Eu hospedo o Discourse de forma auto-hospedada. Mas não gosto de implantar versões instáveis (betas ou, pior ainda, de testes aprovados). No entanto, parece que o Discourse só inclui correções de segurança nessas versões instáveis. Assim, administradores de servidor que preferem implantar apenas a partir de versões estáveis ficam sem atualizações de segurança potencialmente críticas.
Um exemplo recente disso é o 2.7.0 beta5, que inclui uma correção de segurança. A última versão estável foi lançada há 29 dias (v2.6.3), mas a versão com a correção de segurança só ficou disponível no v2.7.0.beta5 (publicado há 23 dias). Por causa disso, recebo o seguinte aviso no meu painel:
E, para receber essa correção de segurança, não tenho outra escolha a não ser atualizar para uma versão beta…
O Discourse é um software incrível e entendo que a CDCD implanta branches instáveis (tests-passing) para seus clientes. No entanto, inicio este tópico por preocupação de que alguns administradores de sistema possam perder atualizações críticas…
Com isso, peço à equipe do Discourse que faça o backport de atualizações de segurança de média/alta gravidade, lançando uma versão estável com essa correção de segurança o mais rápido possível.
As versões estáveis recebem correções de segurança conforme necessário. No entanto, nem toda correção de segurança mencionada nas notas de lançamento da versão beta precisa ser portada para trás. Algumas podem ser triviais ou menores e não valerem o esforço ou o risco de serem portadas. Outras podem ser de gravidade média ou crítica, mas já foram alteradas em uma versão beta anterior, de modo que a vulnerabilidade de segurança não existe na versão estável.
No exemplo atual da versão 2.7.0.beta5, a vulnerabilidade só poderia ser explorada em circunstâncias específicas, em sites que se desviaram das configurações padrão de segurança. Por isso, decidiu-se não realizar a portagem para trás, devido ao risco de introduzir bugs ou alterações inesperadas, algo que tentamos evitar na ramificação estável.
Acredito que, se você especificou a branch estável, não haveria recomendação de atualização.
Muitos mais sites executam o branch tests-passed do que o stable ou beta (incluindo a hospedagem da cdck), de modo que o tests-passed é, de certa forma, mais seguro que o stable. Por isso, acho que executar o stable exige mais trabalho. Dito isso, quem executa o stable frequentemente elogia aqui o quanto são bons em fazer backport de correções críticas.
