Discussion :

[Etre_Libre]

l'idéal selon moi serait que des outils comme maven puissent te faire un "potential vulnerability assessement" sur base des versions présentes dans ton .war au final. Parce que si, pour chaque application développée en interne sur des projets de 3 à 4 mois, je dois me coltiner de suivre les update de 80 librairies et, toutes les semaines, faire une mise à jour pour utiliser la dernière version de X ou Y, a bout de 4 projet, mon équipe est à l'arrêt.



Et faire une mise à jour de sécurité, ce n'est souvent possible en temps raisonnable que si on reste dans la même révision mineure. Passer à la majeure suivante, c'est parfois beaucoup de boulot. API incompatibles, nouveaux fichiers de configurations, repasser toutes les batteries de test quality control.
Enfin, quand on a un mix de closed source et d'open source, que le closed source n'est plus maintenu (ou coute trop d'énergie à migrer) et n'est pas compatible avec la nouvelle version de xerces ou de xml-api, on est vite dans un cul de sac.

Tout ça ça coute énormément d'argent. Alors oui, souvent, on reste avec les ancienne librairies et on assume les risques. Tout est une question de moyen et du rapport entre les moyens et les risques.

Je crois que ton point de vue est partagé par d'autres aussi, même si j'admets que je ne suis pas vraiment d'accord, je peux comprendre pourquoi la décision est prise.

Exemple : Un routeur Cisco RV042 V3 (firmware commun avec les RV016 et RV082).

Le dernier firmware date de janvier 2012 : superbe dirait-on ?

Mais en fait, quand j'ai fait la demande du firmware open source pour le modifier, on m'a indiqué qu'il fallait un Fedora 6... et ce n'est pas une blague.

Au départ j'ai bien sûr essayé avec un Fedora 16, pas moyen de compiler, les librairies avaient trop changé.

Je ne sais pas à quel degré c'est fait, mais Cisco semble corriger des failles de sécurité etc... donc je suppose qu'ils patchent uniquement ce qui est découvert ou critique, le strict minimum ?