Jika saya membuat paket snap dengan katakanlah 5 dependensi. Apakah saya harus membuat versi paket baru setiap kali ketergantungan mendapat pembaruan (keamanan)?
Maksud saya keuntungan dari paket deb Dan karena mereka hanya mengirimkan pembaruan keamanan saya dapat (99%) yakin bahwa pembaruan perpustakaan tidak akan merusak API sehingga perangkat lunak saya bisa rusak.
Jawaban:
Jawaban singkatnya adalah ya, Anda harus membangun kembali snap Anda jika Anda perlu memperbarui dependensi. Namun, ada jawaban yang lebih panjang di sini.
Katakanlah Anda memiliki beberapa aplikasi yang menggunakan SSL (bisa berupa perangkat lunak tertanam atau situs web lengkap menggunakan Apache). Anda melakukan riset dan menggunakan pertukaran kunci spesifik dan algoritma simetris. Sekarang katakanlah kerentanan keamanan ditemukan di SSL, dan versi baru dirilis. Hanya karena ini merupakan rilis keamanan tidak berarti kerentanan yang ditambal ada di salah satu algoritma yang Anda gunakan. Bagaimana jika tidak? Bagaimana jika, dengan menambal kerentanan itu dalam suatu algoritma yang tidak Anda gunakan, sesuatu yang Anda lakukanpenggunaan rusak atau terganggu (terjadi pada saya baru-baru ini dengan PHP)? Jika Anda menggabungkannya, Anda dapat menelepon apakah Anda perlu memutakhirkan berdasarkan penggunaan-per-penggunaan. Anda juga dapat mengujinya secara luas sebelum meluncurkannya ke semua pengguna Anda. Ada juga kemungkinan bahwa distribusi yang Anda targetkan memiliki versi SSL yang berbeda yang tidak berfungsi dengan perangkat lunak Anda, di mana menggabungkannya dengan cepat memberikan pengalaman umum di seluruh platform.
Jelas ada trade off antara manfaat berbagi dependensi dan manfaat menggabungkannya.