Команда безопасности WordPress обсуждает перенос выпусков безопасности на меньшее количество версий

Команда безопасности WordPress изучает различные подходы к переносу исправлений безопасности в старые версии программного обеспечения. Усилия, которые прилагаются к поддержке версий до 3.7 (выпуск, который представил автоматические фоновые обновления), возрастают с каждой выпускаемой основной версией.

«Для команды Core Security это означает, что, когда необходимо выпускать обновления безопасности, мы должны провести тестирование и выпуск не только для текущей версии WordPress, но и протестировать изменения, создать исправления кода, а затем выпустить. для каждой основной версии вплоть до 3.7 », – сказал руководитель службы безопасности Джейк Сперлок. «Не за горами версия 5.3, которая дает нам более пятнадцати основных версий WordPress для долгосрочной поддержки».

Сперлок сказал, что 3,7 представляет 0,1% всех сайтов WordPress, но отметил, что поддержка старых версий требует «большого количества времени и энергии и снижает способность команды работать эффективно».

Когда его спросили, сколько времени требуется, Сперлок сказал, что это зависит от того, сколько билетов / выпусков нужно перенести. Все исправления проверяются, тестируются и фиксируются несколькими членами команды. В команде около 50 экспертов по безопасности, многие из которых работают в Automattic, хотя некоторые являются добровольцами.

«Проблема с разработкой выпусков безопасности для старых версий WordPress заключается в объеме тестирования, а затем реинжиниринге, который характерен для каждой старой версии WordPress», – сказал Сперлок. “В качестве примера. WordPress 4.2 получил довольно крупный рефакторинг, поэтому возврат исправления до этого времени означает дополнительное тестирование и обеспечение того, чтобы пути работали для исправлений и многого другого. Заставить набор для тестирования работать с более старыми версиями тоже было сложно из-за изменений кода, сопровождающих каждую версию ».

Сперлок призвал к обратной связи и идеям о том, как группа безопасности может поддерживать меньшее количество версий WordPress, обеспечивая безопасность пользователей. Идет активная дискуссия, и мнения варьируются от восторженной поддержки идеи до оппозиции.

Некоторые, кто взвешивал, предпочитают сосредоточиться на призыве пользователей к обновлению по электронной почте администраторам при более старых установках и / или переносе виджета «пожалуйста, обновите» обратно на более старые версии. Поскольку скачки больших версий могут пугать пользователей, некоторые рекомендуемые WordPress предоставляют более эффективные способы выполнения инкрементных обновлений от старых версий до следующей, самой последней.

«Если цель состоит в том, чтобы защитить пользователей WordPress от хакеров и других мошенников, вам следует продолжать поддерживать более старые версии с помощью выпусков безопасности», – сказал основной участник WordPress Рами Юшуваев.

«WordPress 3.7 составляет 0,1% всех сайтов WordPress, но WordPress 3.0–3,6 составляет 1,6% всех сайтов WordPress. Вы не хотите увеличивать количество сайтов, использующих незащищенные версии. Согласно текущей политике, «старая версия» – это не то же самое, что «незащищенная версия».

«Я думаю, вы должны научить пользователей использовать обновленное программное обеспечение, а не прекращать выпускать обновления безопасности для старых версий».

Несколько комментаторов выступают за ограничение обратного переноса исправлений безопасности определенным количеством версий, как обрисовал бывший руководитель службы безопасности WordPress Аарон Кэмпбелл:

Мне нравится идея поддержки X-версий. Это позволяет пользователям знать, что им не нужно обновляться до последней версии, независимо от того, каковы наши циклы выпуска, а также гарантирует, что мы в конечном итоге сможем отточить, сколько версий действительно можно поддерживать.

Поддержка X лет назад позволит пользователям знать, что они могут избежать обновления в течение определенного времени, но это также будет означать, что группа безопасности не всегда будет поддерживать такое же количество версий, и если выпуск когда-либо длился дольше, чем поддерживаемый нами время, тогда ожидается, что все пользователи обновятся до последней версии (исключения всегда могут быть сделаны, но на них сложнее полагаться).

Стивен Эдгар, один из сопровождающих компонента инструментов сборки WordPress, предложил реализовать автоматическое обновление основных версий, чтобы пользователи постепенно переходили к поддерживаемым версиям.

«Может быть, продолжать отправлять их до тех пор, пока не будут реализованы« основные »обновления», – сказал Эдгар. «Сейчас мы думаем сначала добавить основные обновления в 3.7, увеличив с 3.7 до 3.8 с помощью автоматических обновлений. После этого обновления безопасности больше не будут переноситься в ветку 3.7.

«И аналогично, как только будут реализованы основные обновления 3.8, то есть 3.8 будет переведено на xx, а затем снова, backports до 3.8 прекратятся одновременно и так далее через ветки».

Эдгар также отметил, что предоставление пользователям возможности выбирать автоматические обновления для основных основных выпусков – это один из девяти проектов, над которыми Мэтт Малленвег определился для работы в 2019 году.

Несколько других комментаторов заявили, что хотели бы, чтобы WordPress реализовал семантическое управление версиями и принял политику долгосрочной поддержки (LTS). WordPress тогда четко сообщит, сколько лет эти версии будут поддерживаться. После этого старые сайты могут быть автоматически обновлены до версии LTS.

Решения по предложенным идеям еще не принято, и обсуждение все еще продолжается. Если у вас есть опыт работы с более старыми сайтами или у вас есть мнение о том, как WordPress может наилучшим образом защитить пользователей при одновременном снижении рабочей нагрузки, оставьте комментарий в публикации Make WordPress Core .