Hallo! On 29 Jan 2004 at 10:43 +0100, Markus Gürtler wrote:
[Quoting ergänzt] > Andreas Pakulat wrote: > > Hat man schon oefters hier gelesen, aber bist du dir ueber den Aufwand > > im klaren den das security Team haette wenn es einen weiteren Zweig > > ausser stable betreuen muesste! > > Naja, Security-Patches in veraltete Programmversionen einzubauen, die schon > lange nicht mehr von den Entwicklern gepflegt werden ist ebenfalls sehr > aufwendig! Vollkommen richtig. > Wenn die Pakete stets aktuell wären, müßte man nur auf den Fix der > Entwickler warten (das geht ja meistens recht schnell) und die Pakete > updaten. [...] > Prinzipiell wäre aber so eine Art current-stable Tree die Mutter aller > Lösungen. :-) So einfach ist das nicht, wenn man es verantwortungsvoll und richtig machen will. Erstens kann die den Sicherheits-Fix enthaltende neue (Upstream)-Version Inkompatibilitäten zu bisherigen Installationen nach sich ziehen, siehe zum Beispiel CVS oder SSH. Deshalb sind Security-Updates auf zum Beispiel eine neue Major-Version im Produktivbereich eher ungern gesehen, da unter Umständen die gesamte Konfiguration angepasst werden müsste. Darüber hinaus wäre das Zusammenspiel der neuen Upstream-Version, welche neben dem Fix praktisch alles mögliche Neue enthalten kann, mit den bisherigen Paketen zu testen. Da Sicherheitsupdates ja möglichst zeitnah kommen sollten, ist die Anforderung, alle Auswirkungen einer neuen Programmversion auf das Gesamtsystem einzuschätzen, in jedem Fall ein unnötig retardierendes Moment. Werden die Fixes in die bereits integrierte Version eingepflegt, sind die Änderungen und Auswirkungen trotz aller vom Security-Team zunächst zu leistender Mehrarbeit in aller Regel überschaubarer. Natürlich stimme ich dir ausdrücklich zu, dass man sehr wohl stets die neuesten Upstream-Versionen fahren und dabei sicherheitstechnisch sehr gut dastehen kann. Für Produktivumgebungen halte ich ein derart flüchtiges 'moving target' allerdings in den seltensten Fällen geeigneter als ein gut gepflegtes Stable-System. YMMV. Gruß, Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ······································································· Heisenberg might have been here.
pgp00000.pgp
Description: PGP signature
