Werden kritische Sicherheitsupdates auch dann angewendet, wenn die automatische Aktualisierung auf Nebenversionen deaktiviert ist?

RDS bietet eine„Automatisches Nebenversions-Upgrade“Einstellung, beschrieben indie Dokumente, wodurch AWS Ihre Datenbank-Engine von Zeit zu Zeit automatisch aktualisiert:

Wenn Sie möchten, dass Amazon RDS die DB-Engine-Version einer Datenbank automatisch aktualisiert, können Sie automatische Nebenversionsupgrades für die Datenbank aktivieren.

Wenn Amazon RDS eine Nebenversion der Engine als bevorzugte Nebenversion der Engine festlegt, wird jede Datenbank [mit dieser Einstellung] automatisch auf die Nebenversion der Engine aktualisiert.

Einigeandere AWS-Dokumentebeschreiben Sie auch etwas, das als „erforderliches Software-Patching“ bezeichnet wird und sich von anderen automatischen Engine-Upgrades unterscheidet:

Wartungsereignisse, die erfordern, dass Amazon RDS Ihre DB-Instance offline nimmt, sind [bla bla bla],Upgrades der Datenbankmodulversion, Underforderliche Software-PatchesErforderliche Software-Patches werden automatisch nur für Patches geplant, die mit Sicherheit und Dauerhaftigkeit zusammenhängen.

(Fettdruck von mir)

Ich bin mir nicht sicher, wie ich diese beiden Passagen zusammen interpretieren soll. Eine Möglichkeit ist, dass, wenn ich die„Automatisches Nebenversions-Upgrade“Einstellung werden keinerlei Engine-Updates automatisch angewendet. Eine andere Möglichkeit ist, dass einige Engine-Updates - wie etwa wichtige Sicherheitsfixes - "erforderlich" sind und daher angewendet werden, auch wenn ich die Einstellung deaktiviert habe, und dass das Aktivieren lediglich bedeutet, dass ich einigeandereEs wurden auch Engine-Updates angewendet, obwohl diese keine wichtigen Sicherheitsfixes beinhalten.

Zu verstehen, welche Interpretation die richtige ist, scheint wichtig bei der Bewertung der Sicherheitsauswirkungen einer Abkehr von„Automatisches Nebenversions-Upgrade“aus. Welche Interpretation ist richtig?