Bugzilla : failles de sécurité, nouvelles versions, et nouveau site web

Bugzilla, le projet OpenSource de système de suivi et de gestion d'anomalies (bug tracking system) issu du projet Mozilla, fonctionnant sur le trio Perl, Apache et MySQL, sort une nouvelle version stable, la 2.16.6, corrigeant notamment des failles de sécurité. Les release notes sont très détaillées, notamment pour les migrations à partir de toutes les versions inférieures.

Les failles de sécurité, au nombre de six, affectent la précédente version stable, la 2.16.5, ainsi que la dernière version de développement en date, la 2.17.7 : injection de code SQL par un utilisateur Bugzilla privilégié, validation de données insuffisantes, des accès non-privilégiés, ces failles n'ont a priori pas été exploitées. Toutes les installations de Bugzilla sont encouragées à être mises à jour.

La prochaine version stable 2.18 approche à grand pas après deux ans de développement actif sur les versions 2.17.x. Dave Miller a annoncé la version 2.18RC1 (Release Candidate) qui est disponible au téléchargement. Parmi les grandes nouveautés, le système de rapport apporte de grandes évolutions tant au niveau tabulaire que graphique, le système d'authentification a été modularisé, la localisation des templates permet d'avoir de nombreuses langues de base, et un gain de performance significatif a été fait sur l'envoi de courriels.

Pour couronner le tout, un nouveau site web, proche du design de Mozilla.org, a été mis en place, et tout a été réorganisé : c'est plus clair, simple, moderne, et valide HTML 4.01 strict. Preuve de sa fiabilité, le Bugzilla du projet Mozilla (publiquement accessible), actuellement en version 2.17.6 est hébergé sur un bi-Xeon Hyperthreaded à 2,8 GHz, avec 4 Go de RAM. Voici une partie des statistiques : 4,7 Go de base de données, 250 000 bugs, 152 000 attachements (3.3 Go), 2 195 000 commentaires (1 Go), 145 000 utilisateurs enregistrés, 2 407 000 de changements. Les plus gros problèmes de scalabilité se situent au niveau de l'envoi de courriels.

Bugzilla a besoin du Template Toolkit, de Sendmail, des modules Perl contenus dans le module Bundle::Bugzilla, et quelques composants optionnels si besoin (GraphViz).

Autres changements importants :
La fonctionnalité de Shadow DB se retire des versions 2.16 au profit de la réplication native de MySQL, la version minimum requise de MySQL sera désormais la 3.23.41, la doc a été mise à jour et les commentaires du fichier localconfig sont désormais inutilisés et effacés.

Pour la mise à jour :
- sauvegarder, sauvegarder, sauvegarder,
- lancer un "Sanity Check" avant la mise à jour ET après, et bien entendu corriger les problèmes qui en ressortent,
- lancer checksetup.pl juste après la copie et écrasement des fichiers.

Le Bugzilla du projet Bugzilla est hébergé sur le Bugzilla du projet Mozilla ;-) Pour tout rapport ou suivi de bug, se référer à : http://bugzilla.mozilla.org/ sélectionner le produit "Bugzilla".

Pour contacter les développeurs, c'est sur le canal IRC #mozwebtools sur irc.mozilla.org, ou bien le forum usenet netscape.public.mozilla.webtools accessible également sur le web via Google Groups ou bien la nouvelle version Google Groups beta.

Aller plus loin

• La version stable 2.16.6 (3 clics)
• Failles de sécurité (7 clics)
• La version 2.18rc1 (0 clic)
• Téléchargement (0 clic)
• Nouveau site web : Bugzilla.org (5 clics)
• Landfill : les démos publiques des différentes versions de Bugzilla (4 clics)