WordPress безопасности команда обсуждает Backporting безопасности релизы меньше версий

Команда безопасности WordPress изучает различные подходы к backporting исправлений безопасности для старых версий программного обеспечения. Усилия, которые идут в поддержку версии обратно в 3.7 (выпуск, который представил автоматические обновления фона) увеличивается с каждой основной версии освобождены.

“Для команды Core Security это означает, что, когда обновления безопасности должны быть выпущены, мы должны принять процесс тестирования и выпуска не только к текущей версии WordPress, но мы должны проверить изменения, создать патчи кода, а затем выпустить в каждой основной версии вплоть до 3,7 “, безопасности привести Джейк Сперлок сказал. “С 5,3 за углом, что ставит нас на более чем пятнадцать основных версий WordPress для поддержки долгосрочной перспективе”.

Сперлок сказал 3,7 представляет 0,1% всех сайтов WordPress, но отметил, что поддержка старых версий требует “большого количества времени и энергии и вредит команде способность работать эффективно”.

Когда его спросили, сколько времени инвестиций в участие, Сперлок сказал, что она варьируется в зависимости от того, сколько билетов / вопросов должны быть портированы. Все патчи проверяются, тестируются и совершаются несколькими членами команды. В команде работает около 50 экспертов по безопасности, многие из которых работают в Automattic, хотя некоторые из них являются добровольцами.

“Проблема с разработкой безопасности релизов для старых версий WordPress заключается в объеме тестирования, а затем реинжиниринг, который специфичен для каждой старой версии WordPress”, сказал Сперлок. “В качестве примера. WordPress 4.2 получил довольно большой рефактор, и поэтому принимая исправить обратно до этого времени означает дополнительное тестирование, и обеспечение того, чтобы пути работает для патчей и многое другое. Заставить набор тестов работать над более старыми версиями также было трудно с изменениями кода, которые сопровождают каждую версию.”

Сперлок призвал к обратной связи и идеи о том, как команда безопасности может поддерживать меньше версий WordPress, сохраняя при этом пользователей в безопасности. Ведется активная дискуссия, и мнения варьируются от восторженной поддержки этой идеи до оппозиции.

Некоторые из тех, кто взвешивал, предпочитают ориентироваться на призывая пользователей обновляться по электронной почте для админов на старых установках и/или «пожалуйста, модернизируйте» виджет, портированный к более старым версиям. Как большая версия скачки могут быть пугающими для пользователей, некоторые рекомендуемые WordPress обеспечить лучшие способы сделать дополнительные обновления от старых версий до следующего последнего.

“Если цель состоит в том, чтобы держать пользователей WordPress в безопасности от хакеров и других агентов-изгоев, вы должны продолжать поддерживать старые версии с безопасностью релизы”, WordPress основной вклад Рами Yushuvaev сказал.

“WordPress 3.7 представляет 0,1% всех сайтов WordPress, но WordPress 3.0 – 3,6 представляет 1,6% всех сайтов WordPress. Вы не хотите увеличивать количество сайтов, использующих незащищенные версии. В текущей политике «старая версия» не является такой же, как «небезопасная версия».

“Я думаю, вы должны обучать пользователей использовать обновленное программное обеспечение, а не прекращать выпускать релизы безопасности для старых версий”.

Несколько комментаторов в пользу ограничения backporting исправления безопасности на определенное количество версий, как это было изложено бывшим WordPress безопасности привести, Аарон Кэмпбелл:

Мне нравится идея, если поддержка X версии обратно. Это позволяет пользователям знать, что они не должны обновляться до последней версии независимо от того, что наши циклы релиза, а также гарантирует, что мы можем в конечном итоге отточить на том, сколько версий на самом деле приемлемым для поддержки.

Поддержка X лет назад позволит пользователям знать, что они могут избежать обновления в течение определенного периода времени, но это также будет означать, что команда безопасности не всегда будет поддерживать то же количество версий, и если релиз когда-либо занимает больше времени, чем наше поддерживаемое время, то аль ожидается, что пользователи перейдут на последнюю версию (исключения всегда могут быть сделаны, но на них сложнее полагаться).

Стивен Эдгар (Stephen Edgar), один из сопровождающих компонента инструментов сборки WordPress, предложил внедрить автоматические обновления основной версии, чтобы продолжать двигать пользователей вперед к поддерживаемым версиям в волнах.

“Может быть, продолжать поставлять их до тех пор, пока “основные” обновления будут реализованы”, сказал Эдгар. “Текущее мышление заключается в том, чтобы добавить основные обновления до 3,7 во-первых, натыкаясь 3,7 до 3,8 через автоматические обновления. Как только это будет завершено, то обновления безопасности больше не будут возвращены в ветку 3.7.

“И аналогичным образом, как только 3,8 основных обновлений реализованы, т.е. 3,8 получает наткнулся на x.x затем снова, backports до 3,8 прекратится в то же время и так далее через ветви”.

Эдгар также отметил, что предоставление пользователям возможности выбрать автоматические обновления для основных основных релизов является одним из девяти проектов, которые Мэтт Mullenweg был определен для работы в 2019 году.

Несколько других комментаторов заявили, что они хотели бы видеть WordPress реализации семантической версии и принять долгосрочную поддержку (LTS) политики. WordPress будет затем четко сообщить количество лет эти версии будут поддерживаться. Старые сайты могут быть автоматически обновлены до версии LTS.

Решение по предложенным идеям не принято, и обсуждение все еще продолжается. Если у вас есть опыт поддержания старых сайтов или ввода о том, как WordPress может наилучшим образом держать пользователей в безопасности при одновременном снижении рабочей нагрузки, оставить комментарий на Make WordPress Core пост.

Хотите написать для WP таверне? Мы всегда принимаем гостевые сообщения от сообщества и ищем новых участников. Свяжитесь с нами и давайте обсудим ваши идеи.

 

Оригинал: wptavern.com

Добавить комментарий

%d такие блоггеры, как: