Dois-je créer un nouveau package d'instantané chaque fois qu'une dépendance obtient une mise à jour de sécurité?

La réponse courte est oui, vous devrez reconstruire votre capture si vous devez mettre à jour une dépendance. Cependant, il y a une réponse plus longue ici aussi.

Supposons que certaines applications utilisent SSL (par exemple, un logiciel intégré ou un site Web complet utilisant Apache). Vous faites vos recherches et utilisez des algorithmes spécifiques d’échange de clés et symétriques. Supposons maintenant qu'une faille de sécurité a été découverte dans SSL et qu'une nouvelle version a été publiée. Ce n’est pas parce qu’il s’agit d’une mise à jour de sécurité que la vulnérabilité corrigée faisait partie de l’un des algorithmes que vous avez utilisés. Et si ce n'était pas le cas? Que se passe-t-il si, en corrigeant cette vulnérabilité dans un algorithme que vous n'avez pas utilisé, quelque chose que vous avez utilisé était cassé ou compromis (ce qui m'est arrivé récemment avec PHP)? Si vous le regroupez, vous pouvez demander si vous devez ou non effectuer la mise à niveau à chaque utilisation. Vous pouvez également le tester de manière approfondie avant de le diffuser à tous vos utilisateurs. Il est également possible que la distribution que vous ciblez utilise une version différente de SSL qui ne fonctionne pas avec votre logiciel. Dans ce cas, son regroupement instantané procure une expérience commune sur toutes les plates-formes.

Il y a certainement un compromis entre les avantages du partage de dépendances et les avantages de les regrouper.