Предложение к Авто-Обновление Старые версии WordPress на 4,7 Искры Горячие дебаты

Участники WordPress, разработчики и члены сообщества в настоящее время обсуждают предложение о внедрении новой политики в отношении поддержки безопасности для старых версий. Обсуждение началось на прошлой неделе, когда руководитель группы безопасности Джейк Сперлок (Jake Spurlock) попросил обратной связи по различным подходам к обратной портации исправлений безопасности для старых версий. После этого обсуждения, Ян Данн, полный рабочий день вклад в WordPress ядро, авторами которого Automattic, опубликовал предложение для продвижения вперед с новой политикой:

Поддерживайте последние 6 версий и автоматически обновляйте неподдерживаемые сайты в старейшей поддерживаемой версии.

Это означает, что в настоящее время поддерживаемые версии будут 4,7 — 5,2, а 3,7 — 4,6 ветви в конечном итоге будут автоматически обновлены до 4,7.

На практике это обеспечило бы примерно 2 года поддержки для каждой отрасли, и примерно 10% текущих сайтов в конечном итоге будут автоматически обновлены до 4,7. После выхода 5.3 самой старой поддерживаемой версии станет 4.8.

Данн изложил подробный план реализации новой политики, который включает в себя тестирование небольшого подмноза сайтов для выявления проблем, прежде чем постепенно обновлять старые сайты от одной основной версии к другой (не все сразу). Администраторы сайта будут уведомлены по крайней мере за 30 дней до автоматического обновления с электронными письмами и уведомлениями в администраторе, которые также предлагают возможность отказаться.

Предложение получило десятки замечаний, с некоторыми участниками в поддержку, некоторые в пользу изменений в развертывании, а другие, которые однозначно выступают против идеи автоматического обновления старых сайтов до основных версий.

Одна из преобладающих проблем заключается в том, что многие админы не получат никакого уведомления из-за нефункционирующих адресов электронной почты или недостаточно часто входят в свои панели мониторинга. Противники также утверждают, что даже если Есть запасы для сайтов, которые не в состоянии обновить, некоторые сайты могут быть нарушены таким образом, что WordPress не может обнаружить, из-за проблем с плагинами или темы.

«Назад-конец уведомления даже не начнет компенсировать отсутствие надежной электронной почты связи», Гленн Messersmith сказал. «Есть тонн владельцев сайта, которые никогда не предприятие в бэк-энд после того, как их сайт был разработан. Это те самые люди, которые не будут получать уведомления по электронной почте либо потому, что адрес электронной почты является то, что некоторые давно прошли разработчика.

«Существует никоим образом не любой вид обнаружения ошибок может выступать в качестве социальной защиты для тех, кто никогда не видел каких-либо уведомлений. Есть все виды способов, что владелец сайта может рассмотреть их сайт, чтобы быть «сломанным», который обновление скрипт не может обнаружить «.

В ответ на озабоченность по поводу взлома заброшенных сайтов или администраторов, в значительной степени полагающихся на плагин, который был заброшен, Данн согласился с тем, что такого рода ситуации могут быть неизбежны в соответствии с текущим предложением.

«Я могу определенно сочувствовать этой ситуации, но мы должны провести черту где-то», сказалДанн . «У нас нет неограниченных ресурсов, и нынешняя политика оказывает пагубное воздействие на всю экосистему WordPress.

«На самом деле, выбор никогда не бывает между чисто хорошей вещью и чисто плохой вещью; они всегда между конкурирующими компромиссами.

«Я определенно согласен, что это плохо, если небольшое количество владелец сайта должны сделать дополнительную работу по обновлению своего сайта, но в великой схеме вещей, это гораздо, гораздо лучше, чем с нашей командой безопасности будет препятствовать чрезвычайно обременительной политики поддержки».

Автор предложения утверждает: «Никто не будет вынужден обновлять;» Противники утверждают, что требование к пользователям отказаться от не согласия

В дополнение к проблеме возможно говоруна мест, те сопротивляясь к предложению не на борту с WordPress принуждая новую версию без получать точное согласие от администраторов места. Предоставление пользователям способа выбора в автоматических обновлениях для основных основных релизов является одним из девяти проектов, которые Мэтт Mullenweg был определен для работы в 2019 году. Тем не менее, план для этого предложения является более агрессивным в том, что он потребует владельцев сайтов на 3,7 — 4,6 филиалов отказаться, если они не хотят быть постепенно автоматически обновляется до 4,7.

«Они по-прежнему сохраняют агентство ни на что, никто не будет вынужден обновлять, каждый сохраняет контроль над своим сайтом и может отказаться, если они хотят», сказалДанн . «Что-то время по умолчанию очень отличается от принуждения кого-то сделать что-то. Мы хотели бы сделать это очень легко отказаться — просто установить плагин, не требуется конфигурация — и инструкции по отказу будут включены в каждое письмо и админ уведомления «.

Данн далее уточнил в комментарии относительно того, кто будет получать эти обновления:

Никто не будет вынужден, вместо этого это будет отказ от процесса. Если кто-то уже отключил автоматические обновления для основных версий, это будет соблюдаться, и их сайт не будет обновляться.

Если кто-то нажал ссылку на отказ в электронной почте, или если он нажал кнопку отказа в уведомлении об объявлении, то обновления также будут отключены.

Только люди, которые будут получать обновления являются те, кто:

1) Хотите обновления
2) Не волнует
3) Отказались от своих сайтов или учетных записей электронной почты

Несколько участников дискуссии спросили, почему процесс получения этих сайтов на 4.7 не может быть отказаться от согласия, вместо того, чтобы заставить обновления на тех, кто не отказаться. Независимо от того, насколько удобен механизм отказа, наличие такого механизма не является согласием. Многие владельцы сайтов, которые будут вынуждены в этом процессе думал, что они будут в безопасности в выборе для обслуживания и обновления безопасности и оставив свои сайты для выполнения «обновления во время сна», как 3,7 релиз пост описал функцию.

«Небезопасные сайты плохо, но, возможно, ретроспективно расширения власти, предоставленной себе этот механизм хуже», UpdraftPlus создатель Дэвид Андерсон сказал. «Потенциально это может нанести ущерб доверию и репутации больше, чем неуверенность. Я бы утверждать, что огромные панели уродливых, неустранимых уведомлений о старых версиях предупреждение о предстоящем отказе и необходимость обновления будет лучше. Пусть владелец сайта берет на себя ответственность. Не играйте няня, злоупотребление доверием, перерыв сайтов, а затем написать сообщения в блоге о том, как это было необходимо побочный ущерб. Никто, кто просыпается на сломанной сайте будет доволен этим «.

Эндрю Nacin, WordPress 3.7 релиз свинца и соавтором WordPress ‘автоматические фоновые обновления функцию, призвал тех, кто стоит за предложение мягчнет, что WordPress только поддерживает последнюю основную версию и никогда официально не поддерживает старые версии.

«Это занимает много работы, конечно, чтобы backport», сказал Нацин. «Но мы все еще должны придерживаться нашей северной звезды, которая заключается в том, что WordPress является обратно совместимым от версии к версии, что WordPress пользователи не должны беспокоиться о том, что версия они работают, и что мы должны просто держать сайты в актуальном состоянии, если мы в состоянии».

Nacin предложил больше контекста на первоначальной стратегии для введения автоматических обновлений, которые включали постепенное переход к основным релизы, как автоматические обновления, чтобы все сайты в конечном итоге будет на последней версии:

Во-первых, когда мы впервые выпустили автоматические фоновые обновления, мы думали, что наш следующий большой толчок будет, чтобы добраться до крупных обновлений релиза авто в ближайшие несколько лет. На практике мы можем сделать это в любое время, и, действительно, 3,7 поддержали это как флаг. Но идея заключалась в том, что мы будем вкладывать энергию в песочницу, защиту от белого экрана, улучшение нашей функциональности отката и т.д., так что наш успех был столь же высок для основных версий, как это было для незначительных версий. (Коэффициент отказа несколько линейно с числом файлов, которые должны быть скопированы, а также становится более сложным, когда файлы должны быть добавлены, а не просто изменены.) Как только мы сделали это, мы бы просто начать обновление всех сайтов до последней версии и остановить backporting. Очевидно, мы до сих пор не добрались сюда.

Он отметил, что в целом предложение является «большой план», но подчеркнул преимущества общения с пользователями, что это безопасно для обновления и что WordPress только намерен поддерживать последнюю версию.

Большинство участников обсуждения в пользу безопасности команды прекращения backporting исправления для старых версий WordPress. Вопрос, который остается без ответа для противников, почему это WordPress ответственность заставить старые сайты для обновления.

«Я не думаю, что это должно быть WordPress ‘решение обновить сайты, которые они не удается основных / нарушение версии, но я думаю, поддержание этих филиалов должны быть остановлены», Уилл Акции сказал. «Вы (WordPress) не владеете инфраструктурой или бизнес-процессами, или понимаете поддержку для управления этими сайтами. Существует также причина, эти сайты по-прежнему на этой версии сегодня и не обновили прошлое «.

Существуют и другие подходы, которые все еще могут нарисовать линию уважения ограниченных ресурсов группы безопасности, не заставляя каких-либо неконсенсусных обновлений в основных версиях. Рейчел Черри, директор WPCampus, прокомментировал предложение, настоятельно призывая WordPress установить согласие до обновления этих сайтов:

Мы получаем в сорняки ли или не принудительные обновления вызовет проблемы технологий и отсутствует реальная проблема в целом.

Мы обсуждаем принудительное обновление программного обеспечения людей, когда они не дали согласия.

И с какой целью? В чем здесь реальная проблема? Потому что мы не хотим беспокоиться об обновлении старых версий?

Есть и другие способы решения этой проблемы.

Мы можем сделать четкую политику в отношении поддержки EOL для релизов.

Мы можем добавить настройки в ядро, которое позволяет пользователю выбирать, хотят ли они автоматические обновления и идти вперед, что является решающим. Тогда у нас есть согласие.

Мы можем работать над образованием и коммуникацией в отношении обновлений.

Мы можем отправить людям по электронной почте, что их сайт устарел и небезопасным, и они должны обновлять как можно скорее, наряду со ссылками на образование и передовой опыт. Если они все еще нуждаются в помощи, поощрять их обратиться к профессионалу.

Мы можем решить эту проблему для продвижения вперед, но у нас нет подразумеваемого обратного согласия только потому, что мы никогда не вводим механизм разрешения.

Если кто-то не обновлять свой сайт, они сделали это по причине. Или безразличие. В любом случае, мы не имеем права идти в том, как это и изменить веб-сайты людей.

Участники дискуссии по-прежнему борются с потенциальными последствиями предлагаемого изменения политики. Незначительные обновления оказались очень надежными, как автоматические обновления. Данн сообщил, что 3.7.29 автоматическое обновление было только один сбой, который должен был быть откат к 3.7.28. Использование автоматической системы обновления, чтобы подтолкнуть основные обновления на сайты, как старые, поскольку они еще не были тщательно протестированы.

«Независимо от того, будем ли мы автоматически обновлять 3,7 — йgt; 5.x релизы, я полностью поддерживаю, давая понять, что это то, что мы ожидаем, чтобы начать делать в будущем (5.x — хgt; x.x) «, Джереми Фелт прокомментировал предложение. «Работа по тестированию инфраструктуры и кода для поддержки этого должна быть абсолютно сделана в любом случае». Войлок также сказал, что он ценит пошатнулся развертывание планирования для предлагаемых релизов, а также план по предоставлению официально поддерживается плагин для отключения автоматического обновления.

Обсуждение по этому предложению по-прежнему открыто, но до сих пор, как представляется, основные разногласия между участниками о том, WordPress имеет право заставить основные версии обновления без явного согласия, даже если это с намерением сохранения владельцев сайтов от потенциального взлома.

«Одно можно сказать наверняка, это, как представляется, большинство озабоченность до сих пор, в то время как многие из нас любят эти благородные намерения, я просто не так уверен, что доброжелательный повелитель Интернета является хорошим имиджем для WP двигаться вперед», плагин разработчик Филипп Ингрэм сказал.

Хотите написать для WP таверне? Мы всегда принимаем гостевые сообщения от сообщества и ищем новых участников. Свяжитесь с нами и давайте обсудим ваши идеи.

 

Оригинал: wptavern.com

Добавить комментарий

%d такие блоггеры, как: