종속성이 보안 업데이트를받을 때마다 새 스냅 패키지를 만들어야합니까?

내가 스냅 패키지를 만들면 5 가지 종속성을 말할 수 있습니다. 종속성이 (보안) 업데이트를받을 때마다 새 패키지 버전을 만들어야합니까?

.deb 패키지 의 장점은 예를 들어 우분투 / 데비안에서 라이브러리를 사용할 수 있고 해당 라이브러리가 업데이트되면 내 소프트웨어 일부에 대한 업데이트를 얻는다는 것입니다. 보안 업데이트 만 제출하면 라이브러리 업데이트로 인해 API가 중단되지 않아 소프트웨어가 중단 될 수 있습니다 (99 %).

— 펠릭스 할러
소스

짧은 대답은 그렇습니다. 종속성을 업데이트 해야하는 경우 스냅을 다시 작성해야합니다. 그러나 여기에도 더 긴 답변이 있습니다.

SSL을 사용하는 응용 프로그램이 있다고 가정 해보십시오 (일부 임베디드 소프트웨어 또는 Apache를 사용하는 완전한 웹 사이트 일 수 있음). 연구를 수행하고 특정 키 교환 및 대칭 알고리즘을 활용하십시오. 이제 SSL에서 보안 취약점이 발견되어 새 버전이 출시되었다고 가정 해보십시오. 보안 릴리스라고해서 패치 된 취약점이 사용한 알고리즘 중 하나에 있다는 의미는 아닙니다. 그렇지 않은 경우 어떻게합니까? 사용하지 않은 알고리즘에서 해당 취약점을 패치하여 수행 한 작업사용이 중단되었거나 훼손되었습니다 (PHP로 최근에 발생했습니다)? 번들로 제공하는 경우 사용별로 업그레이드해야하는지 여부를 문의 할 수 있습니다. 또한 모든 사용자에게 배포하기 전에 광범위하게 테스트 할 수 있습니다. 또한 대상 배포에 소프트웨어 버전과 작동하지 않는 다른 버전의 SSL이있을 수 있으며,이를 스냅 샷으로 번들로 제공하면 플랫폼간에 공통된 경험을 제공 할 수 있습니다.

종속성 공유의 이점과이를 번들로 제공하는 이점 사이에는 분명히 상충 관계가 있습니다.

— 카일
소스

최근에 어느 정도의 권한으로 몇 가지 간단한 질문에 답변했습니다. 당신은 개발자입니까? 그렇지 않은 경우 신뢰할 수있는 출처에 연결할 수 있습니까? 그렇다면 신뢰할만한 소스를 만들 수 있습니까?

— muru

(그 외에도 : OpenSSL 코드에 대한 모든 개발자의 판단과 이해를 예를 들어, Canonical 보안 팀이나 OpenSSL을 몇 년 동안 처리해온 데비안 관리자의 신뢰를 신뢰해야한다면 스냅 보안에 대한 이야기는 엄청난 부담입니다. )

— muru

개발자로부터 소프트웨어를 설치하면 해당 개발자를 신뢰하는 것입니다. SSL을 처리하는 방법에 대한 질문은 좋은 예입니다. 응용 프로그램 개발자가 라이브러리를 현명하게 사용하지 않는 경우 패치 된 버전의 라이브러리 만 있으면 도움이되지 않습니다. 잘못된 알고리즘 선택 또는 키 관리 또는 서명 확인으로 인해 보안이 좋지 않은 앱의 예가 많이 있습니다. 링크 된 OpenSSL 버전과는 아무런 관련이 없습니다. 이것을 이해하는 것이 현명합니다. 시스템에서 최신 라이브러리를 가져 와서 마술처럼 보안을 얻지는 못합니다.

— 마크 셔틀 워스

반대로, 앱이 손상되면 일반적으로 deb는 공격자가 시스템 전체를 통과하게하는 반면 스냅은 그렇지 않습니다. 완벽한 시스템은 없지만 스냅이 유용한 개선 사항이라고 말하는 것이 합리적입니다.

— Mark Shuttleworth

@MarkShuttleworth 나는 언어 Y로 괜찮은 앱을 제공하기 위해 dev X를 신뢰할 수는 있지만 OpenSSL의 특정 패치가 문제를 일으킬 수 있는지 이해하는 것은 신뢰할 수 없을 것입니다. 그것은 대부분의 응용 프로그램 개발자가 익숙하지 않다고 생각하는 기술적 세부 사항입니다. 이것이 OpenSSL과 같은 라이브러리와 Ubuntu와 같은 배포판에 의존하는 이유입니다. 물론, 나는 아무도 아니므로 내 의견은 중요하지 않습니다. (또한 스냅이 제한 될 수 있습니다. 이는 사용자 데이터를 처리하지 않는다는 의미는 아닙니다.

— muru