Les solutions pour livrer un logiciel avec un environnement fixe existent, AppImage comme tu l’as mentionné, Flatpak et Snap.
Livrer ses logiciels avec ses propres versions de lib c’est de la grosse bidouille qui n’a pas lieu d’être à mon avis maintenant que ces solutions existent. Donc je rejoins l’avis du mainteneur Fedora.
Le fait de livrer sa propre version d’OpenSSL ne pose pas problème uniquement pour le protocole SSL, n’importe quelle lib peut-être utilisée comme vecteur d’attaque, comme par exemple exécuter du code avec une vulnérabilité d’une lib PNG.
Au niveau des backports, chaque distro le fait plus moins pour diverses raisons, difficile donc de juger sans plus de contexte.
[^] # Re: bien-fondé
Posté par paulez (site web personnel) . En réponse au journal OpenSSL : Fedora en mode YOLO. Évalué à 6.
Les solutions pour livrer un logiciel avec un environnement fixe existent, AppImage comme tu l’as mentionné, Flatpak et Snap.
Livrer ses logiciels avec ses propres versions de lib c’est de la grosse bidouille qui n’a pas lieu d’être à mon avis maintenant que ces solutions existent. Donc je rejoins l’avis du mainteneur Fedora.
Le fait de livrer sa propre version d’OpenSSL ne pose pas problème uniquement pour le protocole SSL, n’importe quelle lib peut-être utilisée comme vecteur d’attaque, comme par exemple exécuter du code avec une vulnérabilité d’une lib PNG.
Au niveau des backports, chaque distro le fait plus moins pour diverses raisons, difficile donc de juger sans plus de contexte.