Bezpečnostní update. A jak to vnímá uživatel?

Je otazka, jake to vlastne byly chyby a jaka je historie verzi. Nekdy je lepsi vydat nejakou pre-verzi (Linuxova jadra by mohla vypravet...), aby verze s kulatym cislem verze byla bez hloupych chyb.

Puvodni rozhorceny pisatel asi nepochopil, ze nova verze 1.5.1 obsahuje jenom bezpecnostni opravy a nemeni nic jineho (narozdil od nekterych komercnich firem, ktere stale pridavaji funkcionalitu a zavlekaji tak nove chyby).

Pokud svou odpověď postavím obecně, tak ve mě jakékoli updaty vzbuzují spíše pozitivní pocity. Je to známka, že projekt žije. Ne u všech aplikací, které běžně používám, sleduji pravidelně vývoj a tak, když jsem na aktuální verzi upozorněn, kolikrát v rychlosti prolouskám i changelog.

[2] U mne je to uplne stejne. Updaty jsou dobra vec, pokud se nesnazi porad prosazovat nejake novinky. IMHO je dobry vyvojovy cyklus: Nova major verze, pet az deset opravnych verzi, chvile ticha a pak nova major verze. Takhle se snad vic bugu vychyta nez se jich tam pak prida.

No, ono je potřeba mít a důsledně odlišovat stabilní a testovací větev. Prostě napsat něco ve stylu: "Nová verze 1.5.0 byla uvolněna k testování. Poslední stabilní je stále 1.4.12."

Kdo chce novinky a má zájem sledovat vývoj, stáhne si "testing". Kdo chce mít portál bezpečný a bez práce na úkor nových fičur, použije "stable".

Abych odpověděl na původní otázku: Ano, rozčiluje mě, pokud někdo v honbě za "revolučními funkcemi" zaplaví program chybami a nenabídne konzervativním uživatelům odladěnou a bezpečnou verzi.

[4] Atom321

Ee, ony existují dvě stabilní verze. Větev 1.0.x (poslední stabilní je 1.0.14) a nová větev 1.5.x (poslední stabilní 1.5.1). Obě jsou finální a stabilní a k oběma existují "nightly builds ", které jsou jak vy označujete testing. Obě podporuje vývojový tým a doporučuje jejich nasazení. Jedná se o dva samostatné produkty se stejnou funkčností, postavené na společném předkovi.

Mrkněte na Drupal, ten má větve dokonce 3. Takže tak dotaz nestojí.

Problem neni v jomole ale v:
1) v programatorech
2) v uzivatelych

To zaprve neni tak jednoznacne, bojuji s tim dnes a dene a nekdy si pripadam jako absolutni magor. Nebot to co vydam jako stable, chci aby bylo opravdu stable (takze stable verze preskoci hned nekolik cisel :D diky pridavanym novinkam :S) A ano, programatori kdyz uz vydavaji neco, o cem si 100% nemysli ze je to bez chyb, tak by to nemeli vydavat za stable verzi ...

Druhy bod je v podstate totez co prvni, jen se na celou situaci kouka z druhe strany. Nekteri uzivatele velmi radi instaluji nove verze, bez ohledu na to, jestli ta verze je vcera vydana, a jestli ji uz zkousela nejaka poradna mas uzivatelu (BFUcek). U adminu je tahle situace nastesti malinko jina a tak mame 3 vetve apache, 2 vetve PHP atd... Proste nove verze se nasazuji az v okamziku kdy se situace uklidni, kdy se necha vyvojarum dost casu verze vyladit opravit a obecne stabilizovat. Sam sem PHP 5 nasazoval az v okamzkiku kdy mela podle QA mensi pocet chyb. Byt se me to 2x nelibi, i nove win instaluju az v dobe nejakeho SP.

Tuto zbrklost posledni dobe vidim cim dal casteji :( Je to honba za novymi moznostmi za penezi :(

viz Pitris. Beru to jako známku toho, že se o aplikaci někdo stará a má snahu, aby byla v pořádku a kvalitní. To, že někdo vydá verzi X.X a po ní za dlouho až X.Y neznamená, že je verze X.X bez chyb. Jenže bez patche, který by přišel a řekl: "Tady kluci a holky vývojáři objevili chybu které si před vydáním verze X.X nevšimli a tak poslali mně abych ji opravil!" se o ní nikdo nedozví a tak nebude mít důvod kritizovat.

Ikdyž zrovna čeští uživatelé si ten důvod najdou vždycky ;)

Otazkou je zda stable verze je stable z hlediska funkci a API, nebo jestli stable znamena to uzivatelske "nepada mi to", v techto dvou vnimanich je zasadni rozdil. Prvni je dulezity pro zavedeni nove verze na trh a jistotu pro vsechny kteri do toho hodlaji investovat naklady (cas projit dokumentaci, cas se naucit s novou verzi, nebo penize na naprogramovani doplnku). Stable verze pro tyto lidi znamena ze to co zainvestuji dnes nebudou muset zitra vyhodit z okna.
Z hlediska uzivatele je jasne ze by radi pod pojmem stable videli trezor ktery po celou dobu zivotnosti je nedobitny a nerozbitny a jakmile by se objevil novy zpusob jak se do trezoru dostat nebo se prislo na to ze dochazi k porucham tak by prisla nova "stable" verze krabicky opet na nejaky cas odolna a lepe nerozbitna.
Tedy uzivatel chce spise neco co koupi a funguje, kdyz to ma chybu je cas "koupit" jinou stable, protoze ta puvodni jiz stable neni.
Nerikam ze jeden ci druhy pohled je spravny, nebo spatny. Proste tady jsou takove pohledy a pri kritizovani je treba vedet ze tady jsou.
PS: tajnosti a nasledny boom ohledne vydani 1.5 verze jiz mnoha uzivatelum mohl napovedet ze prejit na ni v produkcnich webech hned v prvni verzi je blbost, takze kritika je jenom zaplatou na jejich jesitnost a hrdost ze jejich rozhodnuti bylo spravne, proste nekdo jiny to zvoral ne ja ;)

[5] svatas

V tomto případě IMHO byla verze 1.5.0 označena jako "stable" poněkud předčasně. Osobně preferuji vývojový model Debianu, kde mají tři větve:

"unstable" - aktuální vývojová a poněkud divoká verze, kde není zaručena funkčnost (to jsou Vaše "nightly-builds")
"testing" - už se nepřidávají nové funkce (nebo jen sporadicky), intenzivně se hledají opravují chyby (to je Vaše 1.5.0)
"stable" - odladěná (a mírně zastaralá) verze, u které se dá předpokládat minimální množství problémů, vydávají se pouze bezpečnostní opravy a v žádném případě se nesmí změnit funčnost (což je předpokládám Vaše 1.0.14)

Za "stable" se označí původní "testing" ve chvíli, kdy s ní delší dobu nejsou žádné problémy.

Od označení "stabilní" prostě uživatelé oprávněně očekávají stabilitu a spolehlivost. Pokud ke stabilní verzi vydáte sadu bezpečnostních oprav dva týdny poté a ještě k tomu v pátek odpoledne, nemůžete se divit, když jsou tím uživatelé mírně rozladěni.

"nejaka verze ktera bude funkcni na 100%"

100% funkcni je jen kosa paní smrtky :-)

Na úvod podotknu: používám Windows a obecně updatům moc nevěřím.

Co se týká vlastních Windows mám nejraději "prvotní odzkoušený a odladěný systém", po nějakém tom Globálním-Servise Packu. Pokud u něj neshledám funkční chyby nemám důvod ke změně. Bezpečnost je na dobré úrovni i bez bezpečnostních záplat - pro toho kdo využívá systém "Zón Internetu", "Přiřazování uživatelských práv", ... Obecně u Windows platí čím více záplat tím větší bordel a nestabilita (a chaos=už nevíš co jak funguje).

U vybraného SW (který používám) vývoj pochopitelně sleduji. Vždy detailně čtu "change log-y" a před tím než přestanu používat některou starší verzi, detailně otestuji tu která by ji měla nahradit. Podobně postupuji i v případě, kdy určitou pracovní činnost má převzít jiný program. Tak se stává, že některé programy které používám jsou třeba z roku 1997 a dodnes jsem nenašel lepší. Fakt je že některé z těch nejlepších jsem vždy nucen opustit při přechodu na novější Windows a ne vždy (ani po letech) najdu odpovídající náhradu.

Rozhodně bych nikdy nepovolil automatické aktualizace. Jedině u antivir/antispyware systémů. Ale to je o něčem jiném, že ...

Takovato stiznost by mela mezi programatory kolovat spise jako dobry vtip. Ale kazdopadne, bych mu to slusne v odpovedi vysvetlil, ze naopak muze byt rad ze se chyby nasli, protoze kdyby vedel kolik chyb ma ve skutecnosti jeho ostatni software, jeho mobil a mozna i jeho auto, tak by se zajiste pri jeho teorii davno odstehoval do jeskyne v nedalekem lesiku.

to [11] Opatrný
jako vtip dobre, ale trochu suche, vydavat se za BFU umi kazdy. Jiný význam příspěvku jsem bohužel nezaznamenal :)

Vážený/á Tomfi,

Obávám se že musíte být sdílnější. Vaši narážce nerozumím.

To co jsem napsal je čistě můj osobní názor, na němž trvám. V zásadě se tak jak píši chovám.

P.S.: Asi jsme se nepochopili. Nicméně, váš předchozí příspěvek popisuje do jisté míry něco podobného co se snažím vyjádřit.
Již jsem "unavený vývojem systémů a programů". Vše už tu někdy bylo a to nové ne vždy spěje k lepšímu.
Asi to souvisí s věkem. V poslední době zjišťuji, že bych mohl PC klidně rozflákat a jediné co by mi chybělo, by byla počítačová hudba jejíž čistě-HW podpora bohužel stále není na úrovni kterou si představuji.

***
Osobně se ubírám, nebo bych se chtěl ubírat směrem - kdyby mi to nezabíralo tolik času:

a. Propoj USB zařízení s libovolným PC
b. Pokračuj v práci, hře, ... tam kde jsi skončil
c. Až tě to přestane bavit, ulož data, odpoj zařízení

Veškerý SW by byly 4-5 souborů, například ISO archívy. Cokoliv, ale modifikovat by se to smělo až na moje přání. To znamená že M$ by do toho nesměl strčit ani prst. Ten není schopen napsat funkční SW bez registru, tempů, swapů, logů (které většinou ani vývojáři MS neumí přečíst), ...

Toto byla jen taková vsuvka, omlovám za odbočení od tématu.
***

Omlouvám se, mě opravdu jiný význam než vtip nenapadl. Jde mi hlavně o část:"Bezpečnost je na dobré úrovni i bez bezpečnostních záplat". Pokud by jste vzal do ruky kterýkoliv článek co pojednává o softwarové bezpečnosti pak by jste musel s každým jeho autorem nesouhlasit... podotýkám s každým.

namátkou: SecurityWorld září/říjen/listopad 2007, Tomáš Přibyl "Voip Internetová telefonie bezpečně" strana 21:
"Pravidelně záplatujte. Proces odstaňování chyb se netýká pouze operačních systémů, ale všech softwarových aplikací bez vyjímky. Sem pochopitelně patří i software pro VoIP. Ovšem pozor, bezpečnost VoIP je úzce provázána s bezpečností operačního systému a dalších aplikací, takže proces záplatování musí mít opravdu co nejšíirší a nejkomplexnější záběr."

Pokud opravdu prezentovaný názor zastáváte, pak se rozhodujete ne na základě znalosti problematiky bezpečnosti, ale na základě dosavadních osobních zkušeností. To že se zatím při této politice nic nestalo je pouze proto že nikdo se do vámi spravovaných počítačů nepokoušel dostat, otázkou spíše je jestli by jste si průniku všiml.
V době internetu umí každé děcko stáhnout distribuci linuxu zaměřenou na bezpečnost a nechat automatický tester zjistit jakou chybu v systému nemáte opravenu a následně ji automatizovaně zneužít poskytnutím přístupu k ploše tohoto počítače... kde jsou časy kdy pro napadení windows člověk ještě něco psal do konzole, nebo aspoň vědět co dělá více do hloubky než kliknu na to třetí políčko zhora > druhá záložka > enter :) (popis je záměrně fiktivní aby nedával návod pro nabourání se do počítače jakákoliv schoda s realitou by byla čistě náhodná)