python - Django 的不安全版本

Question

1.3 及以下版本的 django 文档说:

This document is for an insecure version of Django that is no longer supported. Please upgrade to a newer release!

也没有显示 v1.1 的文档。

1. 它在哪些方面不安全？

2. 对于仍在使用这些版本的人来说，缺点是什么？

3. 为什么它发布的时候不是不安全的，或者说被广泛使用的？

4. 他们所说的支持是什么意思，是关于他们所做的错误修复吗？

5. 为什么没有显示 v1.1 的文档，Django 开发人员确定现在没有人使用它们了吗？

我得到了很多单行答案，但并不令人满意。

Answer 1

免责声明的意思是，“不要向我们寻求帮助，您正在做我们告诉您不要做的事情。”

1. 从没有修补新发现的漏洞的意义上说，它是不安全的。您可以搜索NIST Vulnerability Database让 Django 查看可能的问题列表。 “不再支持”是指当发现某个 Django 版本存在问题时，不需要任何人努力查看该问题是否存在于 1.3 或之前的版本中，也不会发布任何修复。

2. 除了无法访问新功能外，这些版本可能容易受到攻击，这些攻击已在当前维护的 Django 版本中得到缓解。如果您选择使用这些版本，您的工作就是调查新发现的漏洞并自行修复它们。这是一个糟糕的想法，不仅因为它需要大量工作，还因为没有社区对您可能尝试的修复进行审查，也没有进行测试以在坏人发现新问题之前发现新问题。

3. 它是不安全的，至少在漏洞存在的意义上是这样。当 Django 文档将 1.3 及之前的版本称为不安全版本时，它们并不意味着代码已腐烂。他们的意思是代码可能容易受到新发现的攻击，并且他们不会对此采取任何措施。将其更多地视为“使用风险自负”。

4. 是的。您不会获得此版本的错误修复。向后移植修复会占用开发人员宝贵的时间，这就是为什么没有人会无限期地支持产品的某个版本。

总结:不要使用这个版本。 Django 文档出于充分的理由警告您远离它。