core
1
私は Discourse をセルフホストしています。しかし、不安定なリリース(ベータ版、さらに言えばテスト通過版)をデプロイするのは好んでいません。ところが、Discourse ではセキュリティ修正がこれらの不安定なリリースにのみ含まれているようです。そのため、安定版からのみデプロイすることを好むサーバー管理者は、潜在的に重要なセキュリティ更新を見逃してしまいます。
この最近の例として、1 つのセキュリティ修正を含む 2.7.0 beta5 があります。最新の安定版リリースは 29 日前 (v2.6.3) でしたが、セキュリティ修正が含まれるリリースが利用可能になったのは v2.7.0.beta5(23 日前に公開)でした。このため、私のダッシュボードには以下の警告が表示されます。
そして、このセキュリティ修正を受け取るためには、ベータ版に更新するしか選択肢がありません。
Discourse は素晴らしいソフトウェアであり、CDCK がテスト通過ブランチ(不安定なブランチ)を顧客にデプロイしていることは理解しています。しかし、一部のシステム管理者が重要な更新を見逃してしまうのではないかという懸念から、このスレッドを開始しました。
これにより、Discourse チームに対して、中程度/高度なセキュリティ更新をバックポートし、そのセキュリティ修正を含む安定版を ASAP でリリースすることを要望します。
jomaxro
(Joshua Rosenfeld)
2
安定版ビルドでも、必要に応じてセキュリティ修正が適用されます。ただし、ベータ版のリリースノートに記載されたすべてのセキュリティ修正が安定版へのバックポートを必要とするわけではありません。一部は些細または軽微なものであり、バックポートする手間やリスクに見合わない場合があります。また、中程度または重大な修正であっても、以前のベータ版からの変更により、安定版ではそのセキュリティ脆弱性が存在しない場合もあります。
今回の 2.7.0.beta5 の例では、特定の状況下かつデフォルトの安全なサイト設定から逸脱したサイトでのみ脆弱性が悪用可能でした。そのため、安定版ブランチで意図しないバグや変更を導入するリスクを避けるため、バックポートしないことが決定されました。
「いいね!」 6
pfaffman
(Jay Pfaffman)
4
あなたが安定版ブランチを指定したのであれば、アップグレードを推奨することはないはずです。
テスト通過版は、安定版やベータ版よりも多くのサイト(cdck ホスティングを含む)で採用されており、ある意味では安定版よりも安全です。そのため、安定版を実行する方が手間がかかると思います。とはいえ、安定版を実行している人々は、このスレッドでクリティカルな修正をバックポートする能力の高さについてよく語っています。
「いいね!」 1
system
(system)
クローズされました:
5
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
