क्या मुझे हर बार एक नया स्नैप पैकेज बनाना पड़ता है, जिस पर एक निर्भरता को सुरक्षा अपडेट मिलती है?


9

अगर मैं एक स्नैप पैकेज बनाता हूँ, जिसमें 5 निर्भरताएँ हैं। क्या मुझे एक नया पैकेज संस्करण बनाना होगा, जिसमें एक निर्भरता (सुरक्षा) अद्यतन प्राप्त हो?

मेरा मतलब है .deb पैकेज का फायदा यह है कि उदाहरण के लिए उबंटू / डेबियन में मैं एक लाइब्रेरी का उपयोग कर सकता हूं और एक बार लाइब्रेरी को एक अपडेट मिलता है जिसका मतलब है कि मेरे सॉफ़्टवेयर के एक हिस्से के लिए भी अपडेट। और जैसा कि वे केवल सुरक्षा अपडेट प्रस्तुत करते हैं मैं (99%) सुनिश्चित हो सकता हूं कि लाइब्रेरी अपडेट एपीआई को नहीं तोड़ देगा ताकि मेरा सॉफ्टवेयर टूट जाए।

जवाबों:


7

संक्षिप्त उत्तर हां है, यदि आपको एक निर्भरता को अपडेट करने की आवश्यकता है, तो आपको अपने स्नैप को फिर से बनाना होगा। हालाँकि, यहाँ एक लंबा जवाब है, भी।

मान लें कि आपके पास कुछ एप्लिकेशन हैं जो SSL का उपयोग करते हैं (कुछ एम्बेडेड सॉफ़्टवेयर या अपाचे का उपयोग करके पूर्ण विकसित वेबसाइट हो सकती है)। आप अपना शोध करते हैं और विशिष्ट कुंजी विनिमय और सममित एल्गोरिदम का उपयोग करते हैं। अब कहते हैं कि एसएसएल में एक सुरक्षा भेद्यता की खोज की गई थी, और एक नया संस्करण जारी किया गया था। सिर्फ इसलिए कि यह एक सुरक्षा रिलीज है इसका मतलब यह नहीं है कि आपके द्वारा उपयोग किए गए एल्गोरिदम में पैच की भेद्यता थी। अगर यह नहीं था? क्या होगा अगर, एल्गोरिथ्म में उस भेद्यता को पैच करके आपने उपयोग नहीं किया, जो आपने किया थाउपयोग टूट गया था या समझौता (PHP के साथ हाल ही में मेरे साथ हुआ था)? यदि आप इसे बंडल कर रहे हैं, तो आप इस बारे में कॉल कर सकते हैं कि आपको उपयोग के आधार पर अपग्रेड करने की आवश्यकता है या नहीं। आप इसे अपने सभी उपयोगकर्ताओं के लिए रोल करने से पहले बड़े पैमाने पर परीक्षण भी कर सकते हैं। इस बात की भी संभावना है कि आपके द्वारा लक्षित वितरण में SSL का एक अलग संस्करण है जो आपके सॉफ़्टवेयर के टुकड़े के साथ काम नहीं करता है, जहाँ इसे स्नैप में बंडल करना प्लेटफार्मों भर में एक सामान्य अनुभव प्रदान करता है।

निर्भरता साझा करने के लाभों और उन्हें बंडल करने के लाभों के बीच निश्चित रूप से एक व्यापार बंद है।


1
आपने हाल ही में कुछ सवालों के जवाब दिए हैं, जिनमें कुछ हद तक अधिकार हैं। क्या आप देव हैं? यदि नहीं, तो क्या आप विश्वसनीय स्रोतों से लिंक कर सकते हैं? यदि हां, तो क्या आप कुछ विश्वसनीय स्रोत बना सकते हैं?
मुरहू

1
(इसके अलावा: अगर मुझे इसके बजाय ओपनएसएसएल कोड के हर देव के फैसले और समझ पर भरोसा करना है, तो कहें, कैन्यनिकल सिक्योरिटी टीम या डेबियन मेंटेनर्स जो ओपनएसएसएल को वर्षों से संभाल रहे हैं, स्नैप सिक्योरिटी की बात करना हॉगवॉश का भार है। )
मुरहू

2
यदि आप किसी डेवलपर से सॉफ़्टवेयर इंस्टॉल करते हैं, तो आप उस डेवलपर पर भरोसा कर रहे हैं। एसएसएल को कैसे संभालते हैं, इसका सवाल एक अच्छा उदाहरण है - बस एक पुस्तकालय का पैच संस्करण होने से आपको मदद नहीं मिलती है यदि ऐप डेवलपर पुस्तकालय का बुद्धिमानी से उपयोग नहीं करता है। एल्गोरिदम या कुंजी प्रबंधन या हस्ताक्षर की जाँच के खराब विकल्पों के कारण खराब सुरक्षा वाले ऐप्स के बहुत सारे उदाहरण हैं - ओपनएसएसएल के संस्करण के साथ उनका कोई लेना देना नहीं है। यह समझना बुद्धिमानी है - आप अपने सिस्टम पर एक नया पुस्तकालय प्राप्त करके जादुई रूप से सुरक्षा प्राप्त नहीं करते हैं।
मार्क शटलवर्थ

2
इसके विपरीत, यदि कोई ऐप IS से समझौता करता है, तो एक डिबेट आमतौर पर हमलावर को सिस्टम पर जाने देगा, जबकि एक स्नैप नहीं करेगा। कोई भी प्रणाली सही नहीं है, लेकिन यह कहना उचित है कि कुछ मामलों में स्नैक्स एक उपयोगी सुधार है।
मार्क शटलवर्थ

1
@MarkShuttleworth मैं देव एक्स को भाषा वाई में एक सभ्य ऐप देने के लिए भरोसा कर सकता हूं, लेकिन मैं उन्हें यह समझने के लिए विश्वास नहीं कर सकता कि ओपनएसएसएल के लिए एक विशेष पैच उनके लिए समस्या पैदा कर सकता है या नहीं, और यह मुझे लगता है, कि उन्हें स्नैप्स की आवश्यकता है। यह एक ऐसा तकनीकी विवरण है, जिसके बारे में मुझे नहीं लगता कि अधिकांश एप्लिकेशन डेवलपर्स सहज हैं, यही वजह है कि वे (और उपयोगकर्ता) ओपनएसएसएल जैसी लाइब्रेरी और उबंटू जैसे वितरण पर भरोसा करते हैं। बेशक, मैं कोई भी हूं, इसलिए मेरी राय नहीं है। (इसके अलावा, स्नैक्स को सीमित किया जा सकता है, इसका मतलब यह नहीं है कि वे उपयोगकर्ता डेटा को संभालते नहीं हैं, ...
मुरु
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.