Failles de sécurité et cycle de dev rapide

[Arcturus]

Bonjour,

Je sais que le nouveau cycle de dev rapide de Mozilla est sujet à de nombreux troll et autres commentaires idiots depuis toujours. Ceci dit, j'ai lu pas plus tard qu'hier une news sur un site plutôt sérieux sur la sortie de Firefox 16.0.2.
Cette news indiquait : "Cependant le rythme de développement choisi [...] ne plait pas au sein des fans, il n'est pas rare que ce genre d'anicroche arrive, et finalement certains se mettent à penser que développer trop vite n'est pas un modèle qui convient à Mozilla."

C'est le rapport entre rythme de dev et faille de sécurité qui me parait bien étrange. Je décide donc de contacter le rédacteur de cette news qui m'a répondu : "Et regarde le changelog de mozilla, tu verras qu'il y a un rapport entre rythme de dev et failles, il y en a bien des connues qui ne sont pas systématiquement traitées, ou qui le seront sur la version d'après"

Je ne sais absolument pas d'où il tient cette information qui me parait totalement fausse. Elle serait néanmoins inquiétante si elle était vrai...

Avez vous des info là-dessus ?

[Zefling]

Un liens vers la news serait un plus.

Perso, en tant que dév web, ce rythme ne me dérange pas. Bien au contraire.

[vulcain]

il y en a bien des connues qui ne sont pas systématiquement traitées, ou qui le seront sur la version d'après"

Références nécessaires.

[Uther]

Suite a un troll du même genre sur un autre site, j'avais comparé le nombre de ticket de sécurité traités les 18 mois qui ont suivis le passage aux sorties périodiques et sur les 18 mois précédents.
Il s'est avéré que les nombres étaient quasiment identiques (moins de 2% d'écart).

Je serais moi aussi bien curieux de savoir sur quel site tu as vu ça

[Arcturus]

Sur ce site :
http://www.comptoir-hardware.com/

[vulcain]

Plus précisément: http://www.comptoir-hardware.com/actus/ ... tique.html

Après on fait pas ce genre de remarques avec Chrome....

[Zefling]

C’est un peu un news lancer une pierre dans la marre pour regarder les vaguelettes. Je m’attendais à un articles avec plus d’argumentations qu'un commentaire de news.

[Abraxas]

A mon avis, le problème est présenté par le mauvais côté de la lorgnette. Le développement rapide (et MS va bientôt l'adopter avec la disparition des Service Packs pour Win 8) a un certain inconvénient qui est de mettre en évidence des régressions dans la version stable. En effet, puisque le temps de beta test est raccourci, certaines passent à travers les mailles et finissent en release. Bref, la réduction du temps de beta test doit absolument s'accompagner d'une augmentation du pool de beta testeurs (et Mozilla s'est déjà plaint du souci) et de meilleurs outils de tests automatiques.

Bien entendu, si développement rapide devient travail bâclé à cause des deadlines, on aura une augmentation des bugs (ça va de soi).

[Zefling]

A mon avis, le problème est présenté par le mauvais côté de la lorgnette. Le développement rapide (et MS va bientôt l'adopter avec la disparition des Service Packs pour Win 8) a un certain inconvénient qui est de mettre en évidence des régressions dans la version stable. En effet, puisque le temps de beta test est raccourci, certaines passent à travers les mailles et finissent en release. Bref, la réduction du temps de beta test doit absolument s'accompagner d'une augmentation du pool de beta testeurs (et Mozilla s'est déjà plaint du souci) et de meilleurs outils de tests automatiques.

Bien entendu, si développement rapide devient travail bâclé à cause des deadlines, on aura une augmentation des bugs (ça va de soi).

12 semaines (3 mois) de test Aurora + Beta c'est pas plus qu'il n'y en avait avant ?

[Uther]

Bien entendu, si développement rapide devient travail bâclé à cause des deadlines, on aura une augmentation des bugs (ça va de soi).

En fait c'est exactement le contraire : quand quelque chose n'est pas assez stable, Mozilla n'hésite plus à le reporter à la version d'après plutôt que de faire le forcing pour l'intégrer. Vu que l'on a une version toutes les 6 semaines, ce n'est plus bien grave.

[Arcturus]

Bien entendu, si développement rapide devient travail bâclé à cause des deadlines, on aura une augmentation des bugs (ça va de soi).

En fait c'est exactement le contraire : quand quelque chose n'est pas assez stable, Mozilla n'hésite plus à le reporter à la version d'après plutôt que de faire le forcing pour l'intégrer. Vu que l'on a une version toutes les 6 semaines, ce n'est plus bien grave.

Oui c'est ce que je me dis aussi. C'est justement l'avantage des processus de dev agile que de pouvoir "remettre à plus tard". Bon après faut pas en abuser non plus...

[vulcain]

Il y a une traduction d'un article sur la sécurité:
http://blogzinet.free.fr/blog/index.php ... a-securite
D'après cet article, depuis 2010, seulement 3 failles 0-days.