发布安全补丁¶
Airflow 提供程序独立于 Airflow 本身发布,漏洞信息也单独发布。您可以独立于 Airflow 本身升级提供程序,具体步骤请参阅 从 PyPI 安装 中找到的说明。
当我们发布 Provider 版本时,开发始终基于 main 分支进行,我们在该分支准备下一个版本。提供程序使用严格的 SemVer 版本控制策略。根据变更的范围,当存在破坏性变更时,Provider 将进行 “MAJOR” 版本升级;当新增功能时,进行 MINOR 版本升级;当仅修复错误(包括安全错误)时,进行 PATCHLEVEL 版本升级 — 默认情况下,只有此版本会接收安全修复,因此如果您想获取所有已发布的安全修复,应升级到 Provider 的最新版本。
此规则唯一的例外情况是,当我们有关键的安全修复并有充分理由为提供程序提供带外发布(out-of-band release)时。在这种情况下,提供程序的利益相关者可能会决定按照混合治理模型(mixed governance model)选择性地(cherry-pick)将修复应用到 Provider 的旧版本分支并进行准备,这需要感兴趣的各方选择性地(cherry-pick)应用和测试这些修复。