A equipe do Fedora geralmente visa um lançamento antecipado e uma data atrasada para sua programação.
Desta vez, o Fedora 37 está sendo adiado, com um atraso inesperado. A partir de uma data-alvo de lançamento de 18 de outubro a 25 de outubro, e depois 1º de novembro.
Agora, temos que esperar até 15 novembro 2022 para baixar o Fedora 37.
*Mas por que o atraso? O teste não está completo para Fedora 37? O que está acontecendo?
O OpenSSL anunciou uma nova versão que corrige um bug de segurança crítico. A nova versão está programada para ser lançada em 1º de novembro de 2022. Até o lançamento, a equipe do Fedora desconhece os detalhes sobre a correção de segurança. Pode ser significativo, então a Red Hat recomenda esperar por ele antes de liberar o Fedora 37.
Aqui está o que o Gerente de Programas do Fedora menciona em um post no blog:
Quando um problema de segurança é descoberto, essas informações são frequentemente compartilhadas com o projeto confidencialmente. Isso permite que os desenvolvedores corrijam o problema antes que mais pessoas saibam sobre ele e possam explorá-lo. Os projetos então compartilham informações com downstreams para que possam estar prontos.
Ironicamente, a abertura de Fedora significa que não podemos começar a nos preparar antes do tempo. Todos os nossos sistemas de compilação e artefatos estão abertos. Se começarmos a construir atualizações, isso divulgaria a vulnerabilidade antes da correção chegar. Como resultado, só sabemos que o OpenSSL considera este o mais alto nível de gravidade e a equipe de segurança de produtos da Red Hat recomendou fortemente que esperamos por uma correção antes de lançar o Fedora Linux 37.
Tempo necessário para testar o Candidato de Lançamento com a nova versão do OpenSSL
Os desenvolvedores precisam de tempo suficiente para testar o candidato de lançamento do Fedora 37 depois de atualizarem o pacote necessário.
Embora eles possam apressá-lo, eles pretendem enviar uma liberação apenas depois de estarem confiantes sobre isso:
A equipe de projetos do OpenSSL planeja publicar a correção de segurança cerca de 48 horas antes de tomarmos a decisão de ir/não ir para uma meta de 8 de novembro. Fatorando em tempo de construir o pacote do OpenSSL atualizado e gerar um candidato de lançamento, que nos dá cerca de um dia e meio para fazer testes. Não é tempo suficiente para se sentir confortável com uma mudança para um pacote tão importante. Considerando que é uma atualização importante, é uma excelente decisão testá-la e prepará-la para lançamento.
Claro, o atraso pode ser em vão se a correção de segurança não for enorme.
No entanto, é melhor ter uma versão que forneça uma experiência segura fora da caixa em vez de ter um pacote vulnerável.
O que você acha da liberação do Fedora 37 ser adiada? Compartilhe sua opinião nos comentários abaixo.