Si je prends encore l'exemple des clients bittorrents.
Etant donné que Red Hat ou Suse dans leurs versions "entreprise" ne
maintiennent pas autant de clients bittorrents que Debian, Debian est la
seule à maintenir des versions obsolètes de certains clients.
Ces versions dans Debian sont-elles réellement sûres ? Debian fait-elle
suffisamment d'audit ? Il y a t-il des spécialistes qui s'intéresse à
ces clients que seule Debian maintient pour sortir des CVE ?
Même question pour les jeux, c'est même pire. Pour le coup je suis sûr
que personne d'autre que Debian ne fait de l'audit sur les vieilles
versions. Pourtant quand on joue en réseau la sécurité est aussi importante.
Moi j'aimerais que Debian se pose ce genre de questions.
Parce que moi aussi je peux dire "je maintiens dans un état figé 25000
paquets pendant 20 ans !". Le dire c'est facile.
contiendra pas le nouveau code. L'upstream ne s'en rendra pas compte, étant donné qu'il ne travaille plus sur l'ancien code (et plus le temps passe, plus cela se vérifie).
Ca n'est vrai que sur les changements majeurs de version. C'est pas tous les jours.
C'est là qu'on voit le problème du modèle de développement de Debian.
Elle ne met pas non plus à jour vers les versions mineures.
Si un projet sort plusieurs versions mineures, puis une correction de sécurité, cette dernière correction peut avoir pour prérequis d'avoir mis à jour vers la dernière version mineure. Comme Debian va vouloir backporter uniquement le patch de sécurité, cela va être plus difficile.
De plus, pour les paquets non importants comme des jeux, mettre à jour vers une version mineure pose vraiment très peu de problème, puisque si ça casse bon c'est pas très grave. Ces versions apportent des corrections de bugs, des ajouts de traduction, mais Debian sans cogne insolemment : une fois leur release sortie ils s'en lavent les mains. En plus ça évite à l'upstream de sortir des versions pour rien.
Cumbalero a écrit :
ciol a écrit :
contiendra pas le nouveau code. L'upstream ne s'en rendra pas compte,
étant donné qu'il ne travaille plus sur l'ancien code (et plus le
temps passe, plus cela se vérifie).
Ca n'est vrai que sur les changements majeurs de version. C'est pas tous
les jours.
C'est là qu'on voit le problème du modèle de développement de Debian.
Elle ne met pas non plus à jour vers les versions mineures.
Si un projet sort plusieurs versions mineures, puis une correction de
sécurité, cette dernière correction peut avoir pour prérequis d'avoir
mis à jour vers la dernière version mineure.
Comme Debian va vouloir backporter uniquement le patch de sécurité, cela
va être plus difficile.
De plus, pour les paquets non importants comme des jeux, mettre à jour
vers une version mineure pose vraiment très peu de problème, puisque si
ça casse bon c'est pas très grave.
Ces versions apportent des corrections de bugs, des ajouts de
traduction, mais Debian sans cogne insolemment : une fois leur release
sortie ils s'en lavent les mains. En plus ça évite à l'upstream de
sortir des versions pour rien.
contiendra pas le nouveau code. L'upstream ne s'en rendra pas compte, étant donné qu'il ne travaille plus sur l'ancien code (et plus le temps passe, plus cela se vérifie).
Ca n'est vrai que sur les changements majeurs de version. C'est pas tous les jours.
C'est là qu'on voit le problème du modèle de développement de Debian.
Elle ne met pas non plus à jour vers les versions mineures.
Si un projet sort plusieurs versions mineures, puis une correction de sécurité, cette dernière correction peut avoir pour prérequis d'avoir mis à jour vers la dernière version mineure. Comme Debian va vouloir backporter uniquement le patch de sécurité, cela va être plus difficile.
De plus, pour les paquets non importants comme des jeux, mettre à jour vers une version mineure pose vraiment très peu de problème, puisque si ça casse bon c'est pas très grave. Ces versions apportent des corrections de bugs, des ajouts de traduction, mais Debian sans cogne insolemment : une fois leur release sortie ils s'en lavent les mains. En plus ça évite à l'upstream de sortir des versions pour rien.
