Я не совсем уверен, подходит ли эта тема для SO, но я пробую это.
Существует множество способов установить программное обеспечение на linux машину. В последние годы стали популярными различные контейнерные технологии, такие как Docker. Помимо таких технологий и менеджер пакетов операционных систем, как YUM / APT et c. само по себе программное обеспечение может быть установлено в виде отдельного пакета, в основном tar.gz-архива, содержащего готовый к использованию двоичный файл, который можно поместить, например, в /opt.
Выполнить «apt-get update» довольно просто и будут обновления самых установленных компонентов. Напротив, проверять каждую отдельную программу в / opt /, есть ли там новая версия или нет, раздражает. Запуск контейнера Docker и изменение номера версии не имеет большого значения, но (ИМХО!) Никто не сделает из-за соображений совместимости. Кроме того, я прочитал газету лет go, где Docker изображения уязвимы, вызванные отсутствующими обновлениями базовых изображений, особенно целых изображений на основе Nodejs отстой.
Я придумываю это из-за обсуждения в моей компании. С точки зрения коллег, проще запускать только контейнер Docker, потому что им не нужно иметь дело "с linux и разрешением sh # t", и это "просто в использовании", и никто не позаботится о безопасность, потому что "система недоступна для inte rnet". Но это противоречило бы золотому правилу не устанавливать программное обеспечение отдельно от диспетчера пакетов.
Я хотел бы использовать лучшие практики в отношении безопасности и обновлений в целом. Есть ли у вас какое-либо соответствие по этому поводу?