Nếu tôi tạo một gói snap với cho phép nói 5 phụ thuộc. Tôi có phải tạo phiên bản gói mới mỗi khi phụ thuộc được cập nhật (bảo mật) không?
Ý tôi là lợi thế của các gói .deb là trong Ubuntu / Debian chẳng hạn, tôi có thể sử dụng thư viện và một khi thư viện đó nhận được bản cập nhật có nghĩa là bản cập nhật cho một phần của phần mềm của tôi. Và vì họ chỉ gửi các bản cập nhật bảo mật, tôi có thể chắc chắn (99%) rằng bản cập nhật thư viện sẽ không phá vỡ API để phần mềm của tôi có thể bị hỏng.
Câu trả lời:
Câu trả lời ngắn gọn là có, bạn sẽ cần xây dựng lại snap nếu bạn cần cập nhật một phụ thuộc. Tuy nhiên, cũng có một câu trả lời dài hơn ở đây.
Giả sử bạn có một số ứng dụng sử dụng SSL (có thể là một số phần mềm nhúng hoặc trang web toàn diện sử dụng Apache). Bạn thực hiện nghiên cứu của mình và sử dụng các thuật toán đối xứng và trao đổi khóa cụ thể. Bây giờ nói rằng một lỗ hổng bảo mật đã được phát hiện trong SSL và một phiên bản mới đã được phát hành. Chỉ vì đó là một bản phát hành bảo mật không có nghĩa là lỗ hổng được vá là một trong những thuật toán bạn đã sử dụng. Nếu không phải thì sao? Điều gì sẽ xảy ra nếu, bằng cách vá lỗ hổng đó trong thuật toán bạn không sử dụng, điều gì đó bạn đã làmsử dụng đã bị hỏng hoặc bị xâm phạm (gần đây đã xảy ra với PHP)? Nếu bạn đang gói nó, bạn có thể thực hiện cuộc gọi về việc bạn có cần nâng cấp trên cơ sở sử dụng hay không. Bạn cũng có thể kiểm tra rộng rãi trước khi tung ra cho tất cả người dùng của mình. Cũng có khả năng phân phối mà bạn nhắm mục tiêu có một phiên bản SSL khác không hoạt động với phần mềm của bạn, trong đó việc đóng gói nó trong tích tắc cung cấp trải nghiệm chung trên các nền tảng.
Chắc chắn có sự đánh đổi giữa lợi ích của việc chia sẻ phụ thuộc và lợi ích của việc gói chúng.