这是我发现的使用外部存储库时的风险列表。
质量:
外部存储库中的软件包与系统中的稳定软件包之间存在冲突。
外部存储库之间存在冲突。
系统可能不支持来自外部存储库的包。
- 非官方存储库可能包含试用版或不稳定的软件包。这对系统来说并不好。
- 使用过多的存储库可能会使进程运行缓慢。
- 来自外部存储库的软件包将来可能会发生变化,从而影响系统。
安全:
- 恶意用户可以访问开放的外部存储库中的软件包并将其引入其中。您可以像这样安装软件包。
合法化:
- 某些外部存储库在某些国家/地区可能不合法(通常是由于出口限制)。
- 一些开放的外部存储库可能包含一些粗心的用户推送的未经许可或版权的软件包源代码。
您对此类风险有什么解决方案吗?这是一个大型服务器系统。我想使用特定的存储库,例如 docker 或 kubernetes。我会遇到这些风险吗?我应该怎么做才能避免这些风险?
附言:如果有拼写或语法错误,请编辑。谢谢!欢迎任何改进!
答案1
您忘记了一件重要的事情:您的系统用于什么?
针对这些风险你有什么解决方案吗?
如果系统有需要安全保存的私人数据,那么永远不要考虑在该系统上添加第三方软件包,除非你审核了安装的每一款软件以及计划对这些软件包进行的每次更新。这根本行不通。即使这样,你也可能面临后门问题,就像几年前 Open SSL 问题或崩溃问题一样。
如果您使用的系统只是普通的桌面系统,我会信任来自 Launchpad(大多数 PPA 都托管于此)的任何内容,只要没有证据表明它们不可信。定期备份程序应该可以修复您在使用第三方软件时遇到的任何问题。