依存関係がセキュリティ更新を取得するたびに新しいスナップパッケージを作成する必要がありますか？

私が5つの依存関係を持つスナップパッケージを作成する場合、依存関係が（セキュリティ）更新を取得するたびに、新しいパッケージバージョンを作成する必要がありますか？

.debパッケージの利点は、たとえばUbuntu / Debianではライブラリを使用でき、そのライブラリが更新を取得すると、ソフトウェアの一部の更新も意味するということです。また、セキュリティ更新のみを送信するため、ライブラリの更新によってAPIが破損しないため、ソフトウェアが破損する可能性があります（99％）。

簡単な答えは「はい」です。依存関係を更新する必要がある場合は、スナップを再構築する必要があります。ただし、ここにも長い回答があります。

SSLを使用するアプリケーションがあるとします（組み込みソフトウェアやApacheを使用した本格的なWebサイトなど）。調査を行い、特定の鍵交換と対称アルゴリズムを利用します。ここで、SSLにセキュリティの脆弱性が発見され、新しいバージョンがリリースされたとしましょう。それがセキュリティリリースであるという理由だけで、パッチを当てた脆弱性が、使用したアルゴリズムの1つにあったことを意味するものではありません。そうでない場合はどうなりますか？使用していないアルゴリズムの脆弱性にパッチを適用して、何かをしたとしたら使用が壊れていたり、危険にさらされていたりしました（最近、PHPを使用して起こりました）。それをバンドルしている場合は、使用ごとにアップグレードする必要があるかどうかについて電話をかけることができます。すべてのユーザーに公開する前に、広範囲にテストすることもできます。また、ターゲットとするディストリビューションのソフトウェアのバージョンとは異なるバージョンのSSLが使用されている可能性もあり、スナップショットにバンドルすると、プラットフォーム間で共通のエクスペリエンスが提供されます。

依存関係を共有することの利点とそれらをバンドルすることの利点の間には、明らかにトレードオフがあります。