search

mittwald / feature-requests

Sammlung von Feature-Ideen.
https://www.mittwald.de/roadmap
14 stars 0 forks source link

Automatische SystemSoftware-Updates #70

Open patrickhilker opened 8 months ago

patrickhilker commented 8 months ago

Welches Problem möchtest du lösen? Wann tritt es auf? Als Agentur/Entwickler möchte ich jederzeit die aktuellste Software für den Betrieb meiner Apps nutzen. Ich erwarte von meinem Webhoster, dass die von mir eingesetzte Software jederzeit sicher ist und keine Sicherheitslücken enthält. (Gemeint ist hier PHP, ImageMagick - und explizit nicht Apps wie WordPress, TYPO3, ...)

Welche Lösungsideen hast du? mittwald sollte automatisch Updates, die kompatibel zu den von mir installierten Apps sind, für meine Software installieren. Dabei möchte ich allerdings konfigurieren können, für welche Software das gilt, und ob ich dabei auch mögliche Breaking Changes akzeptiere.

Hast du zusätzliche Informationen (wie z.B. Screenshots)? Am wichtigsten sind Updates vermutlich für die PHP-Version.

holmey commented 8 months ago

Ja PHP ist wichtig, aber auch die Datenbank. Wahrscheinlich wird es schwer hier automatisiert zu patchen. Wie könnte ihr dann garantieren, dass die Anwendungen weiter ohne Einschränkungen laufen. Eine andere Idee wäre es, einen Benachrichtigungs-Agenten/Monitoring Service zur Verfügung zu stellen. Dieser könnte dann diverse Health-Checks durchführen. So etwas wie https://ohdear.app/, bzw. hier insbesondere das feature Health Checks. Eine einfache Komma getrennte Liste für E-Mails die benachrichtigt werden sollten. Dann können die Entwickler nach Eingang einer Warnung handeln.

Übergreifende checks:

Default Checks auf App Ebene z.B. für die PHP App:

ggf. eine eigene API, über die man via CronJob eigene Tests durchführen kann und die Message queue füllt (siehe z.B. https://ohdear.app/docs/integrations/the-oh-dear-api ):

So ein feature würde gleichzeitig vielen Agenturen helfen ihren Sorgfaltspflichten, oder verhandelten Leistungsbeschreibungen nachzukommen.

patrickhilker commented 8 months ago

Wie könnte ihr dann garantieren, dass die Anwendungen weiter ohne Einschränkungen laufen.

Wir haben einige Ideen dazu, die eine automatische Prüfung inkl. Rollback enthalten, aber du kannst dir sicher vorstellen, dass das alles andere als trivial ist.

Ich finde einige spannende Punkte, wie die automatischen Benachrichtigungen, die ich mir gerne mal mitnehme.

Unabhängig davon: Über unsere API kannst du ja jederzeit die installierte Software und die von uns bereitgestellten Versionen auslesen, abgleichen und auch updaten. Theoretisch könnte man sich das also schon jetzt selbst basteln.

holmey commented 6 months ago

Mir würde es auch gar nicht darum gehen automatisiert größere Upgrades durchzuführen. Ich habe eher ein Feature im Sinn, welches UnattendedUpgrades entspricht.

Wie macht ihr das eigentlich bei Applikationen im alten Kundencenter. Wird dort z.B. PHP, Apache usw. auf Patch-Level aktualisiert?

patrickhilker commented 6 months ago

Mir würde es auch gar nicht darum gehen automatisiert größere Upgrades durchzuführen. Ich habe eher ein Feature im Sinn, welches UnattendedUpgrades entspricht.

Magst du ein bisschen genauer erklären, was du da erwarten würdest?

Wie macht ihr das eigentlich bei Applikationen im alten Kundencenter. Wird dort z.B. PHP, Apache usw. auf Patch-Level aktualisiert?

Der Apache und die gesamte Software auf dem Server, die nicht durch den Kunden verwaltet wird, wird von unseren Administratoren aktuell gehalten. Die meisten Softwareversionen, die man selbst im Kundencenter verwalten kann, werden von uns nur in Notfällen angefasst. Bei einigen Softwares gibt es allerdings die Möglichkeit, die Version auf "xxx-latest" zu setzen (bspw. PHP 8.3-latest), muss aber gestehen, dass ich nicht 100 % weiß, wie sich das dann genau verhält (bin quasi nur im mStudio unterwegs).

Da möchten wir im mStudio definitiv besser und nachvollziehbarer werden. :-)

holmey commented 6 months ago

Es geht mir lediglich um kritische Sicherheitsupdates, die auf irgendeine Art sicher automatisiert installiert werden können durch euch. Wenn wir also eine PHP App anlegen würde ich mir wünschen, dass z.B. sobald ein Patch für ein CVE vorhanden ist, dieser automatisch installiert wird. Was ich nicht meine ist, dass automatisch von sagen wir PHP 8.2. auf 8.3 aktualisiert wird.

patrickhilker commented 6 months ago

Ja, die Möglichkeit haben wir und würden das definitiv auch jetzt schon machen, wenn es sicherheitskritisch ist, sowohl im Bestandssystem als auch im neuen System. :-)