J’héberge moi-même Discourse. Cependant, je n’aime pas déployer des versions instables (bêtas, ou pire : issues de tests en cours). Pourtant, il semble que Discourse n’inclue les correctifs de sécurité que dans ces versions instables. Ainsi, les administrateurs de serveur qui préfèrent déployer uniquement des versions stables manquent potentiellement des mises à jour de sécurité critiques.
Un exemple récent est la 2.7.0 beta5, qui inclut un correctif de sécurité. La dernière version stable datait de 29 jours (v2.6.3), mais la version contenant le correctif de sécurité n’a été publiée que sur v2.7.0.beta5 (publiée il y a 23 jours). À cause de cela, j’obtiens l’avertissement suivant sur mon tableau de bord :
Et pour recevoir ce correctif de sécurité, je n’ai d’autre choix que de mettre à jour vers une version bêta…
Discourse est un excellent logiciel et je comprends que CDCK déploie des branches instables (tests en cours) chez ses clients. Cependant, je lance ce sujet par crainte que certains administrateurs système ne manquent des mises à jour critiques…
Dans cette optique, je demande à l’équipe Discourse de rétroporter les correctifs de sécurité de niveau moyen/élevé et de publier une version stable incluant ce correctif de sécurité dans les plus brefs délais.
Les versions stables reçoivent des correctifs de sécurité lorsque cela est nécessaire. Cependant, tous les correctifs de sécurité mentionnés dans les notes de version bêta ne nécessitent pas de rétroportage. Certains peuvent être triviaux ou mineurs et ne valent pas l’effort ou le risque liés au rétroportage. D’autres peuvent être de gravité moyenne ou critique, mais sont dus à des modifications apportées dans une version bêta antérieure, de sorte que la vulnérabilité de sécurité n’existe pas sur la version stable.
Dans l’exemple actuel de 2.7.0.beta5, la vulnérabilité ne pouvait être exploitée que dans des circonstances spécifiques, sur des sites qui s’étaient écartés des paramètres de sécurité par défaut. Par conséquent, il a été décidé de ne pas procéder au rétroportage, en raison du risque d’introduire des bugs ou des modifications inattendus, ce que nous cherchons à éviter sur la branche stable.
Je pense que si vous aviez spécifié la branche stable, cela ne recommanderait pas la mise à niveau.
Beaucoup plus de sites exécutent des tests passés que la version stable ou bêta (y compris l’hébergement cdck), de sorte que tests-passés est en quelque sorte plus sûr que stable. Pour cette raison, je pense que c’est plus de travail d’exécuter stable. Cela dit, ceux qui exécutent stable parlent souvent ici de la qualité de leur rétroportage des correctifs critiques.
