У нас есть набор серверов Linux, которые наши разработчики используют для компиляции программного обеспечения для наших продуктов, которые мы продаем. В настоящее время мы находимся в тупике между нашими специалистами по сетевой безопасности, которые говорят, что серверы необходимо исправлять, и разработчиками, заявляющими, что исправление приведет к изменению конечных двоичных файлов, создаваемых сервером сборки.
Я не могу найти в Интернете информацию об установке исправлений на серверах сборки и хотел бы знать, находится ли кто-нибудь еще в такой же ситуации и как вы ее решили?
Это сложный вопрос, и на самом деле нет хорошо ответ.
С точки зрения высокого уровня правильным ответом будет «Изолируйте эту систему от внешних источников и отметьте в своем плане безопасности, что этот сервер недоступен ни из чего, кроме определенной подсети с сильными огневыми стенами». Это, вероятно, усложняет жизнь разработчикам, но должно удовлетворить безопасность и их в конце концов.
С точки зрения «попыток выиграть в обоих направлениях» вы могли бы, в зависимости от методов / желаний вашей группы безопасности и того, как настроено программное обеспечение для разработки, создать своего рода «дерево каталогов сборки», в котором у вас есть статическая сборка библиотек, используемых для разработчиков, которые созданы отдельно от тех, которые использует ОС.
IE вместо того, чтобы заставлять разработчиков использовать / usr / lib / * в качестве источника библиотек для своих сборок, создайте каталог / build / lib и перекомпилируйте статический источник для всех этих элементов ....
В конце концов, настоящий ответ таков. Если разработчикам нужна статическая непатентованная система для создания своего программного обеспечения, тогда кому-то наверху нужно подписать что-то, что говорит: «Да, нам просто придется рискнуть».