Verlängerung der Sicherheits-Maintenance von Ruby 1.8.7 und 1.9.2

Mit sofortiger Wirkung werden 1.8.7 und 1.9.2 bis Juni 2014 mit Sicherheitspatches versorgt.

  • Terence Lee(@hone02) und Zachary Scott (@_zzak) übernehmen die Wartung.
  • Nach Ablauf der 6-monatigen Maintenance-Periode können wir weitere Committer hinzufügen, um eine neuerliche Verängerung um 6 Monate zu ermöglichen.

Diese Verlängerung der Maintenance wird durch Heroku ermöglicht; siehe dazu deren Blogpost A Patch in Time: Securing Ruby.

Fehler melden

Im Laufe dieser erweiterten Unterstützung werden wir nur Sicherheitspatches auf das Quellcoderepository von 1.8.7 und 1.9.2 anwenden.

Wir nehmen Sicherheit sehr ernst; wenn Sie eine Sicherheitslücke finden, melden Sie sie bitte umgehend an security@ruby-lang.org. Dabei handelt es sich um eine private Mailingliste, sodass die gemeldeten Probleme veröffentlicht werden können, nachdem ein Fix erstellt wurde.

Weitere Informationen finden sie unter ruby-lang.org/de/security

Releaseverwaltung

Wie ich schon weiter oben ausgeführt habe, werden wir ausschließlich Sicherheitspatches anwenden und lediglich das Patchlevel erhöhen.

Wir werden keine gepatchten Versionen von 1.8.7 oder 1.9.2 auf ruby-lang.org zur Verfügung stellen; es steht Ihnen aber natürlich frei, die Binaries aus dem Quellcode zu bauen. Der Hintergrund hierfür ist, dass wir keine neuen Tickets wollen, da ein offizielles Release eine weitergehende Verantwortlichkeit des Ruby-Core-Teams für die Unterstützung der Version bedeuten würde. Unsere personellen Kapazitäten sind ohnehin begrenzt, außerdem wollen wir unsere Nutzer zu Upgrades anhalten, nicht veraltete Versionen unterstützen.

Warum 1.8.7 wiederbeleben?

Sie erinnern sich vielleicht an die Ankündigung vor etwa 6 Monaten, in der es hieß, Ruby 1.8.7 sei am Ende.

Tatächlich wird das Ruby-Core-Team weder 1.8.7 noch 1.9.2 weiter unterstützen, jedoch übernehmen Terence und Zachary die Sicherheits-Maintenance dieser Versionen als Teil einer Corporate Sponsorship.

Schon in der Vergangenheit haben einzelne Unternehmen veraltete Versionen gepflegt. So übernahm 2009 Engine Yard die Unterstützung von 1.8.6 mit der Veröffentlichung von 1.8.6-p369.

Ermutigende Worte

Wir möchten diese Gelegenheit nutzen, um Ihnen dringlichst nahezulegen, so schnell wie möglich auf eine unterstützten Ruby-Version zu aktualisieren. Zahlreiche Ruby-Core-Mitglieder haben unzählige Stunden in die Verbesserung der Performance und der Features von Ruby 2.0+ gesteckt und wir wollen, dass Sie in den Genuss dieser Vorteile kommen.

Vielen Dank für Ihre weitergehende Unterstützung und lasst und Ruby auch weiterhin verbessern!