى الإصدارات الأقدم.
