Transferência da data de fim de vida útil do Node.js 16

By | Junho 11, 2022

Estamos movendo a data de término do Node.js 16 em sete meses para coincidir com o fim do suporte ao OpenSSL 1.1.1 em 11 de setembro de 2023.

Quando compilamos o Node.js 16, a esperança era que pudéssemos incluir o OpenSSL 3. Infelizmente, o tempo de lançamento não permitiu que isso fosse possível, então lançamos o Node.js 16 com o OpenSSL 1.1.1. OpenSSL 1.1.1 é o suporte está planejado até 11 de setembro de 2023que é sete meses antes da data de conclusão planejada do Node.js 16 (abril de 2024).

Avaliamos as seguintes opções:

  1. Fazer nada. O Node.js 16 estará em risco por todas as vulnerabilidades no OpenSSL 1.1.1 durante os últimos sete meses de sua vida.
  2. Descontinue o suporte para Node.js 16 no início de setembro de 2023 para coincidir com o OpenSSL EOL 1.1.1. Temos um precedente para isso quando cortamos o apoio a Node.js 8 quatro meses antes para corresponder ao EOL OpenSSL 1.0.2.
  3. Tente mudar para o OpenSSL 3. Com base nos problemas relatados no Node.js 17 e 18 (que estão no OpenSSL 3) e nos ajustes que precisavam ser feitos em nosso pacote de teste, isso é considerado arriscado e provavelmente causará problemas de compatibilidade para algumas aplicações.
  4. Tente substituir o OpenSSL pela versão 1.1.1 OpenSSL 1.1.1 do CentOS Stream 8. O CentOS Stream 8 é um upstream Red Hat Enterprise Linux 8 (RHEL 8) e seu pacote openssl será suportado durante o RHEL 8até 31.05.2024). Infelizmente, as alterações feitas no OpenSSL para CentOS Stream 8 resultam em diferenças (por exemplo, removendo vários algoritmos) o que causaria problemas de compatibilidade para alguns aplicativos.

Após consideração, decidimos que a opção menos arriscada era evitar uma possível mudança revolucionária no switch OpenSSL na versão e adiar a data de término do Node.js 16 para o mesmo dia do fim do suporte para OpenSSL 1.1.1, 11 de setembro de 2023.

Deixe uma resposta

O seu endereço de email não será publicado.