依存関係がセキュリティ更新を取得するたびに新しいスナップパッケージを作成する必要がありますか?


9

私が5つの依存関係を持つスナップパッケージを作成する場合、依存関係が(セキュリティ)更新を取得するたびに、新しいパッケージバージョンを作成する必要がありますか?

.debパッケージの利点は、たとえばUbuntu / Debianではライブラリを使用でき、そのライブラリが更新を取得すると、ソフトウェアの一部の更新も意味するということです。また、セキュリティ更新のみを送信するため、ライブラリの更新によってAPIが破損しないため、ソフトウェアが破損する可能性があります(99%)。

回答:


7

簡単な答えは「はい」です。依存関係を更新する必要がある場合は、スナップを再構築する必要があります。ただし、ここにも長い回答があります。

SSLを使用するアプリケーションがあるとします(組み込みソフトウェアやApacheを使用した本格的なWebサイトなど)。調査を行い、特定の鍵交換と対称アルゴリズムを利用します。ここで、SSLにセキュリティの脆弱性が発見され、新しいバージョンがリリースされたとしましょう。それがセキュリティリリースであるという理由だけで、パッチを当てた脆弱性が、使用したアルゴリズムの1つにあったことを意味するものではありません。そうでない場合はどうなりますか?使用していないアルゴリズムの脆弱性にパッチを適用して、何かをしたとしたら使用が壊れていたり、危険にさらされていたりしました(最近、PHPを使用して起こりました)。それをバンドルしている場合は、使用ごとにアップグレードする必要があるかどうかについて電話をかけることができます。すべてのユーザーに公開する前に、広範囲にテストすることもできます。また、ターゲットとするディストリビューションのソフトウェアのバージョンとは異なるバージョンのSSLが使用されている可能性もあり、スナップショットにバンドルすると、プラットフォーム間で共通のエクスペリエンスが提供されます。

依存関係を共有することの利点とそれらをバンドルすることの利点の間には、明らかにトレードオフがあります。


1
あなたは、ある程度の権威を持って、最近いくつかの簡単な質問に答えました。あなたは開発者ですか?そうでない場合は、信頼できるソースにリンクできますか?もしそうなら、あなたはいくつかの信頼できる情報源を作成できますか?
muru

1
(それとは別に、私がOpenSSLコードの開発者の判断と理解を信頼する必要がある場合、たとえば、Canonicalセキュリティチームや、何年もOpenSSLを扱ってきたDebianメンテナのそれを信頼しなければならない場合、スナップセキュリティの話は大げさなことです。 )
muru

2
開発者からソフトウェアをインストールする場合、その開発者を信頼しています。彼らがSSLをどのように処理するかという問題は良い例です-アプリ開発者がライブラリを賢く使用しない場合、ライブラリのパッチバージョンを用意するだけでは役に立ちません。アルゴリズムやキー管理、署名チェックの選択が不適切なためにセキュリティが低下しているアプリの例はたくさんあります。リンク先のOpenSSLのバージョンとは関係ありません。これを理解するのが賢明です。システムに新しいライブラリをインストールしても、魔法のようにセキュリティを確保することはできません。
Mark Shuttleworth 2016年

2
対照的に、アプリが侵害された場合、debは通常、攻撃者にシステム全体を行き渡らせますが、スナップはそうではありません。完璧なシステムはありませんが、場合によってはスナップが有用な改善であると言うのは妥当です。
Mark Shuttleworth 2016年

1
@MarkShuttleworth開発者Xが言語Yでまともなアプリを提供することを信頼するかもしれませんが、OpenSSLへの特定のパッチが問題を引き起こす可能性があるかどうかを理解することを信頼しないかもしれません。これは、ほとんどのアプリケーション開発者が慣れているとは思えないレベルの技術的詳細です。そのため、開発者(およびユーザー)は、OpenSSLなどのライブラリやUbuntuなどのディストリビューションに依存しています。もちろん、私は誰もいないので、私の意見は重要ではありません。(また、スナップが制限されている可能性があります。これは、スナップがユーザーデータを処理しないという意味ではありません...
muru
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.