On dim., 2012-03-25 at 13:24 +0200, Jérôme Kieffer wrote:
> Due to the non-disclosure of security patch information from
> Oracle, we are forced to ship this upstream version update of MySQL
> 5.1 into all releases that carry MySQL 5.1. There are several known
> incompatible changes, which are listed below, taken from
> dev.mysql.com's changelogs, available here:
> http://dev.mysql.com/doc/refman/5.1/en/news-5-1-x.html
>
> C'est Oracle qui est trop méchant ou c'est debian qui est trop
> integriste ?
Debian effectue ce travail merveilleux qui consiste à ne diffuser dans
une branche stable que des mises à jour corrigeant des problèmes de
sécurité. S'il n'y a qu'une ligne de code a modifié, seule celle-ci est
patchée, le soft est recompilé, packagé, diffusé. Ainsi on a la garantie
maximale que les mises à jour auront un impact minimal (en dehors du
redémarrage d'un service comme c'est souvent le cas). Il y a
probablement des dizaines de milliers d'adminsys et des centaines de
milliers de serveurs qui lui disent merci presque tous les jours...
A titre personnel je ne comprends toujours pas comment des gens
arrivent à gérer des prods sous CentOS ou Ubuntu sans serrer les fesses
et perdre un temps fou (et donc de l'argent) à chaque mise à jour. Avec
ces distros on 'met à jour' tout court : les nouvelles features, les
security fixes, les API/ABI pétées, tout vient en même temps (troll
voulu et velu !).
Tout ça pour dire que le terme 'intégriste' n'à a mon avis pas du tout
sa place. La stratégie de Debian Security c'est une stratégie
efficiente, qui fait gagner beaucoup de temps donc économiser plein
d'argent. Il s'agit d'un débat de business d'abord, d'éthique ensuite.
Surtout de business puisque gérer le cycle de vie d'une application
dans le détail c'est le coeur des métiers autour du logiciel libre, que
ce soit du développement ou de la production. Il semble qu'Oracle
défende son bizness en rendant son travail plus opaque et se réservant
donc une longueur d'avance sur les services de support qu'il vend. Il
faut aussi prendre en compte le fait qu'Oracle est une boîte qui fait du
propriétaire et a donc une politique de divulgation de bugs très limitée
(par ex. se contenter d'annoncer les fixes dans la release suivante).
C'est aussi un problème éthique, dans la mesure où MySQL n'est pas un
logiciel dont chaque ligne a été écrite par un employé d'Oracle (ou Sun,
ou MySQL AB). Les développeurs extérieurs vont sûrement en conclure
qu'il ne s'agit donc plus d'un projet libre (au delà du code source) et
aller voir ailleurs. Il est possible que le passage d'OpenOffice à
LibreOffice soit suivi d'un passage de MySQL à MariaDB dans certaines
disto...
