• [^] # Re: ne pas upgrader?

    Posté par (site web personnel) . En réponse à la dépêche PHP 4.1.1 dispo. Évalué à 10.

    ah non,

    il y a plein de choses avec lesquelles je ne suis pas d'accord dans ce que tu dis.



    Tout d'abord le "il faut toujours utiliser la version la plus recente". Je ne dirais pas de faire le contraire mais ce que tu préconises est absolument à ne pas faire.



    Il y a trois types de nouvelles versions :

    - celles qui amènent de nouvelles fonctionnalités (nouvelle fonction, nouvelle conf par défaut, compatibilité avec telle ou telle version de lib qui n'était pas supportée avant)

    - celles qui amènent des corrections de type fonctionnel (fonction qui avait un comportement bizarre ou qui ne marchait simplement pas)

    - celles qui apportent des corrections de sécu



    Malheureusement en général c'est un peu des trois.



    Tu ne dois mettre à jour QUE si c'est un type "correction de sécu" (et même là il faut regarder si la faille corrigée étaient un problème chez toi). Le reste sert uniquement si tu en as besoin.

    Pourquoi ? car si les nouvelles versions amènent des corrections elles amènent aussi des nouvelles erreurs potentielles. Si tu met à jour, la 4.1.1 semble peut etre sans bugs mais personne ne peut prédire que on ne trouvera pas une faille importante de sécu dans cette release dans quelques temps. Ok, on peut toujours en trouver une dans la 4.0.6 mais elle est déjà plus testée, donc potentiellement moins sujette à des problèmes non connus.



    Si tu met à jour sans réfléchir à chaque mise à jour tu peux etre sur d'etre vulnérable à presque tous les problèmes qui sont découverts. L'attitude raisonnable est de ne mettre à jour QUE en cas de besoin (un probleme de sécu est un besoin, une optimisation ou nouvelle fonctionnalité ne l'est pas, vu que ca tournait avant). Tu n'envisages les mises à jour non nécessaires que quand le code est suffisement sur (vieux?).



    A ton avis pourquoi beaucoup de linux sont en 2.2 (et certains meme en 2.0) ? Pourquoi Free est encore en php3 ? pourquoi tout le monde n'a pas la dernière version d'apache (je suis même convaincu que certaines version sorties comme stables n'ont presque pas été appliquées sur les serveurs de prod) ?

    Ce n'est pas uniquement une affaire de temps à passer mais aussi de sécurité (on est plus sur de ce qu'on a que de ce qu'on peut avoir).



    Tu dois etre de ceux qui se sont tapé tous les problèmes des 2.4 un à un en mettant à jour à chaque fois .... l'histoire des 2.4 sur linux est un bon exemple sur le pourquoi il ne faut pas appliquer des releases uniquement parce qu'elles sont sorties.





    Le problème n'est pas qu'ils sortent une version qui a des problemes c'est que il y a beaucoup de nouveau code, eux n'ont pas (encore) vus de problèmes et elle a l'air de tourner, mais potentiellement elle est moins sure qu'une autre version.



    --

    pourquoi j'en fais toujours des tartines ?