Re: Impossible de rétroporter depuis Debian experimental

Startseite

Nachricht beantworten
Autor: Patrice Karatchentzeff
Datum:  
To: Anael
CC: guilde
Betreff: Re: Impossible de rétroporter depuis Debian experimental
Le 17 avril 2012 17:18, Anael <anael@???> a écrit :
> Salut Patrice,
>
> Je ne fais que contourner le problème, mais pourquoi ne fais-tu pas une
> install manuelle ?
> -> http://www.mediawiki.org/wiki/Download/fr
>
> D'autant plus que je vois qu'une version 1.18.2 est sortie, corrigeant des
> failles de sécurité.
>
> L'installation via un paquet est toujours la solution la plus simple pour
> effectuer les mises à jour d'un logiciel.
> Mais quel en est le prix d'un point de vue sécurité ? (je pense
> particulièrement aux packages phpmyadmin de debian...)
>
> Pour les scripts web, amenés à évoluer aussi vite que les navigateurs, ne
> vaut-il pas mieux privilégier une installation & mise à jour manuelle ?
> Le tout couplé à un abonnement de l'administrateur à la liste d'annonce du
> produit ?


Je réponds car le problème se pose en effet :

- un paquet est toujours mieux pour installer car, quand le travail du
mainteneur est bien fait (ce qui est l'immense majorité des cas sous
Debian), ça s'installe tout seul avec comme seul moment d'intense
réflexion à la lecture du /usr/share/doc/<paquet>/README.Debian...
quand c'est nécessaire.

Autant dire que lorsqu'on installe un outil qu'on ne connaît pas, ni
que l'on maîtrise, ça fait gagner un temps fou... sans compter
l'expertise du mainteneur qui est toujours TRÈS bonne à prendre.

- pour le problème de la MAJ et d'avoir un truc pas récent, c'est
récurrent à la problématique d'une distribution : il y a forcément un
moment où l'on prend une version et que l'on vit avec...

Mon expérience est qu'il est très rare d'avoir besoin d'un truc
dernier cri : quand on demande à l'utilisateur finale la raison, dans
99% des cas, il n'y en a pas.

Pour le cas - qui existe ! - où c'est justifié, la solution
rétroportage/testing est dans 99% des cas suffisantes (surtout depuis
qu'il y a un suivi de sécurité dans testing).

Le seul cas emmouscaillant est celui où sid est gelé à cause du gel de
la testing : c'est un cas rare heureusement (ou malheureusement disent
certaines personnes...).

Maintenant, qui de la sécurité ?

On parle de serveur pour qu'il n'y ait pas de malentendu...

La réactivité des équipes Debian est bonne : quelques jours, ce n'est
presque rien (regarde, chez MS, il y a des alertes qui ont des mois
sans correction !) car entre la publication d'une alerte et son
exploitation effective, il faut généralement un peu de temps. Mais
surtout, le temps de propagation chez Debian n'est pas là pour le fun
: les équipes font un travail *extraordinaire* de non régression :
quand un patch est appliqué, l'application continue à fonctionner
comme avant ce qui permet de passer les patch de sécurité les yeux
(quasi) fermés... Et ça, c'est un luxe extraordinaire.

D'autant plus que souvent, dans les équipes de dév amont, on se
contente de corriger la version de dév !

Bref, l'expertise qu'il faut pour faire cela dépasse largement le
niveau, et le temps, d'un admin en charge de serveurs... C'est un
service qu'on devrait payer TRÈS cher en entreprise.

Enfin, mon expérience montre aussi de déployer un truc sans paquet et
laisser au bon cœur de l'équipe en charge - généralement des dév -
conduit toujours à la catastrophe : aucune mise à jour déployée et
casse assurée du serveur à terme à force d'administration au petit
bonheur. L'administration est un métier et tout cela qui l'ignore s'en
morde les doigts un jour...

Voilà, c'est un peu long mais je crois avoir balayé tout :)

PK

--
      |\      _,,,---,,_       Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:p.karatchentzeff@free.fr
     |,4-  ) )-,_. ,\ (  `'-'  http://p.karatchentzeff.free.fr
    '---''(_/--'  `-'\_)