Debianが新しいバージョンを提供する代わりに古いパッケージバージョンを更新するのはなぜですか? (openssl)
私は非常に経験の浅いサーバー所有者であり、ハートブリードの修正があることを確認したいと思っていました。
更新後も「opensslバージョン」には1.0.1eが表示され、ハートブリードの無料バージョンを入手するにはどうすればよいか疑問に思いました。グーグルした後、「opensslバージョン-b」とDebianの「バックポートポリシー」について知りました。
私のビルドは8.Aprilからのものなので、修正されたバージョンがあると思います。
私のようなユーザーがこれに不安を感じているという議論がいくつかあります。
これらは本質的にバージョン番号の重要性を無効にしています。
なぜ彼らはこれをしているのですか?
Debianは、1.0.1eのすべての機能に対して、そのバージョンのオペレーティングシステムを検証しました。 1.0.1fは、Debian環境で完全にテストされていない機能をopensslに追加しました。 1.0.1gは、1.0.1fのすべての機能とハートブリードのバグ修正を備えたバージョンです。 1.0.1gを使用してこれらの機能と考えられる非互換性を導入する代わりに、Debianパッケージメンテナは検証済みの1.0.1eのソースコードを取得し、ハートブリードのバグ修正を追加しました。これは、適性の更新を行うときに得られるものです。
ナンバリングの問題は、実際にはopensslチームの問題です。彼らは明らかに、追加機能なしでバグ修正の増分を可能にする標準的な方法でバージョン番号をインクリメントすることを非常に躊躇しています。通常のソフトウェア開発の慣例では、最初の桁に大きな機能の変更を示し、2番目の桁の増分は小さな機能の変更に対して行われ、3番目の桁は新機能のないバグ修正用に予約されています。