如果我创建一个包含5个依赖项的快照包。每当依赖项(安全性)更新时,我是否必须创建一个新的软件包版本?
我的意思是.deb软件包的优点是,例如在Ubuntu / Debian中,我可以使用一个库,并且一旦该库获得更新,这也意味着我的软件的一部分也要更新。而且因为他们只提交安全更新,所以我可以(99%)确保该库更新不会破坏API,以便我的软件能够破坏。
如果我创建一个包含5个依赖项的快照包。每当依赖项(安全性)更新时,我是否必须创建一个新的软件包版本?
我的意思是.deb软件包的优点是,例如在Ubuntu / Debian中,我可以使用一个库,并且一旦该库获得更新,这也意味着我的软件的一部分也要更新。而且因为他们只提交安全更新,所以我可以(99%)确保该库更新不会破坏API,以便我的软件能够破坏。
Answers:
简短的答案是肯定的,如果您需要更新依赖项,则需要重建快照。但是,这里的答案也更长。
假设您有一些使用SSL的应用程序(可以是某些嵌入式软件,也可以是使用Apache的成熟网站)。您进行研究并利用特定的密钥交换和对称算法。现在说在SSL中发现一个安全漏洞,并发布了新版本。仅仅因为它是安全版本,并不意味着已修补的漏洞就在您使用的算法之一中。如果不是呢?如果,通过修补在算法的漏洞,你没有用,有些东西你做使用被破坏或受到损害(最近在PHP中发生在我身上)?如果捆绑在一起,则可以致电询问是否需要根据使用情况进行升级。在将其推广给所有用户之前,您还可以对其进行广泛的测试。您定位的发行版还可能具有与您的软件不兼容的不同版本的SSL,将其捆绑在一起可提供跨平台的通用体验。
共享依赖的好处和捆绑依赖的好处之间肯定有一个权衡。