Node.js su Debian Jessie è davvero insicuro?

0

Mentre leggevo le note di rilascio per Debian Jessie, mi sono imbattuto in questi paragrafi:

The Node.js platform is built on top of libv8-3.14, which experiences a high volume of security issues, but there are currently no volunteers within the project or the security team sufficiently interested and willing to spend the large amount of time required to stem those incoming issues.

Unfortunately, this means that libv8-3.14, nodejs, and the associated node-* package ecosystem should not currently be used with untrusted content, such as unsanitized data from the Internet.

In addition, these packages will not receive any security updates during the lifetime of the Jessie release.

L'ho letto come "non eseguire un'applicazione Node.js web-facing su questo sistema operativo" ma è davvero così brutto? Mi sembra sorprendente che qualcosa di così popolare come Node.js sia sostanzialmente messo in guardia contro la mancanza di manutentori di libv8.

Debian consiglia di evitare l'esecuzione di qualsiasi servizio Node.js web-facing su Debian Jessie o si applica solo ad alcuni tipi di servizi più rischiosi?

    
posta Jez 21.08.2016 - 10:48
fonte

1 risposta

2

Questo perché una versione stabile di Debian deve rimanere con la versione della volta in cui diventa stabile.

Il team Debian lo afferma chiaramente nel loro Q & A :

2.2 Are there package upgrades in 'stable'?

No new functionality is added to the stable release. Once a Debian version is released and tagged 'stable' it will only get security updates. That is, only packages for which a security vulnerability has been found after the release will be upgraded. All the security updates are served through security.debian.org.

Per mantenere la stabilità funzionale, eseguono il backport della correzione della sicurezza autonomamente, se necessario.

Security updates serve one purpose: to supply a fix for a security vulnerability. They are not a method for sneaking additional changes into the stable release without going through normal point release procedure. Consequently, fixes for packages with security issues will not upgrade the software. The Debian Security Team will backport the necessary fixes to the version of the software distributed in 'stable' instead.

D'altro canto, v8 è noto per il ciclo di rilascio rapido. V8 wiki su GitHub dice

Roughly every 6 weeks a new major Stable release is done.

Dice anche

As soon as a new branch is promoted to Stable, we stop maintaining the previous stable branch. This happens every six weeks, so you should be prepared to update at least this often.

Poiché Jessie è stata rilasciata nell'aprile 2015, abbiamo rilasciato dozzine di stable v8. In generale, con il passare del tempo e la release v8 serveral rilasciata, diventa sempre più difficile per il team Debian risolvere il proprio pacchetto. Appare evidente che mancano volontari per fare il backport.

Potresti usarlo a tuo rischio, ma sei esplicitamente guidato a non farlo.

    
risposta data 21.08.2016 - 11:54
fonte

Leggi altre domande sui tag