这可能是一个典型的问题,它可能只是我经验不足的结果,但我很想知道当您发现自己处于对公共开放存储库的访问受限的环境中时,是否有旨在避免依赖地狱的最佳实践.
在我们的具体案例中,我们的斗争是在一家大公司的背景下进行的,其安全政策严重削弱了在安装各种软件时访问外部软件包的能力。
您如何平衡安全性和访问公共存储库的需要?有没有办法限制对外部存储库的依赖,而不会使安装 Linux 软件变得不可能?yum 或 apt-get repos 的安全性和可靠性可以提出什么样的论据?
我知道这是一个广泛的问题——我希望它在这里是合适的——但我很想知道其他人在这方面的经验是什么。
当你限制你使用的外部存储库的数量时,你可以更好地避免依赖地狱(以及一大堆其他事情) 。由于您无法保证这些存储库内容的质量、长期可用性和及时性,因此依赖它们的内容(以及继续存在)是一个非常糟糕的举动。
作为一个具体的例子,我之前看到过一些例子,其中用于稳定 Linux 发行版的半官方第三方软件包存储库随着时间的推移来来去去。这造成了很大的麻烦,因为我们可能一次构建几台机器,它们都安装了相同版本的关键包。一段时间后,当我们去建造更多的机器时,我们指定的版本不再可用(被更新、更闪亮的版本取代),我们不得不再次测试所有内容以确保更新的包仍然正常工作。
这还不是最坏的可能性。如果我们没有测试新包,而它有一个严重的错误怎么办?无赖。当然,我们选择的版本可能存在安全漏洞,但这没关系,因为作为负责任的打包者,我们会密切关注上游安全公告并确保任何漏洞都得到适当修补。
谨慎的管理员只从两个地方将软件包安装到他/她的系统上:
可以通过几种不同的方式填充该内部存储库集的内容: