Me autoalojo Discourse. Sin embargo, no me gusta desplegar versiones inestables (betas o, lo que es aún peor, aquellas donde solo han pasado las pruebas). No obstante, parece que Discourse solo incluye correcciones de seguridad en estas versiones inestables. Así que los administradores de servidores que prefieren desplegar únicamente desde versiones estables se quedan sin actualizaciones de seguridad potencialmente críticas.
Un ejemplo reciente de esto es la 2.7.0 beta5, que incluye una corrección de seguridad. La última versión estable salió hace 29 días (v2.6.3), pero la versión con la corrección de seguridad solo se puso a disposición en la v2.7.0.beta5 (publicada hace 23 días). Debido a esto, obtengo la siguiente advertencia en mi panel de control:
Y para recibir esta corrección de seguridad no tengo más opción que actualizar a una beta…
Discourse es un software excelente y entiendo que CDCK despliega ramas inestables (tests-passing) a sus clientes. Sin embargo, inicio este hilo por la preocupación de que algunos administradores de sistemas puedan perderse actualizaciones críticas…
Por ello, solicito al equipo de Discourse que realice el backport de actualizaciones de seguridad de nivel medio/alto y que publique una versión estable con dicha corrección de seguridad lo antes posible.
Las versiones estables reciben correcciones de seguridad cuando corresponde. Sin embargo, no todas las correcciones de seguridad mencionadas en las notas de lanzamiento de la beta requieren ser trasplantadas. Algunas pueden ser triviales o menores, y no valen la pena por el esfuerzo o el riesgo que implica su trasplante. Otras pueden ser de gravedad media o crítica, pero se deben a cambios en una beta anterior, de modo que la vulnerabilidad de seguridad no existe en la versión estable.
En el ejemplo actual de 2.7.0.beta5, la vulnerabilidad solo podía ser explotada bajo circunstancias específicas, en sitios que se habían desviado de la configuración predeterminada segura. Por lo tanto, se decidió no trasplantarla debido al riesgo de introducir errores o cambios inesperados, algo que intentamos evitar en la rama estable.
Creo que si tú especificaste la rama estable, entonces no se estaría recomendando la actualización.
Muchos más sitios tienen pruebas aprobadas que estable o beta (incluyendo el alojamiento de cdck), por lo que “tests-passed” es, en cierto sentido, más seguro que “stable”. Debido a eso, creo que ejecutar “stable” requiere más trabajo. Dicho esto, quienes ejecutan “stable” suelen hablar muy bien aquí de lo bien que gestionan los backports de correcciones críticas.
