Избежание ада зависимости в ограничительной среде

Question

Избежание ада зависимости в ограничительной среде

Это может быть каноническим вопросом, и это может быть просто функцией моей неопытности, но мне любопытно узнать, существуют ли лучшие практики, направленные на избежание ада зависимости, когда вы попадаете в среду с ограниченным доступом к общим, открытым репозиториям,

В нашем конкретном случае наша борьба ведется в контексте большой корпорации с политиками безопасности, которые сильно ограничивают возможность доступа к внешним репозиториям для пакетов при установке различного программного обеспечения.

Как вы уравновешиваете безопасность с необходимостью доступа к публичным репозиториям? Есть ли способ ограничить зависимость от внешних репозиториев, не делая невозможной установку программного обеспечения Linux? Какие аргументы можно привести в отношении безопасности и надежности репозиториев yum или apt-get?

Широкий вопрос, который я знаю - я надеюсь, что он уместен здесь - но мне очень любопытно посмотреть, как опыт других людей в этой области был.

4

security repository

Источник

Univ426 10 июл '12 в 16:39

1 ответ

Другие вопросы по тегам security repository

womble 10 июл '12 в 20:58 2012-07-10 20:58 · Answer 1 · 2012-07-10 20:58

Вы лучше избегаете адской зависимости (и целого ряда других вещей), когда ограничиваете количество используемых вами внешних репозиториев. Поскольку вы не можете гарантировать качество, долговременную доступность и своевременность содержимого этих репозиториев, полагаться на их содержимое (и дальнейшее существование) очень плохо.

Как конкретный пример, я ранее видел примеры, когда полуофициальные сторонние репозитории пакетов для стабильного дистрибутива Linux имели пакеты, приходящие и уходящие со временем. Это вызвало много проблем, потому что мы могли бы создать несколько машин одновременно, которые получили одну и ту же версию критического пакета. Некоторое время спустя, когда мы пошли на сборку большего количества машин, указанная нами версия больше не была доступна (заменена более новой, более блестящей версией), и нам пришлось снова протестировать все, чтобы убедиться, что новый пакет все еще работает должным образом.

Это не худшая возможность. Что если мы не протестировали новый пакет, и в нем была критическая ошибка? Облом. Конечно, у выбранной нами версии может быть недостаток безопасности, но это нормально, потому что, как ответственные упаковщики, мы следим за анонсами безопасности в восходящем направлении и гарантируем, что любые уязвимости исправлены соответствующим образом.

Осторожный администратор устанавливает пакеты на свои системы только из двух мест:

Официальные репозитории дистрибутива (конечно же, криптографически проверенные на подлинность), где известны правила и методы добавления и удаления пакетов, соответствующие вашей собственной оценке управления рисками; а также
Внутренне управляемый репозиторий пакетов или репозитории (опять же, криптографически проверенный).

Содержимое этого внутреннего набора репозитория может быть заполнено несколькими различными способами:

Загрузите пакеты из внешних репозиториев третьих сторон, проверьте их полезность и стабильность в среде тестирования, а затем добавьте их в репозиторий.
Если вы умеренно параноидальны, вы пересобираете исходные пакеты из вышеуказанных репозиториев, затем тестируете и добавляете.
Если вы параноик, вы закрываете себя в маленькой комнате без каких-либо компьютеров или электронного оборудования.