那么根据标题,是否有一种科学的方法来了解某个库/工具是否仍在积极维护?
在网上搜索问题时,你经常会看到 10 年前的博客文章(或这里的答案)。这让我很疑惑:我怎么知道那里指定的工具是否仍然“良好”、维护良好且安全。
这尤其成问题,因为输入并忽略其他内容太容易了,sudo apt-get install XYZ只是希望它能正常工作。如果某个工具有缺陷/存在安全漏洞,apt 存储库本身会向我发出警告吗?
或者我只是幸运地找到了针对该工具的反制博客文章?
答案1
看看它是从哪里来的,主要的这意味着它将在您使用的版本生命周期内完成安全修复(非 LTS 为 9 个月,LTS 为 5 年)。如果它来自宇宙或社区支持;它可能只有 9 个月,但如果包含在 ISO 上并由 Ubuntu 的某个版本支持,则可能有 9 个月或 3 年(并非所有版本都是 LTS;例如,18.04 产品中的两个只有 9 个月;一个团队(Ubuntu Studio 18.04)通过 PPA 提供了进一步的修复 - 因此请阅读发行说明和通知!)
是的,如果是 LTS 版本,如果出现错误,MOTU 可以在最多五年的时间内为整个宇宙提供修复,但是对此没有任何保证(它们适用于主要和限制版)。
如果是第三方电力供应协议或其他地方,您需要自己执行检查。您可以使用apt-cache policy查看包的来源(例如;实际上有很多方法)。没有公式可以预测这些软件包的支持情况,所以你需要自己研究。
你看起来的样子取决于什么包,从哪里来,我只介绍了一些德布包(不是折断或其他可用的封装类型)
guiverc@hp8200-ubu:~$ apt-cache policy lubuntu-default-settings
lubuntu-default-settings:
Installed: 23.04.4
Candidate: 23.04.4
Version table:
*** 23.04.4 500
500 http://archive.ubuntu.com/ubuntu lunar/universe amd64 Packages
500 http://archive.ubuntu.com/ubuntu lunar/universe i386 Packages
100 /var/lib/dpkg/status
guiverc@hp8200-ubu:~$
假设你的 XYZ 软件包是lubuntu-default-settings一个查询,它告诉我我系统上的软件包来自http://archive.ubuntu.com/ubuntu lunar/universe;即我的发行版的官方档案(月球)以及宇宙所以它只提供社区支持;这意味着 9 个月月球。
如果我的释放果酱(22.04)为例;这意味着 3 年的支持(社区的 LTS)保证,但只有出现错误且 MOTU 补丁时才会进一步延长 2 年(达到 5 年)(即仅保证 3 年;而 5 年保证适用于主要保证)
- MOTU =“宇宙之主”;开发者有权在发布的生命周期内对“宇宙”包进行更改;核心开发人员也有此权利。
- 我认为我用过,
lubuntu-default-settings因为它很容易识别(至少对我来说)它是 Lubuntu ISO 中的一个软件包,因此在 LTS 版本中提供 3 年保修;也可能是因为我们最近对其进行了更改