Ich hoste Discourse selbst. Allerdings möchte ich keine instabilen Releases bereitstellen (Betaversionen oder noch schlimmer: Versionen, die nur aus Tests bestehen). Es scheint jedoch, dass Discourse Sicherheitskorrekturen nur in diesen instabilen Releases enthält. Serveradministratoren, die es vorziehen, ausschließlich stabile Versionen einzusetzen, verpassen dadurch potenziell kritische Sicherheitsupdates.
Ein aktuelles Beispiel dafür ist 2.7.0 beta5, das eine Sicherheitskorrektur enthält. Das letzte stabile Release war vor 29 Tagen erschienen (v2.6.3), doch die Version mit der Sicherheitskorrektur wurde erst vor 23 Tagen als v2.7.0.beta5 veröffentlicht. Deshalb erhalte ich auf meinem Dashboard folgende Warnung:
Um dieses Sicherheitsupdate zu erhalten, muss ich zwangsläufig auf eine Betaversion updaten.
Discourse ist eine großartige Software, und ich verstehe, dass CDCD instabile Zweige (tests-passing) bei ihren Kunden bereitstellt. Dennoch starte ich diesen Thread aus Sorge, dass einige Systemadministratoren kritische Updates verpassen könnten.
Daher bitte ich das Discourse-Team, mittlere und hohe Sicherheitsupdates zurückportieren zu lassen und so schnell wie möglich eine stabile Version mit diesen Sicherheitskorrekturen zu veröffentlichen.