是的,安全修复通常会向后移植。严重(例如导致 Discourse 无法使用的阻塞性)漏洞也会被向后移植。但许多不太严重的漏洞可能不会。向后移植本身存在风险,可能会意外引入回归问题,还会迫使使用稳定版的用户进行更新,等等。
我们的一般建议是,站点应遵循 tests-passed 分支(这是默认设置),并在有新版本(beta)发布时进行更新。在某些情况下,稳定版可能是推荐的选择,例如使用了复杂插件并覆盖了核心模板的站点。但对于标准的 Docker 安装站点,请坚持使用 tests-passed。虽然软件行业中“beta”一词往往让人联想到“会有漏洞”,但这并非我们的本意。Discourse 的所有版本,包括 tests-passed、beta、stable 等,都包含漏洞。
如果你在 tests-passed 上发现漏洞并报告,很有可能在几天内得到修复,你可以通过更新来消除该漏洞。你可能会遇到更多(独特的)漏洞,但它们会被迅速修复。至于稳定版,正如 Kris 提到的,在 4 到 6 个月的发布周期内,你不应该看到任何新漏洞,但你遇到的任何漏洞在下一个稳定版发布之前都不会消失。在任何给定时间,你拥有的漏洞数量可能比在 tests-passed 上更多,因为它们不会被修补,但这些漏洞应该是相对固定的。