依存関係がセキュリティ更新プログラムを取得するたびに新しいスナップパッケージを作成する必要がありますか?
snap パッケージを作成すると、5つの依存関係があります。依存関係が(セキュリティ)更新を取得するたびに新しいパッケージバージョンを作成する必要がありますか?
。debパッケージの利点は、たとえばUbuntu/Debianでライブラリを使用でき、そのライブラリが更新を意味する更新を取得できることです私のソフトウェアの一部にも。また、セキュリティ更新のみを送信するため、ライブラリの更新によってAPIが破損することはなく(99%)、ソフトウェアが破損する可能性があります。
簡単な答えはイエスです。依存関係を更新する必要がある場合は、スナップを再構築する必要があります。ただし、ここでもより長い答えがあります。
SSLを使用するアプリケーション(組み込みソフトウェアまたはApacheを使用した本格的なWebサイトなど)があるとします。調査を行い、特定のキー交換と対称アルゴリズムを利用します。 SSLでセキュリティの脆弱性が発見され、新しいバージョンがリリースされたとしましょう。セキュリティリリースだからといって、使用したアルゴリズムの1つにパッチが適用された脆弱性があったわけではありません。そうでない場合はどうなりますか?使用していないアルゴリズムの脆弱性にパッチを当てることで、あなたがdidを使用したものが破損または侵害された場合(最近PHPで発生しました)?バンドルしている場合は、使用ごとにアップグレードする必要があるかどうかについて電話をかけることができます。すべてのユーザーに展開する前に、広範囲にテストすることもできます。また、ターゲットとするディストリビューションに、ソフトウェアの一部では動作しない異なるバージョンのSSLが含まれている可能性もあります。スナップショットにバンドルすると、プラットフォーム間で共通のエクスペリエンスが提供されます。
依存関係を共有することの利点と、それらをバンドルすることの利点との間には、間違いなくトレードオフがあります。