Старый софт с security update'ами vs свежый софт

Могут ли ментейнеры debian так же хорошо понимать софт, как непосредственно разработчики софта, чтобы успешно патчить этот софт

Так они не сами же эти заплатки пишут, а накатывают то что разрабы проекта написали. (ну для случаев когда мейнтейнер != разработчик софта, иначе понятно что он в курсе как правильно делать)

Что можно сказать о безопасности такого софта по сравнению с новыми версиями его же в дистрибутивах с RR, где эти фиксы из коробки?

Тут нужно уточнить что за софт - одно дело какой-нибудь браузер, который релизится по десять раз в неделю, другое - какой-нибудь серверный демон, который уже пять лет не обновлялся. Для десктопа скорее подойдет что-то более близкое к апстриму, для сервера - текущий stable это еще очень даже свежо.

А вообще - свежий софт это не гарантия того что дыр будет меньше, скорее наоборот.

Ну и прежде чем рассуждать что там протухло, а что нет - посмотрите на сроки поддержки интересующего софта со стороны разработчиков - обычно для больших проектов есть LTS-релизы, которые сами разрабы долго будут поддерживать, и соответственно в stable будут скорее они, чем какая-то промежуточная версия.

Так они не сами же эти заплатки пишут, а накатывают то что разрабы проекта написали

Не совсем понял. Хочешь сказать, что специально, допустим, для версий, которые используются в debian stable, разрабы софта пишут фиксы не смотря на то, что в апстриме может быть совсем другая версия? Или ты имеешь ввиду, что ментейнеры переносят какую то кодовую базу апстрима софта в старый софт? В первом случае для конечного пользователя это выглядит здорово, только вряд ли это так, потому что слишком много усилий нужно для поддержки со стороны разрабов. А во втором опять же ставится под сомнение, насколько хорошо ментейнеры понимают софт, чтобы что-то оттуда выдергивать и патчить старый софт.

Если софт настолько недоработанный, что его нельзя использовать по прямому назначению, то никакие фиксы безопасности для используемых им библиотек не спасут.

Речь об обычном софте, который работает. Но то, что софт работает, не значит что он идеален и у него нет косяков и уязвимостей, ради которых и делают security update.

для версий, которые используются в debian stable, разрабы софта пишут фиксы не смотря на то, что в апстриме может быть совсем другая версия?

Тут либо баг (и исправление для него) работают в той версии, что используются в stable, либо ошибка в апстриме появилась после того как версию в stable "зафиксировали" и патчить ничего не нужно. В сложных случаях, когда для решения проблемы нужно что-то из апстрима притащить - это делают.

Вообще, видели как разработка на том том же github происходит? Вы же можете "путешествовать" по истории и видеть что где меняется, и перетаскивать только нужные патчи - все это не одним здоровым куском же идет типа "бабах, релиз - один коммит с миллионом исправленных строк".

Ну и раз уж на то пошло - Debian это один из самых популярных дистрибутивов, на котором базируется еще несколько популярных. Какие-нибудь проприетарщики (тот же MS) -собирают свои пакеты в том числе и именно под Debian. Так что это не просто чья-та поделка на коленке, в этот проект вовлечено очень много людей, и очень много чего на него опирается, так что там и команда компетентная, и общий язык с разрабами в случае необходимости они найдут.

Допустим. Тогда, возвращаясь к главному вопросу, получается, что старый софт с обновлениями безопасности в плане безопасности не хуже софта в апстриме хотя бы потому, что фиксы в апстримном софте выходят в новых версиях этого софта, т.е. нужно его постоянно обновлять, а в старом софте, например, который есть в debian stable, этот софт все время одной версии, но ее допиливают фиксами до лучшего состояния. Все так?

Не знаю, как там с безопасностью, но старый софт меньше жрёт. Это факт!

И к чему это? Тема не об этом.

что старый софт с обновлениями безопасности в плане безопасности не хуже софта в апстриме

С одной стороны - да, но с другой - старый софт меньше используется и контролируется - больше вероятность обнаружения дыры (и последующего ее устранения) в новом софте, чем в старом. Это для сравнения "дыр" разных версий.

Скорее всего не понятно написал, так что постараюсь объяснить свою мысль - есть софт версии 1 с функцией foo() (он у нас в stable) и версии 2, в которой foo() заменили на bar(). Функции просто делают одно и то же, но код там абсолютно разный. И в обоих функциях есть дыры (сейчас не важно какие). В bar() дыру могут найти в рамках изучения кода в апстриме, тестирования, использования приложения в конце концов. В foo() особо никто смотреть не будет, потому что в апстриме ее нет, версия приложения старая, а значит и нет смысла тратить на все это дело свое время. Но дыру в foo() может найти какой-нибудь злоумышленник и начать ее эксплуатировать. Понятно что рано или поздно это всплывет, но многие системы могут пострадать, по-этому софт таки советуют обновлять. Исправить дыру в foo() тоже может быть не просто - разработчики эту функцию уже не поддерживают, и возможна ситуация когда для исправления уязвимости потребуется очень много усилий. В таком случае либо ее как-то закостылят, либо будут заменять на bar() из апстрима, а это может притащить за собой еще кучу правок во всем проекте.

Как быть в этом случае - не думаю что есть однозначный ответ на этот вопрос.

Т.е. в контексте безопасности тут условный паритет.

Если нужна безопасность без стабильности, то лучше свежий.

На серверах предпочитаю LTS. На десктопах раньше делал апгрейд как только выйдет следующий релиз весной и осенью (ну на десктопе у меня обычно была Кубунта), но потом я обленился и в последние годы тоже обычно стоит LTS. Лень обновляться без особой надобности. Но если приспичит поставить новую версию софта, то смотрю что менее лениво, обновить дистр или собрать софт самому.

Могут ли ментейнеры debian так же хорошо понимать софт, как непосредственно разработчики софта

Нет конечно, вспомни эпичный баг с OpenSSL в Debian.

В одном случае одни дыры, в другом другие. В любом случае, в контексте безопасности только на это я бы расчитывать не стал.

Всё очень просто. Аксиома один: весь софт решетобагонутормозящий. Разница во времени влияет лишь на известность части этого количественно, но в целом, конечно, картины не меняет. В каждой новой версии программы для RR привносится ещё больше решетобагонутормазящих фич/фиксов, в то время как в Stable вносятся лишь фиксы, для большинства программ, что уменьшает количество проблем, хотя бы в теории.

Всё просто: берёшь какой-нибудь active-cve-check (ubuntu) или debsecan (debian) и сравниваешь количество известных и неисправленных cve в дистрибутиве разных веток/версий.

Номер раз: С обновлениями могут прилететь новые дыры и даже злонамереная вирусня. Мэйнтейнеры дебиана — дополнительные глаза, которые это проверят (в теории, ага).

Номер два: У мэйнтейнеров дебиана есть хорошая, годная инфраструктура для раздачи софта, с цифровой подписью и автоматизируемыми обновлениями. С разработчиками неоднозначно: Откуда ты узнаешь об обновлении? Как быстро обновления к тебе прилетят? Насколько надёжными путями?

Номер три: Если разработчик — мудило, мэйнтейнеры могут не знать, что есть проблема в безопасности. Автор xscreensaver встроил пасхалку, какое-то всплывающее окно, которое говорило, что у пользователя древняя версия. У пользователей дебиана, что следовало ожидать, это окно в конце концов начало всплывать. Разработчика спросили, что за фигня, а он начал бугуртить, что мэйнтейнеры не правы и вообще засранцы, пакуют древние дырявые версии, а он дыры давно пофиксил. Что характерно, дыры им анонсированы нифига не были. Что тоже характерно, мэйнтейнер дебиана кода не читал, иначе бы эту фигню не пропустил.

Номер четыре: Мэйнтейнеры сами могут наделать дыр, смотреть про дебиан и opensls.

Вывод: вообще пофиг.

В конце концов станет публично известна дыра в установленном у тебя софте. В этот момент важно быстро обновиться. Пакетный менеджер в этом помогает, но это нюансы.