Olá Ruan, vi que você também perguntou no Telegram, então vou copiar a sua pergunta e a minha resposta aqui: > Vi em alguns pontos da FAQ que navegadores sofrem cortes de suporte durante a > transição do stable para o oldstable, como o chromium por exemplo, a partir da > transição o pacote e abandonado Vejo isso como interrupção no tempo de suporte, > mas não sei como vcs interpretam esse ponto, digo isso pq existe usuário que > não vai mudar de versão fácil por causa de costume, um exemplo foi a equipe do > Linux Mint que fez o levantamento em 2021 que existia usuário usando versão > descontinuada do sistema(exclusividade do próprio usuário, o sistema não tem > nada a ver com o problema)por algum motivo, e voltando pro assunto navegador e > uma parte crítica no ambiente usuário então largar um pacote nessas > circunstâncias pode ser ruim pra imagem do projeto Repostas: > Vejo isso como interrupção no tempo de suporte, mas não sei como vcs > interpretam esse ponto Correto, é assim mesmo que vemos, esse tipo de coisa é rotineira em todas as distros, sempre há uma lista de pacotes não suportados para updates de segurança, essa lista tende a crescer conforme a distro vai ficando mais velha. Existem casos de exceção, onde uma CVE pode ser muito grave, em que é decidido fazer um update mesmo estando fora de suporte. Também existem muitos casos onde o pacote é suportado, mas muitas CVEs não são corrigidas devido ao risco de introduzir problemas. Então a moral da história é que mesmo que haja suporte a um certo pacote, rodar releases muito antigas sempre será mais arriscado que a mais recente. > digo isso pq existe usuário que não vai mudar de versão fácil por causa de > costume, um exemplo foi a equipe do Linux Mint que fez o levantamento em 2021 > que existia usuário usando versão descontinuada do sistema De fato isso acontece muito, é necessário assumir que sempre haverão usuários rodando versões muito antigas, já não suportadas mais, então é impossível resolver esse problema, são pessoas/empresas que aceitam os riscos de rodar sem suporte. Você pode dar 20 anos de suporte para uma release, é garantido que ainda haverá alguém usando após esses 20 anos (vulgo Windows XP). > voltando pro assunto navegador e uma parte crítica no ambiente usuário então > largar um pacote nessas circunstâncias pode ser ruim pra imagem do projeto A expectativa é que usuários de desktop consigam atualizar com mais frequência, ou instalar esses pacotes via outros meios (por exemplo: flatpak ou snap). Mas sim, cortar suporte é sempre algo ruim, mas é uma decisão que é tomada apenas quando não há alternativas, é necessário que alguém tome a frente e se responsabilize por prover o suporte. Ainda sobre o assunto, é bom sempre lembrar também que ter um sistema afetado por CVEs não é necessariamente algo perigoso, é possível que aquela distro reporte CVEs que não afetam o sistema por engano, ou é possível que a CVE não seja uma vulnerabilidade de fato. Existem distros que tem poucas CVEs apenas porque eles não reportam corretamente. E existem vários casos onde a correção de uma CVE acaba introduzindo outra CVE. No final do dia, o mais importante é tomar conhecimento do que afeta o seu sistema e entender se aquilo é um risco ou não (muitas vezes a CVE é de alguma feature que não é usada, por exemplo).
Pacotes como o chromium não deveriam receber updates no oldstable? alguns que usam webkit tbm não deveriam ter o mesmo tempo de suporte?
Olá Ruan, vi que você também perguntou no Telegram, então vou copiar a sua
pergunta e a minha resposta aqui:
> Vi em alguns pontos da FAQ que navegadores sofrem cortes de suporte durante a
> transição do stable para o oldstable, como o chromium por exemplo, a partir da
> transição o pacote e abandonado Vejo isso como interrupção no tempo de suporte,
> mas não sei como vcs interpretam esse ponto, digo isso pq existe usuário que
> não vai mudar de versão fácil por causa de costume, um exemplo foi a equipe do
> Linux Mint que fez o levantamento em 2021 que existia usuário usando versão
> descontinuada do sistema(exclusividade do próprio usuário, o sistema não tem
> nada a ver com o problema)por algum motivo, e voltando pro assunto navegador e
> uma parte crítica no ambiente usuário então largar um pacote nessas
> circunstâncias pode ser ruim pra imagem do projeto
Repostas:
> Vejo isso como interrupção no tempo de suporte, mas não sei como vcs
> interpretam esse ponto
Correto, é assim mesmo que vemos, esse tipo de coisa é rotineira em todas as
distros, sempre há uma lista de pacotes não suportados para updates de
segurança, essa lista tende a crescer conforme a distro vai ficando mais velha.
Existem casos de exceção, onde uma CVE pode ser muito grave, em que é decidido
fazer um update mesmo estando fora de suporte.
Também existem muitos casos onde o pacote é suportado, mas muitas CVEs não são
corrigidas devido ao risco de introduzir problemas. Então a moral da história é
que mesmo que haja suporte a um certo pacote, rodar releases muito antigas
sempre será mais arriscado que a mais recente.
> digo isso pq existe usuário que não vai mudar de versão fácil por causa de
> costume, um exemplo foi a equipe do Linux Mint que fez o levantamento em 2021
> que existia usuário usando versão descontinuada do sistema
De fato isso acontece muito, é necessário assumir que sempre haverão usuários
rodando versões muito antigas, já não suportadas mais, então é impossível
resolver esse problema, são pessoas/empresas que aceitam os riscos de rodar sem
suporte. Você pode dar 20 anos de suporte para uma release, é garantido que
ainda haverá alguém usando após esses 20 anos (vulgo Windows XP).
> voltando pro assunto navegador e uma parte crítica no ambiente usuário então
> largar um pacote nessas circunstâncias pode ser ruim pra imagem do projeto
A expectativa é que usuários de desktop consigam atualizar com mais frequência,
ou instalar esses pacotes via outros meios (por exemplo: flatpak ou snap).
Mas sim, cortar suporte é sempre algo ruim, mas é uma decisão que é tomada
apenas quando não há alternativas, é necessário que alguém tome a frente e se
responsabilize por prover o suporte.
Ainda sobre o assunto, é bom sempre lembrar também que ter um sistema afetado
por CVEs não é necessariamente algo perigoso, é possível que aquela distro
reporte CVEs que não afetam o sistema por engano, ou é possível que a CVE não
seja uma vulnerabilidade de fato. Existem distros que tem poucas CVEs apenas
porque eles não reportam corretamente. E existem vários casos onde a correção
de uma CVE acaba introduzindo outra CVE.
No final do dia, o mais importante é tomar conhecimento do que afeta o seu
sistema e entender se aquilo é um risco ou não (muitas vezes a CVE é de alguma
feature que não é usada, por exemplo).