Хоча хто його знає, що вони там мали на увазі . Бо я лише переклав, так як я це зрозумів (в оригіналі) і як я розумію саму суть кожного пункту. Що там вони хотіли сказати, їм відніше. На сайтах двох секюріті експертів був опублікований цей список і жодних коментарів по пунктам вони не давали, мовляв Джеремія погодився з Робертом (вони один одного зрозуміли ).

І ця проблема з патчами потихеньку вирішуєтсья - як у випадку інсталяторів. Бо вже давно існує думка, що треба зробити номальні інсталятори для веб систем. Так от, вже декілька років як випускаються веб системи (тіж CMS) з нормальними інсталяторами, зокрема той же WordPress. І щодо патчів, то в тому ж WP поставляється скрипт для патчінгу БД (при переході між різними версіями, якщо відбулися зміні в стуктурі бази). Тому і в цьому напрямку вже йдуть роботи.

Щодо самого механізму оновлення, то не так вже й важко зробити майже_автоматичне оновлення, як у десктопового софту. Коли вже роблять інсталятори, то дійдуть і до цього - кілька скриптів, котрі б витягали із сервера розробника потрібні файли та замінювали б локально. Може таке вже й є, я не зустрічав принаймні.

Але тут є більша проблема - веб-додатки це ж аж ніяк софт для кінцевих користувачів, і коли ти взявся його встановлювати, то як мінімум маєш навчитися і оновлювати. Для власної ж безпеки. І порівнювати у цьому плані некоректно.

Автори цього списку 5 ознак в даному випадку мали на увазі, що не серйозно таким чином випускати патчі, щоб їх ще люди потім вручну встановлювали (а може хтось не справиться з цією задачою, може комусь буде важко, або ж лінь ). Натякаючи, що треба випускати патчі, як це робить софтварна індустрія (у випадку традіційних програм). Мовляв патч у архіві (чи exe чи може perl модуль), який сам після запуску автоматично пропатчить веб додаток.

Це звісно варіант, але більш складний, ніж просто написати керівництво, що треба такий-то рядок змінити в такому-то файлі. Що проще і швидше зробити, але комусь буде патчити не так зручно. Але ж можна і по іншому зробити: випустити пакет з новими версіями файлів (виправлених) і розписати, що куди оновити (але не паритися розробкою патча ехе-шніка), подібний метод я сам використовую в моєму Security Pack. Або навіть просто випустити оновлену версію всього веб додатка (де вже виправлені помилки). Що зараз багато веб розробників і практикує.