Názor k článku NXNSAttack: zastavte nový druh útoku náhodnými dotazy, aktualizujte resolvery od Filip Jirsák - Celý špatně je koncept distribučních patch verzí. To,...

Celý špatně je koncept distribučních patch verzí. To, že je potřeba řešit kompatibilitu, vývojáři upstreamu vědí a řeší to. Řeší to s lepší znalostí problematiky, než distribuční správci.

A jelikož někdy povýšit verzi snadno ani nelze, mají LTS verze své místo.
Ale proč to většinou snadno nelze? Protože tomu brání právě ta LTS politika distribucí. Snadnost povýšení na novou verzi je exponenciálně závislá na stáří verze – takhle jednoduché to je.

administrátoři si zase musí zvolit zase politiku aktualizací
No, zvolit. Nejbezpečnější software je aktuální upstream. Tečka. Backporty jsou jen hra na bezpečnost. Takže politika aktualizací je politika bezpečnosti. Ano, ve spoustě míst je stále bezpečnost až na druhém místě, přednost má udržování staré verze. Ale je toho čím dál míň a jsou s tím čím dál větší problémy. A často je distribuční politika silným faktorem, který spoluzpůsobuje to zabetonování na starých nebezpečných verzích.

Samozřejmě si ještě chvíli můžete myslet, že je to věc volby. Ale čím dál víc bude nemožné provozovat nebezpečný software, tudíž bude čím dál častěji jedinou reálnou volbou volba provozovat aktuální (tj. upstream) software.

Ono se stačí podívat na bezpečnostně nejvíc ohrožený software – desktopový operační systém a webové prohlížeče. Ona to není náhoda, že Windows 10, macOS, Chrome i Firefox vydávají pravidelné aktualizace a za bezpečnou se považuje jen aktuální verze, neexistují (s výjimkou Firefoxu) žádné LTS verze. A LTS verze Firefoxu mají na trhu ještě menší podíl, než MSIE.

Ve výsledku nemá cenu nutit jeden model všem.
Což teď ale ne-rolling distribuce dělají. Snad s výjimkou webových prohlížečů se s vydáním zaseknou na jedné verzi a té se drží. Teda ono už to také není stoprocentní, ale alespoň se tváří, že to tak je.

Samozřejmě že rozdíly existují, ale ty mají být v upstreamu. Neexistuje žádný důvod, proč by měl mít Knot resolver více než jednu stabilní verzi. U glibc naopak dává smysl vydávat pro jednu verzi skutečně jen bezpečnostní opravy a vedle toho vyvíjet novou feature verzi. On je ale také rozdíl v tom, že bezpečnostní opravy pro libc většinou znamenají jen opravy chyb v kódu, kdežto bezpečnostní opravy v Knot resolveru mnohem častěji řeší problémy architektury nebo protokolu.