Ariel Costas

Mi opinión sobre las distros «estables»

Cuando hablamos de distribuciones de Linux (o GNU/Linux, aunque de esto hablaré próximamente), existen dos grandes categorías: las distros estables y las rolling-release (lanzamiento contínuo). Las primeras lanzan versiones numeradas, y cada cierto tiempo sacan una nueva versión con nuevas versiones de los paquetes que incluyen. Por ejemplo, Debian 11 o Ubuntu 20.04.

Por otro lado, las distribuciones rolling-release incluyen generalmente las últimas versiones de cada programa, y no tienen versiones numeradas: instalas la distribución y actualizas los paquetes necesarios. Cada día se actualizan paquetes nuevos, que puedes actualizar o no, a tu discreción.

Para servidores se suelen elegir las primeras, porque no va a haber actualizaciones "sorpresa" que rompan alguno de los programas que utilizas, y por tanto requiera intervención manual o cambios al código, con el respectivo tiempo sin el servidor funcionando.

Pero llegan los problemas

Debian 11 incluye en sus repositorios PHP 7.4, la última versión mayor de las versiones 7, la cual terminó con el Active Support (para arreglar fallos y problemas de seguridad) en noviembre de ese año. Además, en noviembre de este año 2022 terminará con el soporte de seguridad (para problemas críticos).

Es decir, Debian incluye una versión de PHP que en 7 meses, desde que se escriben estas líneas, perderá todo el soporte proporcionado por el upstream PHP. Si hay alguna vulnerabilidad importante, podrá ser explotada hasta que alguien en Debian cree su propio parche y se saque en los repositorios.

En su lugar, Debian debió haber incluído PHP 8.0 en los repositorios, que salió en noviembre de 2020 (debian salió en agosto de 2021), que alcanzaría con el soporte de seguridad crítico al menos hasta finales de 2023, cuando ya habría salido Debian 12.

Y no solo es PHP

Go también tiene una historia similar, o incluso peor. Las versiones de Go tienen soporte hasta que salen dos versiones mayores posteriormente. Es decir, Go 1.15 tiene soporte hasta que sale Go 1.17.

Bien, Go 1.15 salió en agosto de 2020, y go 1.16 salió en feberero del 21, varios meses antes que bullseye. Lo mejor llega ahora: Go 1.17, que hacía efectiva la pérdida de soporte de Go 1.15, salió tan solo dos días después de Bullseye.

Por tanto, el repositorio de Debian