Mise à jour de la version de Pillow (màj de sécurité) #2026
Conversation
|
Est ce que cette pr peut incorporer d'autres mises à jour ? Histoire d'avoir un maximum de dépendances up to date. |
|
J'étais plus sur du hotffix de sécurité. Tout le reste demande de vérifier chaque version à la main (voir si des choses importantes ont changées). Je ferai ça dans une autre PR dans la journée. |
|
Je ne comprends pas ce que la procédure de hotfix a de si compliqué que personne ne semble la comprendre. C'est sympa d'avoir mis à jour les serveurs de prod, mais comment as-tu fais sans faire un hotfix qui MAJ la branche Personnellement je m'attendais à voir une branche tirée de Maintenant je me demande juste où est la désynchronisation. |
|
J'ajoute qu'une MAJ de sécurité (avec les MEP) est l'un des rares cas où quelqu'un qui a les droits peut merger directement les branches sans passer par des PR. |
|
Du coup on fait quoi ici ? merge ou pas ? |
|
J'ai simplement fait un C'est comme mettre nginx ou MySQL à jour, ça ne touche pas au code donc c'est inutile de faire une MEP. Du moins c'est mon avis. Tant qu'on merge rapidement ça dans dev pour qu'on ai pas de régression dans la prochaine MEP tout va bien. |
|
C'est là ou tu te plantes : contrairement à nginx ou MySQL, changer la version de Pillow touche au code. On parle d'une dépendance enregistrée comme telle, pas d'un logiciel externe. PS : et maintenant j'ai une désynchro entre le ce que dit le code déployé et ce qui existe vraiment sur les environnements. |
|
D'où l'urgence de merger ça. Je ne sais même pas pourquoi ce n'est pas encore fait. |
Mise à jour de la version de Pillow (màj de sécurité)
À merger rapidement quand Travis est OK
https://www.djangoproject.com/weblog/2015/jan/02/pillow-security-release/
Les serveurs de prod et de preprod ont été mis à jour en 2.7.0
J'ai également mis à jour la version de Django (https://www.djangoproject.com/weblog/2015/jan/02/bugfix-releases-issued/) mais ça pourra attendre la MEP pour mettre à jour sur les serveurs.