Я самостоятельно размещаю Discourse. Однако мне не нравится разворачивать нестабильные релизы (бета-версии или, что ещё хуже, сборки из веток с проходящими тестами). Тем не менее, похоже, что Discourse включает исправления безопасности только в эти нестабильные релизы. Таким образом, администраторы серверов, предпочитающие разворачивать только стабильные версии, упускают потенциально критические обновления безопасности.
Недавним примером этого является 2.7.0 beta5, включающий одно исправление безопасности. Последний стабильный релиз вышел 29 дней назад (v2.6.3), но релиз с исправлением безопасности стал доступен только в версии v2.7.0.beta5 (опубликовано 23 дня назад). Из-за этого на моей панели управления появляется следующее предупреждение:
И чтобы получить это исправление безопасности, у меня нет выбора, кроме как обновиться до бета-версии…
Discourse — это замечательный программный продукт, и я понимаю, что CDCK разворачивает нестабильные ветки (tests-passing) для своих клиентов. Однако я начинаю эту тему из опасения, что некоторые системные администраторы могут упустить критические обновления…
В связи с этим я прошу команду Discourse перенести исправления безопасности средней и высокой важности в стабильные версии и как можно скорее выпустить стабильный релиз с этим исправлением.
Стабильные сборки получают исправления безопасности по мере необходимости. Однако не каждое исправление безопасности, упомянутое в примечаниях к бета-выпуску, требует переноса. Некоторые из них могут быть тривиальными или незначительными, и их перенос не оправдан с точки зрения затрат усилий или рисков. Другие могут иметь среднюю или критическую важность, но они связаны с изменениями, внесёнными в более раннюю бета-версию, в результате чего уязвимость безопасности отсутствует в стабильной версии.
В текущем примере из версии 2.7.0.beta5 уязвимость могла быть использована только при определённых условиях на сайтах, отклонившихся от стандартных настроек безопасности. В связи с этим было принято решение не переносить это исправление из-за риска внесения неожиданных ошибок или изменений, которых мы стараемся избегать в стабильной ветке.
Я считаю, что если бы вы указали стабильную ветку, рекомендация обновления не появилась бы.
Больше сайтов используют ветку tests-passed, чем stable или beta (включая хостинг cdck), поэтому tests-passed в некотором смысле безопаснее, чем stable. Из-за этого, на мой взгляд, работа со стабильной версией требует больше усилий. Тем не менее, те, кто использует stable, часто высоко отзываются здесь о том, насколько хорошо в неё портируются критические исправления.
