Hallo! On 29 Jan 2004 at 10:43 +0100, Markus G�rtler wrote:
[Quoting erg�nzt] > Andreas Pakulat wrote: > > Hat man schon oefters hier gelesen, aber bist du dir ueber den Aufwand > > im klaren den das security Team haette wenn es einen weiteren Zweig > > ausser stable betreuen muesste! > > Naja, Security-Patches in veraltete Programmversionen einzubauen, die schon > lange nicht mehr von den Entwicklern gepflegt werden ist ebenfalls sehr > aufwendig! Vollkommen richtig. > Wenn die Pakete stets aktuell w�ren, m��te man nur auf den Fix der > Entwickler warten (das geht ja meistens recht schnell) und die Pakete > updaten. [...] > Prinzipiell w�re aber so eine Art current-stable Tree die Mutter aller > L�sungen. :-) So einfach ist das nicht, wenn man es verantwortungsvoll und richtig machen will. Erstens kann die den Sicherheits-Fix enthaltende neue (Upstream)-Version Inkompatibilit�ten zu bisherigen Installationen nach sich ziehen, siehe zum Beispiel CVS oder SSH. Deshalb sind Security-Updates auf zum Beispiel eine neue Major-Version im Produktivbereich eher ungern gesehen, da unter Umst�nden die gesamte Konfiguration angepasst werden m�sste. Dar�ber hinaus w�re das Zusammenspiel der neuen Upstream-Version, welche neben dem Fix praktisch alles m�gliche Neue enthalten kann, mit den bisherigen Paketen zu testen. Da Sicherheitsupdates ja m�glichst zeitnah kommen sollten, ist die Anforderung, alle Auswirkungen einer neuen Programmversion auf das Gesamtsystem einzusch�tzen, in jedem Fall ein unn�tig retardierendes Moment. Werden die Fixes in die bereits integrierte Version eingepflegt, sind die �nderungen und Auswirkungen trotz aller vom Security-Team zun�chst zu leistender Mehrarbeit in aller Regel �berschaubarer. Nat�rlich stimme ich dir ausdr�cklich zu, dass man sehr wohl stets die neuesten Upstream-Versionen fahren und dabei sicherheitstechnisch sehr gut dastehen kann. F�r Produktivumgebungen halte ich ein derart fl�chtiges 'moving target' allerdings in den seltensten F�llen geeigneter als ein gut gepflegtes Stable-System. YMMV. Gru�, Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ����������������������������������������������������������������������� Heisenberg might have been here.
pgp00000.pgp
Description: PGP signature
