Например, я использую версию 2026.4.2, в которой, согласно отчёту, исправлено 25 уязвимостей по сравнению с 2026.4.
Поскольку 2026.4.2 вышла совсем недавно, я ожидал бы, что она содержит обратные порты большинства или всех исправлений безопасности из 2026.6, которая вышла примерно в то же время.
Но нет, снова я вижу исправление 25 уязвимостей. Скорее всего, это те же самые.
Действительно, в 2026.6, согласно отчёту, исправлено — угадайте что — 25 уязвимостей по сравнению с 2026.4.2.
Возможно, точные номера версий не отображаются корректно?
Я ожидаю, что использование 2026.4.2 примерно так же безопасно, как и 2026.6.0, и если это так, то это должно быть видно при сравнении релизов.
В ней действительно есть обратные порты, и, я думаю, в этом и заключается проблема… мы рассматриваем только переход от 2026.4.2 к 2026.6 и выбираем «вот исправления безопасности в этой версии», не проверяя, были ли они уже применены в вашей текущей версии.
Я прав, @david? Исправление должно заключаться в проверке, есть ли в текущей версии те же патчи, что и в новой, и исключении совпадений?
Да, это совершенно верно, это просто артефакт того, как сайт релизов выполняет сравнения. Мы переносим все исправления безопасности во все поддерживаемые на данный момент релизы.
Посмотрю, сможем ли мы добавить какую-то логику, чтобы кросс-релизные сравнения на сайте работали лучше
где в настоящее время отображается 11 исправлений безопасности относительно v2026.6.0-latest. Это верно? Быстрая проверка трёх из них показывает, что все они уже исправлены в 2026.6.0
Да. Версия 2026.6.0-latest вышла раньше, чем 2026.6.0, и большинство коммитов, помеченных как 2026.6.0-latest, уязвимы к этим проблемам безопасности.
Так что если вы используете 2026.6.0-latest, вам нужно обновиться до 2026.7.0-latest. (или до 2026.6.0, но это означает переход на канал «release» вместо «latest")
Хм, хорошо, я это вижу, спасибо. Я ожидал, что фактическая метка для -latest будет соответствовать последней версии этого варианта.
Фактическая проблема, которую я пытаюсь решить, или вопрос, на который мне нужно регулярно отвечать, заключается в том, получит ли моя установка важные исправления безопасности, если я обновлюсь до какой-то конкретной более поздней версии. Поэтому я надеюсь получить список исправлений, которые есть в этой более поздней версии по сравнению с моей текущей, а затем изучить их, чтобы понять, применимы ли они или выглядят ли они серьезными. (Например, всё, что касается чата или входящей почты, не относится к моим установкам).
Это имеет смысл? Я стараюсь обновляться, когда считаю это необходимым, и в остальном как можно реже.
Если вы используете раздел «Дополнительно» в верхней части журнала изменений, вы можете указать конкретные коммиты. Недавно мы добавили ссылки на этот формат в верхней части панели администратора для самостоятельно размещаемых сайтов:
Спасибо… Я не вижу там раздела «исправления безопасности» — в частности, в этом случае. (Это версия, используемая на конкретном форуме, которым я пользуюсь.)
Спасибо за пример ссылки. Проблема с сравнениями неподдерживаемых релизов теперь исправлена, так что вы увидите все проблемы безопасности, которые вас затрагивают
Да, в данном случае это было бы полезно, учитывая количество новых заметных изменений. Хотя я должен подчеркнуть: сравнение с версией, которая уже более года не поддерживается, не должно быть чем-то обычным
Действительно, но одним из мотивов для обновления может быть взгляд на исправления безопасности — это может быть более убедительным, чем список новых функций!