L’ultima versione o no, questo è il problema

Ripubblico un commento che ho scritto la scorsa settimana su oneCMS, parlando dei problemi di sicurezza di WordPress:

Questo è sempre un bel problema: ovvero, aggiornare all’ultima versione, per applicare le correzioni ai bugs rilevati nella release precedente, spesso e volentieri porta ad introdurre nel codice nuovi bugs, come è successo con Joomla! 1.5.2 che ha introdotto un bug corretto con la 1.5.3.

Purtroppo questo genere di questioni si ripete nel tempo, in tutti i tipi di software: open source o closed source non è il problema.

Non si può nemmeno dire che il software non sia testato a dovere, probabilmente è la dimensione stessa del progetto a fare in modo che

1) non vengano rilevati tutti i problemi in fase di test per via dell’estensione del codice
2) se esiste un bug, esso viene trovato subito dato che il software è usato da un numero vastissimo di persone, con n-mila configurazioni diverse e esigenze differenti.

Quindi non resta che convivere con questa problematica e decidere cosa fare: aggiornare all’ultima versione per correggere i problemi rilevati e magari esporci a nuovi problemi e sentirci dei beta tester, oppure mantenere una release vecchia con la filosofia “finchè funziona, tengo questa?”

Spesso la seconda opzione è un problema più grave del primo perchè più il tempo passa, più si diffondono le informazioni tra i cracker su come penetrare i sistemi insicuri.

Anche la prossima release di WordPress introdurrà dei bugs, se guardi indietro nel tempo tutte le versioni hanno introdotto bugs che poi sono stati risolti e magari anche alcuni mai rilevati.

Detto questo, credo che il software sicuro al 100% non esista .. però deve esserci la mentalità per cercare di renderlo sicuro quanto basta.