Debian güncel olmayan bir OS mi?

Scorpio55 · 20 Ocak 2022

Debian "güncel" bir dağıtımdır. Debian'ın kararlı branşı hala güncel olan yazılımlar kullanır ve bunların bakımını güncellemeler yoluyla yapar. Kararlı branşta ilgili yazılımın son sürümünün bir kaç sürüm gerisinde versiyonlarını görebilirsin ama bu onu "güncel değil" diye etiketlemek için yeterli değildir. Windows 7 güncel değildir çünkü güncelleme almıyor. Bir güvenlik zaafiyeti olduğunda tamamen saldırıya açık. Her tarafı CVE dolu eski Windows sürümlerinin. Eski Debian ve Ubuntu sürümlerinin her tarafı zaafiyet dolu. Haftalarca, belki aylarca güncellenmemiş bir Arch sistemin de bir sürü açığı vardır. Güncel olmak son yazılımı kullanmak ile bağdaştırılmamalı. Eğer yaptığımız karşılaştırma bu ise yine Debian güncel çünkü test branşı yazılımların son sürümlerini takip etmekte Arch Linux'un hemen arkasından gelirken, kararsız versiyonu bazen Arch'ın önüne geçebiliyor. Debian kararlı branşını kullanan kişi biraz eski versiyonları kullanmak için o branşı seçer zaten çünkü son yazılımları kullanmaktansa denenmiş, test edilmiş, taş gibi sağlam yazılımı kullanmayı tercih eder.

acv dedi:
Linux | Madaidan's Insecurities

A myriad of common Linux distributions, including Debian, Ubuntu, RHEL/CentOS, among numerous others use what's known as a "stable" software release model. This involves freezing packages for a very long time and only ever backporting security fixes that have received a CVE. However, this approach misses the vast majority of security fixes. Most security fixes do not receive CVEs because either the developer simply doesn’t care or because it’s not obvious whether or not a bug is exploitable at first.

Burada koskoca Red Hat ve Canonical hiç mi hiç CVE çözümünde bulunmuyor mu dedi yoksa ben mi yanlış okudum? Bu şirketler sunucu işlerinden bir dünya para kaldırıyorlar. Ubuntu artık LTSlere 10 yıl destek vermeye başladı. İlk 3 cihaz ücretsiz, kalanlar için de cüzi bir miktarla 10 yıl CVE desteği alabiliyorsun. RHEL de aynı. Sabit sürüm dağıtımların hepsi güvensizdir diye bir şey yok. Aksine Arch gibi dağıtımlardan daha güvenlidir. İlk başta yuvarlanan sürüm dağıtımları her zaman en güncele getirmek yüksek bant genişliği isteyen bir şey. Ekiplerin profesyonellik ve anında müdahale imkanlarından bahsetmiyorum bile. Zaten çok emek isteyen yuvarlanan sürüm modelini kullanan bir dağıtım ile arkasında sağlam bir şirket ve binlerce insanın olduğu, olgunlaştırılmış bir dağıtımı yan yana koyarsak elbette ikincisi CVElere daha iyi yanıt verecektir. Debian için ise, Debian kararlı branşının bir noktadan sonra tek odaklandığı CVEler zaten. Odak noktası tamamen güvenliğe kayıyor kararlı branşta. Sanki bu blogun sahibi sadece yuvarlanan sürüm dağıtımları övmek istemiş?
@Lahmacun_1234 seni tamamen unuttular sanırım

OzgunP dedi:
Neredeyse AUR kullanmayan bir Arch kullanıcısı düşünemeyeceğimize göre, böyle bir deponun sorumluluğunu almayan bir geliştirici ekibinin dağıtımına kendine teslim etmek vehametin ötesinde sayılır. Ayrıca AUR deposunda böyle kontrolsüz bir durumun ortaya çıkması, Debian'da backport gecikmesinden çok daha kötüdür ve yine AUR'da benzer bir durumun şu an var olması ya da ileride tekrarlanması çok daha olası.

AUR'daki paketlerle ilgili ne zaman bir sorunum olsa aldığım cevap "Vağğkkhh! O benim paketim değil tamam mı?! Ben sadece bunu derleyip AUR'a yüklüyorum! Kendi sorununu kendin çöz! Bu programı ben yazmadım!" tarzında bir cevap alıyorum. En basit sorunda bile. Bu bakımdan Arch topluluğunun pek yardıma açık bir topluluk olmadığını söyleyebilirim. Manjaro geliştiricileri bu yüzden AUR'daki bazı paketleri kendileri derleyip kendi depolardında destek veriyorlar.

OzgunP dedi:
Neden varsayım olsun, hemen her Arch kullanıcısı AUR kullanıyor. Zaten sorun burada, kimsenin sorumlu olmadığı, şu an dahi bir zararlının dahil edilip edilmediğinin muamma olduğu ve ileride ne olabileceğinin kestirilmesi zor bir ortamdan bahsediyoruz.

Kullanmak istemesem de Spotify, Brave gibi uygulamaları Flatpak'tense AUR'dan kurmayı yeğliyorum. Ayrıca yazıcım için gerekli olan bazı ppd'ler sadece AUR'da var

Debian güncel olmayan bir OS mi?

Scorpio55

Kilopat