[Typo3-german] Security Updates

[Jan-Claas Dirks]

> Was haltet ihr von den Debian-Packages in Verbindung mit
> einem automatisierten apt-get ? Werden die packages immer mit
> allen aktuellen security-updated aktualisiert ? Wenn ja, wäre
> das doch eine schöne Lösung...


Das Problem ist dabei ja, dass es den Typo3-Kern gibt und jede Menge
Extensions.

Beim Kern müsste man die verschiedenen Releases getrennt pflegen, ein
Zwangsupdate von z.B. 3.7 auf 3.8 kann eine Menge über den Haufen werden.
Und wie nennt man dann das aktuellste Paket für neue Installationen?

Beim Update würden Anpassungen, die man selbst am Source gemacht hat
(Bugfixes aus dem Bugtracker z.B.) überschrieben werden. Alle Patches aus
dem Bugtracker also per Updates weiterreichen? 

Beim Kern gibt es erstaunlich wenig Security-Updates, ein Zeichen für die
hohen Qualitätsansprüche der Kern-Entwickler. IIRC war der letzte auch nur
ein Advice, den Encryption-Key zu erzeugen.


Anders sieht es da schon bei Extensions aus, hier mag die Code-Qualität auch
schonmal eine Stufe kleiner sein. Jedoch beissen sich hier das TER und eine
Paketverwaltung.

Also das TER im Hinblick auf Security-Updates erweitern? Popup und Mail an
admin, wenn beim Zugriff auf das TER automatisiert Security-Updates für
installierte Extensions gefunden wurden? Per cronjob? Oder vom TER aus an
alle admins solcher Installationen, die sich dafür angemeldet haben?

Das Grundproblem besteht wohl darin, dass die Seiteneffekte, die ein Update
haben würde, nicht vorhersehbar sind. Die Systeme, die wir entwickeln,
können wir schliesslich nicht nach jedem Security komplett durchklicken und
schauen, ob noch alles funktioniert.

-- 
Jan-Claas Dirks
jcdIT.net                  Schwachhauser Heerstr. 122
                           28209 Bremen
Dirks at jcdIT.net            0421 / 79277-20