web-dev-qa-db-ja.com

無人自動セキュリティ更新/アップグレード

Drupalがセキュリティ更新を自動的に実行するための最良の方法は何ですか?そして、人々は一般的にそのような方法を採用していますか?

動機については、これを考慮してください:Drupalリリースされたばかり [〜#〜] psa [〜#〜] 最近の 脆弱性 について:

... 10月15日午後11時(UTC)の前に更新またはパッチを適用しない限り、Drupal 7のWebサイトはすべて侵害された、つまり発表から7時間

幸い、私はこれをキャッチし、発表の1時間後に手動で更新を実行しました。しかし、私がしなかった場合はどうなりますか?自動更新プロセスを導入して、心に留めてもらいたいのですが。

また、この自動アップグレードシステムでセキュリティアップデートのみを適用したいと思います。 (更新が重要でない限り、更新後に一部の機能が壊れる可能性があることを気にすることは、リスクを冒す価値がないように思われます。)

1
Sean

Drupalがセキュリティアドバイザリと対応するパッチを公開する前であっても、ウェブサイトを侵害するために使用される可能性がある '0-day'の脆弱性があることにも注意してください。 Drupalコアの自動更新、サイトに脆弱性が存在する期間がまだあります。

したがって、これらの種類の問題に対処する最善の方法は、バージョン管理システムにすべてのDrupalコードを含めることです(たとえば、SubversionまたはGit)。このようにすると、簡単に次のことができます。
-statusコマンドで侵入があったことを特定します(これにより、ソースファイル内のすべての変更されたファイルが表示されます)
-ソースツリーを最新のコミットにリセットすることにより、これらの変更を元に戻し、それによって行われたすべての害を修復します

唯一の欠点は、コードを変更するたびにすべての変更をリポジトリにコミットする必要があるため、更新ごとにもう少し作業が必要になることです。しかし、これは追加の利点とこれが提供する心の一部を支払うための非常に小さな価格です。

7

これに関しては大きな議論があります。フォローアップ https://www.drupal.org/node/2367319 で決定します。

0
Sujith Nara