web-dev-qa-db-fra.com

Solutions pour les risques lors de l'utilisation d'un référentiel externe

Voici une liste de risques lors de l'utilisation de référentiels externes que j'ai trouvés.

Qualité:

  • Conflit entre les packages provenant de référentiels externes et les packages stables dans le système.

  • Conflit entre référentiels externes entre eux.

  • Le système peut ne pas prendre en charge les packages provenant de référentiels externes.

  • Les référentiels non officiels peuvent contenir des packages d'essai ou instables. Ce n'est pas vraiment bon pour le système.
  • L'utilisation d'un trop grand nombre de référentiels peut ralentir le processus.
  • Les packages provenant de référentiels externes peuvent être modifiés à l'avenir, affectent le système.

Sécurité:

  • Les utilisateurs malveillants peuvent accéder aux malwares et les dessiner dans des packages sur des référentiels externes ouverts. Vous pouvez installer des packages comme celui-ci.

Légalisation:

  • Certains référentiels externes peuvent ne pas être autorisés (généralement en raison de restrictions à l'exportation) dans certains pays.
  • Certains référentiels externes ouverts peuvent contenir le code source des packages sans licence ni droits d'auteur poussés par certains utilisateurs imprudents.

Avez-vous des solutions à ces risques? Il s'agit d'un gros système de serveur. Je souhaite utiliser spécifiquement des référentiels tels que docker ou kubernetes. Puis-je rencontrer ces risques? Et que dois-je faire pour les éviter?

P/s: S'il y a des erreurs de sort ou de grammaire, modifiez-le. Je vous remercie! Chaque amélioration est la bienvenue!

aptpackage-managementsecurityrepositoryadd-apt-repository
1
user856325

Vous oubliez une chose importante: à quoi sert votre système?

Avez-vous des solutions à ces risques?

Si le système contient des données privées qui doivent être conservées en toute sécurité, n'envisagez jamais d'ajouter des packages tiers sur ce système, sauf si vous auditez chaque bit de logiciel que vous installez et chaque mise à jour que vous prévoyez de faire pour ces packages. Tout simplement pas vraiment faisable. Et même alors, vous pouvez faire face à des portes dérobées comme ce qui s'est passé avec le problème Open SSL il y a quelques années. Ou avec le problème de l'effondrement.

Si le système que vous utilisez n'est qu'un système de bureau ordinaire, je ferais confiance à tout ce qui vient de Launchpad (où la plupart des PPA sont hébergés) tant qu'il n'y a aucune preuve qu'ils ne peuvent pas faire confiance. Une procédure de sauvegarde régulière devrait permettre de résoudre tous les problèmes que vous rencontrez lors de l'utilisation de logiciels tiers.

1
Rinzwind