这是我发现的使用外部存储库时的风险列表。
质量:
来自外部存储库的包与系统中的稳定包之间的冲突。
外部存储库之间的冲突。
系统可能不支持来自外部存储库的包。
- 非官方存储库可能包含试用版或不稳定的软件包。这对系统来说并不是很好。
- 使用过多的存储库会使进程运行缓慢。
- 将来可能会更改来自外部存储库的软件包,从而影响系统。
安全:
- 恶意用户可以访问并将恶意软件引入开放外部存储库的包中。您可以像这样安装软件包。
合法化:
- 在某些国家/地区启用某些外部存储库可能不合法(通常是由于出口限制)。
- 一些开放的外部存储库可能包含一些粗心用户推送的未经许可或版权的包源代码。
对于这些风险,您有什么解决方案吗?这是一个大型服务器系统。我想使用专门的存储库,例如 docker 或 kubernetes。我会遇到这些风险吗?我应该怎么做才能避免它们?
P/s:如有拼写或语法错误,请编辑。谢谢!欢迎每一项改进!
你忘记了一件重要的事情:你的系统是用来做什么的?
如果系统有需要保护的私人数据永远不要考虑在该系统上添加第 3 方包,除非您审核您安装的每一位软件以及您计划为这些包执行的每个更新。根本不是真正可行的。即便如此,您也可能面临像几年前发生的 Open SSL 问题那样的后门。或与熔毁问题。
如果您使用的系统只是一个普通的桌面系统,我会相信来自 Launchpad(大多数 PPA 托管的地方)的任何东西,只要没有证据表明它们不可信。定期备份程序应该可以解决您在使用第 3 方软件时遇到的任何问题。