Rolling release et release standard, quid de la sécurité ?

[Ekroz]

Bonjour à tous,

Si je crée ce sujet, ce n'est pas afin de troller pour savoir si une rolling release c'est mieux qu'une release standard ou pas mais pour avoir un avis concernant la sécurité de ces deux types de distribution.

Comme vous le savez, dans une rolling release, il n'y a pas de mise à niveau à effectuer, les paquets sortent sur le tas et sont très souvent les dernières versions disponibles. Niveau sécurité vous me direz c'est top d'être toujours à jour, mais l'usage d'une rolling release sur un serveur n'est-elle pas plutôt dépréciée du fait des changements de fichier de configuration qui peuvent survenir d'un jour à l'autre ?

Sur une release standard, les versions des paquets sont souvent plus vieilles, voir antique (pour ne pas citer Debian...), mais les paquets sont rudement testés et des correctifs de sécurité sont appliqués en fonction des nouvelles failles de sécurité découvertes.

Toujours pour ne pas citer Debian, la version de Revelation, un gestionnaire de trousseaux de clés utilise un format de fichier qui n'est plus considérée comme sûr sur des versions plus récentes du logiciel. Il n'y a pas de "faille" applicative à proprement parler, certes, mais le nouveau format est plus robuste.

Alors rolling release moins stable et plus sûr ou release standard plus stable mais moins sûr ?
Pour ma part je n'ai pas spécialement trouvé de réponse avec des arguments fiables à l'appui, mais je pense que niveau sécurité les deux s'équivalent, c'est plutôt le côté stabilité des fichiers de configuration qui pèche un peu.

[gruik]

dans une rolling release, (...) les paquets sortent sur le tas et sont très souvent les dernières versions disponibles. (...) l'usage d'une rolling release sur un serveur n'est-elle pas plutôt dépréciée du fait des changements de fichier de configuration qui peuvent survenir d'un jour à l'autre ?

oui voila, mais c'est plutôt du point de vue de la stabilité que de la sécurité en fait, que ce soit sur une rolling release ou sur une distrib classique les mises à jour sécu sont faites dès que possible

si on veut évoquer la sécurité, la question qui se pose du coup c'est est-ce qu'une version antérieure d'un logiciel comporte forcément moins de bugs susceptibles d'être exploités (vulnérabilités) ?

ben pas forcément, on a déjà vu le cas de logiciels à la version 175, et on se rend compte qu'il y avait une faille critique à l'époque qui concernait les version 62 à 86 uniquement

on a également eu le cas du logiciel qui apporte de nouvelles vulnérabilités qui n'existaient pas avant via sa mise à jour (qui a dit les service packs windows ?)

et on connait le cas le plus classique (possiblement le plus répandu aussi, certes, mais ce n'est pas ce qui en fait l'argument principal en défaveur d'une rolling release pour faire un serveur) dans lequel la mise à jour corrige les bugs, parmis lesquels les vulnérabilités connues

je pense que niveau sécurité les deux s'équivalent, c'est plutôt le côté stabilité des fichiers de configuration qui pèche un peu.

c'est ça, la distribution classique assure que pour une version spécifique la quasi totalité des packages qu'elle propos sont compatibles et s'intègrent correctement avec la distribution

[balis]

Et puis si tu suis le flux rss et forum de ta release like arch , on te prévient qu'avant de mettre ce paquet à jour il faut faire des manips etc. Ça m'est arrivé une fois , sur une maj de me retrouver avec le système KO car un paquet aller créer des conflits mais je l’avais qu'après sur le flux. Donc attention quand même