回答:
エンタープライズディストリビューションとして、Red Hatはディストリビューション内のパッケージを特定のバージョンにロックします。これにより、提供される機能は既知で一貫性があり、インストールの存続期間中に予期せず動作を変更しません。
ご指摘のとおり、これはソフトウェアのバージョンが「古い」可能性があることを意味します。
ただし、利用可能な場合はセキュリティ修正もバックポートし、古いバージョンに適用します。たとえば、ディストリビューションの存続期間にわたって、subversionに対して多数のセキュリティ修正が行われました。これにより、新しい機能の導入によって引き起こされる破損のリスクなしに安全なシステムを維持できます(これは時々発生します)。
Red Hatのサイトで特定のセキュリティ修正に関する情報を入手するには、CVE番号を検索します。
または、パッケージの変更履歴をオンラインで表示するには、次を試してください:
rpm -q --changelog subversion
最初に最新のエントリが表示されます。
* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032
CentOS(または実際にはCentOSと一緒にRHELを使用)は、OSのサポートが終了するまで、配布しているバージョンをサポートすることを約束します。彼らは古い/サポートされていないバージョンにセキュリティ修正をバックポートする責任があります。
これの理由は安定性です。定期的なアップデートでアプリケーションの互換性を壊さないために、メジャーOSバージョン内のソフトウェアのメジャーバージョンをアップグレードしません。EL 6は、それらのパッケージの一部が単にその古さのためにかなり古くなり、それらのパッケージバージョンがロックされたときに間違いなくポイントに達しています。EL 7はもうすぐです。
SVN 1.6はアップストリームでサポートされなくなった可能性があります。しかし、上流からは購入しなかったため、あまり関係ありません。エンタープライズディストリビューションをインストールした瞬間、ソフトウェアへのルートは主にディストリビューションを経由します。今週のリリースを何年にもわたって手に入れている人々は、スケーラブル、安全、一貫性、または信頼性があると考えるように人々を脅かしています。一部のソフトウェアの代替パッケージを見つけることができるかもしれませんが、Bluetooth 4.0のみで主要なエンジン交換がない6年前のBMWのように、それは悪い兆候ではないことを知っておく必要があります。