Bir bağımlılık bir güvenlik güncelleştirmesi her aldığında yeni bir ek paket oluşturmam gerekir mi?

9

Ben bir ek paket oluşturursam 5 bağımlılık diyelim. Bir bağımlılık (güvenlik) güncellemesi her aldığında yeni bir paket sürümü oluşturmam gerekir mi?

Yani .deb paketlerinin avantajı, Ubuntu / Debian'da örneğin bir kütüphane kullanabileceğim ve bu kütüphane bir kez yazılımımın bir kısmı için bir güncelleme anlamına gelen bir güncelleme aldığında. Ve sadece güvenlik güncelleştirmeleri gönderdikçe, (% 99) kütüphane güncellemesinin API'mizi bozmayacağından emin olabilirim, böylece yazılımım kırılabilir.

package-management  dependencies  deb  snap 
Felix Haller
kaynak

Yanıtlar:

7

Kısa cevap evet, bir bağımlılığı güncellemeniz gerekiyorsa anlık görüntünüzü yeniden oluşturmanız gerekir. Ancak burada da daha uzun bir cevap var.

SSL kullanan bazı uygulamalarınız olduğunu varsayalım (bazı yerleşik yazılımlar veya Apache kullanan tam gelişmiş bir web sitesi olabilir). Araştırmanızı yaparsınız ve belirli anahtar değişimi ve simetrik algoritmalar kullanırsınız. Şimdi SSL'de bir güvenlik açığının keşfedildiğini ve yeni bir sürümün yayınlandığını varsayalım. Bunun bir güvenlik sürümü olması, yamalı güvenlik açığının kullandığınız algoritmalardan birinde olduğu anlamına gelmez. Ya olmasaydı? Ne, bir algoritma o açığı yama yaparak size, bir şey kullanmak olmasaydı yaptılarkullanımı bozuldu veya tehlikeye atıldı (son zamanlarda PHP ile oldu)? Paketliyorsanız, kullanım bazında yükseltmeniz gerekip gerekmediği hakkında arama yapabilirsiniz. Ayrıca, tüm kullanıcılarınıza sunmadan önce kapsamlı bir şekilde test edebilirsiniz. Ayrıca, hedeflediğiniz dağıtımın, yazılım parçanızla çalışmayan farklı bir SSL sürümüne sahip olma olasılığı vardır; burada ek bileşende bir araya getirme, platformlar arasında ortak bir deneyim sağlar.

Bağımlılıkları paylaşmanın yararları ile bunları bir araya getirmenin yararları arasında kesinlikle bir denge vardır.

Kyle
kaynak
1
Kısa bir süre önce bir dereceye kadar otorite ile birkaç soruya cevap verdiniz. Bir geliştirici misin? Değilse, güvenilir kaynaklara bağlantı verebilir misiniz? Öyleyse, güvenilir kaynaklar yaratabilir misiniz?
muru
1
(Bunun yanı sıra: Örneğin, Canonical güvenlik ekibi veya yıllardır OpenSSL'yi idare eden Debian koruyucular yerine OpenSSL kodunun her türlü kararına ve anlayışına güvenmem gerekiyorsa, anlık güvenlikten bahsetmek bir sürü hogwash. )
muru
2
Bir geliştiriciden yazılım yüklerseniz o geliştiriciye güvenirsiniz. SSL'yi nasıl ele aldıkları sorusu iyi bir örnektir - uygulama geliştiricisinin kütüphaneyi akıllıca kullanmaması durumunda, yalnızca kütüphanenin yamalanmış bir sürümüne sahip olmak size yardımcı olmaz. Kötü algoritma seçimleri veya anahtar yönetimi veya imza denetimi nedeniyle kötü güvenliği olan uygulamalara çok sayıda örnek var - bağlandıkları OpenSSL sürümü ile ilgisi yok. Bunu anlamak akıllıca olacaktır - sisteminizde daha yeni bir kütüphane alarak sihirli bir şekilde güvenlik elde edemezsiniz.
Mark Shuttleworth
2
Buna karşılık, bir uygulamanın güvenliği ihlal edilirse, bir hata genellikle saldırganın sistemin her tarafına geçmesine izin verirken, bir çırpıda olmaz. Hiçbir sistem mükemmel değildir, ancak bazı durumlarda çıtçıtların yararlı bir iyileştirme olduğunu söylemek mantıklıdır.
Mark Shuttleworth
1
@MarkShuttleworth Y dilinde iyi bir uygulama sunmak için dev X'e güvenebilirim, ancak OpenSSL için belirli bir yamanın kendileri için sorunlara neden olup olamayacağını anlamalarına güvenemeyebilirim ve bana öyle geliyor ki, bu da onların gerektirdiği şeydir. Bu, çoğu uygulama geliştiricisinin rahat olduğunu düşünmediğim bir teknik ayrıntı düzeyi, bu yüzden (ve kullanıcılar) OpenSSL gibi kütüphanelere ve Ubuntu gibi dağıtımlara güveniyorlar. Tabii ki, ben hiç kimsem, bu yüzden fikrim sayılmaz. (Ayrıca, çıtçıtlar sınırlı olabilir, bu kullanıcı verilerini işlemedikleri anlamına gelmez,…
muru
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.