Нужно ли создавать новый пакет моментальных снимков каждый раз, когда зависимость получает обновление безопасности?

Question 1

Если я создам пакет snap , скажем, с 5 зависимостями. Нужно ли создавать новую версию пакета каждый раз, когда зависимость получает обновление (безопасности)?

Я имею в виду преимущество пакетов .deb в том, что в Ubuntu / Debian, например, я могу использовать библиотека, и однажды эта библиотека получит обновление, которое также означает обновление для части моего программного обеспечения. И поскольку они только представляют обновления безопасности, я могу (на 99%) быть уверенным, что обновление библиотеки не нарушит API, и мое программное обеспечение может сломаться.

Question 2

Короткий ответ да, необходимо будет восстановить снимок, если необходимо обновить зависимость. Однако существует более длинный ответ здесь, также.

Говорят, что у Вас есть некоторое приложение, которое использует SSL (могло быть некоторое встроенное программное обеспечение или полноценный веб-сайт с помощью Apache). Вы проводите свое исследование и используете определенные ключевые обменные и симметричные алгоритмы. Теперь скажите, что уязвимость системы обеспечения безопасности была обнаружена на SSL, и была выпущена новая версия. Просто, потому что это - выпуск безопасности, не означает, что исправленная уязвимость была в одном из алгоритмов, которые Вы использовали. Что, если это не было? То, что, если, путем исправления той уязвимости в алгоритме Вы не использовали, что-то, Вы сделали , использование было повреждено или пошло на компромисс (недавно произошло со мной с PHP)? При связывании его, можно выполнить вызов о том, необходимо ли обновить на основе использования использованием. Можно также протестировать его экстенсивно перед развертыванием его всем пользователям. Существует также возможность, что распределение, для которого Вы нацелены, имеет другую версию SSL, который не работает с Вашей частью программного обеспечения, где связывание его в снимке предусматривает общий опыт через платформы.

существует определенно компромисс между преимуществами совместного использования зависимостей и преимуществ связывания их.

Kyle · Accepted Answer · 16 June 2016 в 04:49

Короткий ответ да, необходимо будет восстановить снимок, если необходимо обновить зависимость. Однако существует более длинный ответ здесь, также.

Говорят, что у Вас есть некоторое приложение, которое использует SSL (могло быть некоторое встроенное программное обеспечение или полноценный веб-сайт с помощью Apache). Вы проводите свое исследование и используете определенные ключевые обменные и симметричные алгоритмы. Теперь скажите, что уязвимость системы обеспечения безопасности была обнаружена на SSL, и была выпущена новая версия. Просто, потому что это - выпуск безопасности, не означает, что исправленная уязвимость была в одном из алгоритмов, которые Вы использовали. Что, если это не было? То, что, если, путем исправления той уязвимости в алгоритме Вы не использовали, что-то, Вы сделали , использование было повреждено или пошло на компромисс (недавно произошло со мной с PHP)? При связывании его, можно выполнить вызов о том, необходимо ли обновить на основе использования использованием. Можно также протестировать его экстенсивно перед развертыванием его всем пользователям. Существует также возможность, что распределение, для которого Вы нацелены, имеет другую версию SSL, который не работает с Вашей частью программного обеспечения, где связывание его в снимке предусматривает общий опыт через платформы.

существует определенно компромисс между преимуществами совместного использования зависимостей и преимуществ связывания их.

Нужно ли создавать новый пакет моментальных снимков каждый раз, когда зависимость получает обновление безопасности?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: