Les applications non maintenus sont elles des danger?

Bonjour à tous et toutes,

En contribuant à la documentation je me suis rendu compte que certaines applications qui sont au niveau 7 pour yunohost ne sont finalement plus maintenus je penses à BoZoN dont le site officielle : http://bozon.pw/ ne renvoit à rien et dont le dépot github à vu sa dernière mise à jour le 7 novembre 2018.
La question est ces applications, BoZoN ne doit pas être la seule, représentent elles un risque à l’usage et pour les utilisateurs⋅trices et pour un serveur YunHost dans sont ensemble le temps avançant ?

Je pense que ça veut dire que les potentiels risques de sécurités ne sont plus corrigés, et donc oui c’est un risque.

Moi ce qui m’inquiète, c’est l’appli my_webapp que j’utilise énormément, et pour moi c’est une des principales à ne pas lâcher…

1 Like

Je partage l’analyse de @saimyx. Si il y a bien une application à suivre de prêt, c’est my_webapp.

1 Like

Si je ne me trompe pas cmy_webapp est une application qui a été spécialement packagé pour YunoHost ?
Je parlais plus des applications qui sont correctement packagé pour YunoHost mais qui ne sont plus maintenu à l’origine, j’ai trouvé aussi Anfora

Oui, je suppose que tu as raison, ça doit être spécifique à YunoHost.

Et désolé d’avoir un peu forké ton post :stuck_out_tongue:
Je n’avais pas remarqué pour Bozon, j’ai une instance installée sur un serveur en plus… :confused:

1 Like

Il y a effectivement un problème dans le cas où l’application upstream n’est plus mise à jour mais également dans le cas où le package n’est plus mis à jour avec la version upstream (peu de package ont un système qui télécharge la dernière version automatiquement, la plupart incluant une version spécifique et hard-codée).

Attention, le niveau 7 démontre une bonne intégration de l’application avec Yunohost, et non la sécurité de l’application installée. Par conséquent, vous pouvez packager une application avec plusieurs failles au level 7.
D’ailleurs, my_webapp a trouvé un mainteneur :wink:, et oui elle est packagée exclusivement pour Yunohost.

Et il y a beaucoup d’applications ex-“Officielles” qui ne sont plus mise à jour, par exemple Ampache, qui installe la version 3.5.0 alors que la 4.1 est sortie. Ces mises à jour incluaient des mises à jour de sécurité, et, plus récemment, le package est tombé au niveau 0 à cause d’une dépendance qui est passée sous licence propriétaire, donc le repo GitHub a été supprimé, une mise à jour du packagé aurait permis d’éviter celà.

1 Like

Oui c’est en effet ce que je pensais. Je travaille actuellement sur la documentation et je penses qu’un avertissement que le dépot upstream n’est plus maintenu ou que la version ne correspond pas serait une bonne chose car pour un un⋅e utilisateur⋅trice lambda. Le fait que ce soit de niveau 7 donne l’impression que tout est ok.

Une petite question, comment savoir si l’on doit désinstaller une application pour limiter les risques ?
Existerait t’il une sorte de “compagnonage” pour aider des débutants à apprendre à faire ces MAJ pour les applications de YunoHost.
Merci

1 Like

Non, ça n’existe pas à ma connaissance, mais ça serait bien !
Après, pour moi, un débutant doit tout de même faire attention à plusieurs choses qui restent à sa portée :

  • Faire des mises à jour
  • Se tenir au courant sur ce qui se passe, notamment au niveau des maintenances d’applis
1 Like

En parlant de faire ces MAJ je pensais plutôt à l’apprentissage nécessaire au développement des MAJ des applications en faites

:man_facepalming: effectivement, en te relisant c’est ce que tu disais…

Ben il y a un guide pour packager des applications, et un guide des niveaux d’applciations, je pense qu’avec ça, c’est suffisant.
Après, il faut un minimum de connaissances de base… Moi je n’ai pas les connaissances pour l’instant, donc je ne peux pas. J’imagine qu’un débutant ne les a pas non plus ?

Je ne parlais pas spécialement de faire les mises à jours des applications intra-YunoHost. Mais des applications qui sont correctement packagé pour YunoHost comme Anfora mais dont le dépot upstream GitHub.com - Anfora à juste reçu une mise à jour du README depuis très longtemps. Je penses que ces applications devrait avoir un message du type :

Cette application n’est plus maintenue depuis x temps même si elle est correctement adapté pour YunoHost faite son installation et son utilisation sont à vos risques et périls.

La question du suivi des applications packagé dans YunoHost est un problème qui a été dénoncé plusieurs fois (mais je ne sais plus où). Lorsqu’une personne accepte de packagé une appli pour YunoHost il/elle s’engage à suivre les évolutions et les actualités de l’application : cf. packaging apps guideline

Ce n’est pas obligatoire de toujours proposer la dernière version, c’est seulement recommandé et l’équipe Yunohost n’a aucun moyen de pression sur les packageurs qui ne respectent pas cette règle, et aucune YEP n’indique “vous devez maintenir votre paquet à jour avec l’application upstream”. Par exemple Ampache propose la 3.9.0 tandis que la 4.10.0 est sortie et aucun développement n’est en cours afin de la mettre à jour.

En revanche, toujours proposer la dernière version est obligatoire quand l’application est de label haute qualité, et le label est retiré/non-accordé en cas de non-respect, cependant on peut remarquer que certaines applications ont un retard sur la version upstream.

Par exemple etherpad_mypad, qui est pourtant officielle et haute-qualité, propose la version 1.7.5 tandis que la 1.8 est disponible (le Readme indique la version de la branche testing et non la version installée par la branche stable). Le paquet est cependant en développement actif et la 1.8 est installée par la branche testing.

Il est normal et inévitable d’avoir un délai pour corriger les bugs dans le package.

3 Likes