নির্ভরতা যখন কোনও সুরক্ষা আপডেট পায় তখন কি আমাকে প্রতিবারই কোনও নতুন স্ন্যাপ প্যাকেজ তৈরি করতে হবে?


9

আমি যদি একটি স্ন্যাপ প্যাকেজ তৈরি করি তবে 5 টি নির্ভরতা বলতে পারি। নির্ভরতা যখন কোনও (সুরক্ষা) আপডেট পায় ততবারে কি আমাকে একটি নতুন প্যাকেজ সংস্করণ তৈরি করতে হবে?

আমার অর্থ .deb প্যাকেজগুলির সুবিধা হ'ল উদাহরণস্বরূপ উবুন্টু / ডেবিয়ানে আমি একটি লাইব্রেরি ব্যবহার করতে পারি এবং একবার সেই লাইব্রেরির আপডেট পাওয়া যায় যার অর্থ আমার সফ্টওয়্যারটির একটি অংশের জন্যও একটি আপডেট। এবং তারা কেবল সুরক্ষা আপডেট জমা দেওয়ার কারণে আমি (99%) নিশ্চিত হতে পারি যে লাইব্রেরি আপডেটটি API কে ভাঙ্গবে না যাতে আমার সফ্টওয়্যারটি ভেঙে যায়।

উত্তর:


7

সংক্ষিপ্ত উত্তর হ্যাঁ, আপনার যদি নির্ভরতা আপডেট করার দরকার হয় তবে আপনার স্ন্যাপটি পুনর্নির্মাণ করতে হবে। তবে, এখানে একটি দীর্ঘ উত্তর আছে।

বলুন আপনার কাছে এমন কিছু অ্যাপ্লিকেশন রয়েছে যা এসএসএল ব্যবহার করে (কিছু এমবেডেড সফ্টওয়্যার বা অ্যাপাচি ব্যবহার করে একটি পূর্ণ-বর্ধিত ওয়েবসাইট হতে পারে)। আপনি আপনার গবেষণাটি করেন এবং নির্দিষ্ট কী এক্সচেঞ্জ এবং প্রতিসম অ্যালগরিদম ব্যবহার করেন। এখন বলুন এসএসএলে একটি সুরক্ষিত দুর্বলতা আবিষ্কার করা হয়েছিল এবং একটি নতুন সংস্করণ প্রকাশিত হয়েছিল। এটি কোনও সুরক্ষা প্রকাশের অর্থ এই নয় যে প্যাচযুক্ত দুর্বলতা আপনি ব্যবহার করেছেন এমন একটি অ্যালগোরিদমে ছিল। তা না হলে কী হত? আপনি যদি কোনও অ্যালগরিদমে সেই দুর্বলতাটি প্যাচ করে না করেন তবে আপনি যা কিছু করেছেনব্যবহারটি ভাঙ্গা বা আপোস করা হয়েছিল (পিএইচপি দিয়ে আমার সাথে সম্প্রতি ঘটেছে)? আপনি যদি এটি বান্ডিল করছেন তবে আপনি ব্যবহারের ভিত্তিতে আপগ্রেড করতে হবে কি না সে সম্পর্কে কল করতে পারেন। আপনার সমস্ত ব্যবহারকারীর কাছে রোল আউট করার আগে আপনি এটিকে ব্যাপকভাবে পরীক্ষা করতে পারেন। আপনি যে ডিস্ট্রিবিউশনটিকে টার্গেট করছেন তা হ'ল এসএসএলটির একটি আলাদা সংস্করণ রয়েছে যা আপনার সফ্টওয়্যার অংশের সাথে কাজ করে না, যেখানে স্ন্যাপে এটি বান্ডিল করা প্ল্যাটফর্মগুলিতে একটি সাধারণ অভিজ্ঞতা সরবরাহ করে।

নির্ভরতা ভাগ করে নেওয়ার সুবিধাগুলি এবং সেগুলি বান্ডিল করার সুবিধাগুলির মধ্যে অবশ্যই একটি বাণিজ্য বন্ধ রয়েছে।


1
কিছুটা কর্তৃত্ব সহ আপনি সম্প্রতি কয়েকটি স্ন্যাপ প্রশ্নের উত্তর দিয়েছেন answered তুমি কি দেব? যদি তা না হয় তবে আপনি কি বিশ্বাসযোগ্য উত্সগুলিতে লিঙ্ক করতে পারেন? যদি তা হয় তবে আপনি কিছু বিশ্বাসযোগ্য উত্স তৈরি করতে পারেন?
মুড়ু

1
(এটিকে বাদ দিয়ে) যদি আমাকে ওপেনএসএসএল কোডের পরিবর্তে প্রতিটি দেবের রায় এবং বোঝার উপর বিশ্বাস করতে হয়, বলুন, ক্যানোনিকাল সুরক্ষা দল বা দেবিয়ান রক্ষণাবেক্ষণকারী যারা বছরের পর বছর ধরে ওপেনএসএসএল পরিচালনা করে আসছে, স্ন্যাপ সুরক্ষা সম্পর্কে আলোচনা হোগওয়াশের ভার load )
মুড়ু

2
আপনি যদি কোনও বিকাশকারী থেকে সফ্টওয়্যার ইনস্টল করেন তবে আপনি সেই বিকাশকারীকে বিশ্বাস করছেন। তারা এসএসএল কীভাবে পরিচালনা করে তা প্রশ্ন একটি উত্তম উদাহরণ - অ্যাপ্লিকেশন বিকাশকারী যদি বুদ্ধিমানভাবে গ্রন্থাগারটি না ব্যবহার করে তবে কেবল একটি লাইব্রেরির প্যাচযুক্ত সংস্করণ থাকা আপনাকে সহায়তা করবে না। অ্যালগরিদম বা কী পরিচালনা বা স্বাক্ষর যাচাই বাছাইয়ের কারণে খারাপ সুরক্ষা রয়েছে এমন অ্যাপ্লিকেশনগুলির অনেকগুলি উদাহরণ রয়েছে - ওপেনএসএসএল সংস্করণ যা তারা বিরোধী তার সাথে কিছুই করার নেই। এটি বুঝতে বুদ্ধিমানের কাজ - আপনি আপনার সিস্টেমে একটি নতুন লাইব্রেরি পেয়ে যাদুতে সুরক্ষা পাবেন না।
মার্ক শটলওয়ার্থ

2
বিপরীতে, যদি কোনও অ্যাপ্লিকেশন আপস করে, একটি ডেব সাধারণত আক্রমণকারীকে পুরো সিস্টেম জুড়ে যেতে দেয়, যখন একটি স্ন্যাপ দেয় না। কোনও সিস্টেম নিখুঁত নয়, তবে এটি যুক্তিসঙ্গতভাবে বলা উচিত যে কিছু ক্ষেত্রে স্ন্যাপগুলি একটি কার্যকর উন্নতি।
মার্ক শাটলওয়ার্থ

1
@ মার্কশুটলওয়ার্থ আমি ওয়াই ভাষায় একটি ভাল অ্যাপটি সরবরাহ করতে দেব এক্সকে বিশ্বাস করতে পারি, তবে ওপেনএসএসএল-এর একটি নির্দিষ্ট প্যাচ তাদের জন্য সমস্যা সৃষ্টি করতে পারে কিনা তা বুঝতে আমি তাদের বিশ্বাস করতে পারি না , এবং এটি আমার কাছে মনে হয়, এগুলি তাদের জন্য প্রয়োজন। এটি প্রযুক্তিগত বিশদের একটি স্তরের আমি সত্যিই ভাবি না যে বেশিরভাগ অ্যাপ্লিকেশন বিকাশকারীরা এতে স্বাচ্ছন্দ্য বোধ করেন, এ কারণেই তারা (এবং ব্যবহারকারীরা) ওপেনএসএসএল লাইব্রেরি এবং উবুন্টুর মতো বিতরণগুলিতে নির্ভর করে। অবশ্যই, আমি কেউ নই, তাই আমার মতামত গণনা করে না। (এছাড়াও, ছবিগুলি সীমাবদ্ধ হতে পারে, এর অর্থ এই নয় যে তারা ব্যবহারকারীর ডেটা হ্যান্ডেল করে না,…
muru
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.