સ્નેપસ્કોપ: તમારા સ્નેપ્સની સુરક્ષાનું ઓડિટ કરવા માટેનું મુખ્ય સાધન

  • સ્નેપસ્કોપ ગંભીરતા દ્વારા વર્ગીકૃત થયેલ CVE અને નબળાઈઓ શોધવા માટે Grype સાથે સ્નેપ પેકેજોનું વિશ્લેષણ કરે છે.
  • શોધાયેલી મોટાભાગની ભૂલો Snaps માં સમાવિષ્ટ લાઇબ્રેરીઓને કારણે છે, Snap ફોર્મેટમાં જ નહીં.
  • આ સાધન પારદર્શિતામાં સુધારો કરે છે, રેન્કિંગ અને રિસ્કેન ઓફર કરે છે, અને જાળવણીકારો અને સંચાલકો માટે પ્રતિસાદ તરીકે સેવા આપે છે.
  • સ્નેપસ્કોપ એ સાબિત કરતું નથી કે સ્નેપ અસુરક્ષિત છે, પરંતુ ઓડિટબિલિટી અને સક્રિય જાળવણીના મહત્વને વધુ મજબૂત બનાવે છે.
Pablinux

13 મિનિટ

સ્નેપસ્કોપ

સ્નેપસ્કોપ સૌથી વધુ ચર્ચિત સાધનોમાંનું એક બની ગયું છે. સ્નેપ ઇકોસિસ્ટમની અંદર, અને સારા કારણોસર: તે સ્નેપ સ્ટોરમાંથી આપણે દરરોજ ઇન્સ્ટોલ કરીએ છીએ તે પેકેજોની સુરક્ષાને માઇક્રોસ્કોપ હેઠળ રાખે છે. એવા સંદર્ભમાં જ્યાં આપણે લગભગ આપમેળે વિશ્વાસ કરીએ છીએ કે સોફ્ટવેર સ્ટોરમાંથી બધું સુરક્ષિત છે, એક સ્વતંત્ર સ્કેનર હોવું જે વાસ્તવિક નબળાઈઓ જાહેર કરે છે તે ઘણા વપરાશકર્તાઓની ધારણાને બદલી શકે છે.

કોર્પોરેટ પ્રોજેક્ટ બનવાથી દૂર, સ્નેપસ્કોપનો જન્મ એલન પોપની વ્યક્તિગત પહેલ તરીકે થયો હતો.ઉબુન્ટુ સમુદાયના એક જાણીતા વ્યક્તિ, જેમણે કેનોનિકલમાં વર્ષોથી કામ કર્યું છે, તેમનો પ્રસ્તાવ જેટલો સરળ છે તેટલો જ શક્તિશાળી પણ છે: તમે સ્નેપ પેકેજ અથવા તેના ડેવલપરનું નામ લખો છો, અને તમને જાણીતી નબળાઈઓ પર આધારિત વિગતવાર સુરક્ષા અહેવાલ મળે છે. આ બધું ખૂબ જ સ્પષ્ટ અભિગમ સાથે: "કોઈ નિર્ણય નહીં, ફક્ત હકીકતો."

સંદર્ભ: સ્નેપ, સુરક્ષા અને પારદર્શિતાની જરૂરિયાત

જ્યારે આપણે GNU/Linux માં સુરક્ષા વિશે વાત કરીએ છીએ, ઘણા વપરાશકર્તાઓ ધારે છે કે સત્તાવાર ભંડારો અથવા સ્ટોર્સમાંથી ઇન્સ્ટોલ કરવું સ્નેપ સ્ટોરને ઘણીવાર સંપૂર્ણ માનસિક શાંતિનો પર્યાય માનવામાં આવે છે. જોકે, છેલ્લા કેટલાક વર્ષોના અનુભવે સ્પષ્ટ કર્યું છે કે સંપૂર્ણ સુરક્ષા અસ્તિત્વમાં નથી, ન તો સ્નેપમાં કે ન તો અન્ય કોઈ ફોર્મેટમાં. કેનોનિકલ સમસ્યાઓ અટકાવવા માટે કામ કરે છે, પરંતુ જૂનું, નબળી જાળવણી કરાયેલ પેકેજ, અથવા સંવેદનશીલ નિર્ભરતા ધરાવતું પેકેજ હંમેશા આમાં ફસાઈ શકે છે.

સ્નેપ્સના કિસ્સામાં એક મહત્વપૂર્ણ સૂક્ષ્મતા છે: ફક્ત સત્તાવાર પ્રોજેક્ટ ટીમો જ પેકેજો પ્રકાશિત કરી શકતી નથીકોઈપણ ડેવલપર અથવા કંપની જે ન્યૂનતમ આવશ્યકતાઓને પૂર્ણ કરે છે તે સ્નેપ સ્ટોર પર તેમની એપ્લિકેશન અપલોડ કરી શકે છે. આનાથી વિવિધ પ્રકારના સોફ્ટવેરનો ભંડાર ખુલે છે - પરંતુ તેનો અર્થ એ પણ છે કે આ પેકેજોમાં આપણે જે વિશ્વાસ મૂકીએ છીએ તે ઓડિટિંગ મિકેનિઝમ્સ સાથે હોવો જોઈએ.

અપરિવર્તનશીલ ઉબુન્ટુ
સંબંધિત લેખ:
સ્નેપ્સ પર આધારિત અપરિવર્તનશીલ ઉબુન્ટુ. કેનોનિકલનો આગામી પ્રયોગ

આ તે જગ્યા છે જ્યાં સ્નેપસ્કોપ આવે છે. આ સાધન જે મોટા પ્રશ્નનો જવાબ આપવાનો પ્રયાસ કરે છે તે સરળ છે.દરેક સ્નેપ પેકેજમાં શું હોય છે અને તેની વાસ્તવિક સુરક્ષા સ્થિતિ શું છે? તેના પર આંધળો વિશ્વાસ કરવાને બદલે, આપણે વૈશ્વિક સ્તરે માન્યતા પ્રાપ્ત નબળાઈ ડેટાબેઝના આધારે વિશ્લેષણનો સંપર્ક કરી શકીએ છીએ.

સ્નેપસ્કોપ શું છે અને તેની પાછળ કોણ છે?

સ્નેપસ્કોપ એ વેબ એપ્લિકેશન CVE અને નબળાઈઓ માટે Snap પેકેજોનું વિશ્લેષણ કરવા પર ધ્યાન કેન્દ્રિત કર્યું તે જાણીતું છે. તે એલન પોપ (સમુદાયમાં "પોપી" તરીકે ઓળખાય છે), ભૂતપૂર્વ કેનોનિકલ કર્મચારી અને ફ્રી સોફ્ટવેર વિશ્વમાં નિયમિત દ્વારા વિકસાવવામાં આવ્યું છે. તે કોઈ સત્તાવાર ઉબુન્ટુ ઉત્પાદન નથી, પરંતુ એક વ્યક્તિગત પ્રોજેક્ટ છે જે સ્નેપ ઇકોસિસ્ટમમાં વધુ પારદર્શિતા લાવવાના વિચાર સાથે આકાર પામ્યો છે.

આ વેબસાઇટ ખૂબ જ સરળ રીતે કામ કરે છે: તમે સ્નેપ પેકેજ અથવા એડિટરનું નામ દાખલ કરો. (સંસ્થા અથવા વિકાસકર્તા) શોધ એન્જિનમાં, અને સિસ્ટમ સુરક્ષા વિશ્લેષણ સાધનોનો ઉપયોગ કરીને સ્કેન શરૂ કરે છે. પરિણામ એ એક રિપોર્ટ છે જેમાં શોધાયેલ બધી નબળાઈઓ, ગંભીરતા દ્વારા વર્ગીકૃત, અને વધુ માહિતી માટેની લિંક્સ શામેલ છે.

વધુમાં, સ્નેપસ્કોપમાં એક વિચિત્ર સુવિધા છે: એલન ટિપ્પણી કરે છે કે તેણે વાઇબેલિમ્પિક્સના સંદર્ભમાં સાઇટને "વાઇબ-કોડ" કરી હતી.ચેઇનગાર્ડ પહેલ જ્યાં વિકાસકર્તાઓ સર્જનાત્મક અને ઝડપી ગતિવાળા પ્રોજેક્ટ્સ બનાવે છે, જેનો ઇનામ ચેરિટીને જાય છે. જોકે તેની ઉત્પત્તિ પ્રમાણમાં રમતિયાળ છે, પ્રોજેક્ટની વ્યવહારુ ઉપયોગિતા સંચાલકો, વિકાસકર્તાઓ અને અદ્યતન વપરાશકર્તાઓ માટે ખૂબ જ ગંભીર છે.

ટેકનિકલ આધાર: ગ્રીપ અને સીવીઈ સાથે વિશ્લેષણ

સ્નેપસ્કોપનો મુખ્ય ભાગ આના પર આધાર રાખે છે ગ્રાઇપ, એક ઓપન-સોર્સ ટૂલ જે નબળાઈ વિશ્લેષણમાં વિશેષતા ધરાવે છે. કન્ટેનર છબીઓ અને ફાઇલ સિસ્ટમ્સમાં. સંભવિત સુરક્ષા નબળાઈઓ શોધવા માટે Grype પેકેજ સામગ્રી (ખાસ કરીને લાઇબ્રેરીઓ અને નિર્ભરતાઓ) ની તુલના CVE ના ડેટાબેઝ સાથે કરે છે.

સ્નેપનું વિશ્લેષણ કરતી વખતે, શોધાયેલ નબળાઈઓને ગંભીરતાના સ્તર દ્વારા જૂથબદ્ધ કરવામાં આવી છે.KEV (જાણીતી શોષિત નબળાઈઓ) યાદીમાં સૂચિબદ્ધ નબળાઈઓ સાથે, CRITICAL, HIGH, MEDIUM અને LOW જેવી શ્રેણીઓનો સમાવેશ કરવામાં આવ્યો છે. આનાથી જોખમ ફક્ત સૈદ્ધાંતિક છે કે શોષણ ખરેખર ફરતું છે તેનું ઝડપી મૂલ્યાંકન કરવાની મંજૂરી મળે છે.

વ્યવહારમાં, દરેક પેકેજ માટેનો અહેવાલ બતાવે છે નબળાઈ ઓળખકર્તા (CVE-ID), તેની ગંભીરતા અને બાહ્ય લિંક્સ વિસ્તૃત માહિતી સાથે. એટલે કે, તમે ફક્ત એ જ નહીં જુઓ કે સમસ્યા અસ્તિત્વમાં છે, પરંતુ તેમાં શું સમાયેલું છે, તે કયા સંસ્કરણોને અસર કરે છે, અને ઘણા કિસ્સાઓમાં સુરક્ષા સંચાલકો તેને ઘટાડવા માટે કયા પગલાંની ભલામણ કરે છે.

હમણાં માટે, સ્નેપસ્કોપ x86_64 આર્કિટેક્ચર માટેના પેકેજો પર ધ્યાન કેન્દ્રિત કરે છેજ્યાં આ ટૂલ સૌથી પરિપક્વ છે. એલને સંકેત આપ્યો છે કે ભવિષ્યમાં વધુ આર્કિટેક્ચર ઉમેરી શકાય છે, પરંતુ હાલની પ્રાથમિકતા સૌથી વધુ ઉપયોગમાં લેવાતા ડેસ્કટોપ અને સર્વર પ્લેટફોર્મ પર વિશ્વસનીય વિશ્લેષણ જાળવવાની છે.

સ્નેપસ્કોપ વેબસાઇટની વ્યવહારુ સુવિધાઓ

પેકેજના એક વખતના સ્કેનિંગ ઉપરાંત, સ્નેપસ્કોપ વેબસાઇટમાં ઘણી ઉપયોગીતાઓ શામેલ છે જે શોધખોળ અને ઑડિટિંગને સરળ બનાવે છે. સ્નેપ સ્ટોરમાંથી:

  • પેકેજ નામ દ્વારા અથવા ડેવલપર/સંસ્થા દ્વારા શોધોતમે સીધા જ સ્નેપ નામ (ઉદાહરણ તરીકે, જાણીતી એપ્લિકેશન) અથવા પ્રકાશકનું નામ લખી શકો છો, અને પહેલાથી જ વિશ્લેષણ કરાયેલા બધા સંબંધિત પેકેજો જોઈ શકો છો.
  • તાજેતરમાં સ્કેન કરેલા પેકેજોની યાદીહોમપેજ તાજેતરના વિશ્લેષણમાં સ્કેન કરેલા સ્નેપ્સ દર્શાવે છે, જે તમને સૌથી વધુ સમીક્ષા કરવામાં આવી રહી છે તે જોવામાં મદદ કરે છે.
  • સૌથી વધુ નબળાઈઓ ધરાવતા પેકેજોની રેન્કિંગએવા ચાર્ટ છે જે સૌથી વધુ શોધાયેલા CVE વાળા પેકેજોને હાઇલાઇટ કરે છે, જે એડમિનિસ્ટ્રેટર્સ અને વપરાશકર્તાઓ માટે પ્રારંભિક ચેતવણી તરીકે કામ કરે છે જેઓ ઉત્પાદનમાં તે Snaps નો ઉપયોગ કરે છે.
  • દરેક CVE માટે વિગતવાર માહિતીની લિંક્સદરેક એન્ટ્રી નિષ્ફળતાના સંદર્ભ, તેની અસર અને પેચો અથવા શમન અસ્તિત્વમાં છે કે કેમ તે સમજવા માટે બાહ્ય સંસાધનોની ઍક્સેસ આપે છે.
  • ફરીથી સ્કેન કરવા માટે પેકેજોને કતારમાં રાખવાની ક્ષમતાજો કોઈ વ્યક્તિ અપડેટેડ વિશ્લેષણ મેળવવા માંગે છે, તો તેઓ ચોક્કસ સ્નેપનું નવું સ્કેન કરવાની ફરજ પાડી શકે છે, જે ત્યારે ઉપયોગી થાય છે જ્યારે નબળાઈ ડેટાબેઝ તાજેતરમાં અપડેટ કરવામાં આવ્યો હોય.

આ બધું એકમાં રજૂ કરવામાં આવ્યું છે એકદમ સ્પષ્ટ અને અવ્યવસ્થિત ઇન્ટરફેસકોઈ નોંધણી કે જટિલ ગોઠવણીની જરૂર નથી. બ્રાઉઝર ધરાવનાર કોઈપણ વ્યક્તિ વેબસાઇટ પર જઈ શકે છે, Snap શોધી શકે છે અને તરત જ તેની "સુરક્ષા સ્થિતિ" જોઈ શકે છે.

મોટાભાગની નબળાઈઓ સ્નેપ ફોર્મેટની ભૂલ કેમ નથી હોતી?

સ્નેપસ્કોપ જે મુખ્ય મુદ્દાઓ પર ભાર મૂકે છે તેમાંથી એક એ છે કે શોધાયેલ મોટાભાગની નબળાઈઓ પેકેજમાં સમાવિષ્ટ લાઇબ્રેરીઓ સાથે જોડાયેલી છે.સ્નેપ ફોર્મેટમાં જ નહીં. સ્વ-સમાયેલ એપ્લિકેશનો તરીકે, સ્નેપ્સ સામાન્ય રીતે સિસ્ટમ સંસ્કરણોનો ઉપયોગ કરવાને બદલે, તેમની નિર્ભરતાના ચોક્કસ સંસ્કરણો ધરાવે છે.

આ ડિઝાઇનના સ્પષ્ટ ફાયદા છે: તે આધુનિક એપ્લિકેશનોને જૂના વિતરણો પર ચલાવવાની મંજૂરી આપે છે.અથવા જૂની એપ્લિકેશનો તેમની મુખ્ય લાઇબ્રેરીઓમાં નોંધપાત્ર ફેરફારો સાથે નવી સિસ્ટમો પર ચાલતી રહે છે. વધુમાં, તે સ્નેપ જાળવણીકર્તાને એપ્લિકેશન જે વાતાવરણમાં ચાલે છે તેના પર વધુ નિયંત્રણ આપે છે.

જોકે, તેની એક ઓછી મૈત્રીપૂર્ણ બાજુ પણ છે: જો Snap માં એમ્બેડ કરેલી લાઇબ્રેરીમાં સુરક્ષા ખામી હોય તોફક્ત પેકેજ જાળવણી કરનાર જ સ્નેપને અપડેટ અને ફરીથી બનાવી શકે છે. ફક્ત ઓપરેટિંગ સિસ્ટમ અથવા સિસ્ટમ લાઇબ્રેરીઓને અપડેટ કરવું પૂરતું નથી કારણ કે સંવેદનશીલ નકલ પેકેજમાં જ એમ્બેડ કરેલી છે.

અન્ય શબ્દોમાં, આ સમસ્યા ફક્ત Snap પૂરતી જ મર્યાદિત નથી.લાઇબ્રેરીનું તે જ સંવેદનશીલ સંસ્કરણ DEB પેકેજ, AppImage, Flatpak, અથવા અન્ય કોઈપણ ફોર્મેટમાં ખતરનાક બની શકે છે જો તે જેમ છે તેમ સમાવિષ્ટ હોય. તફાવત એ છે કે Snaps માં, સિસ્ટમના અપડેટ ચક્ર અને પેકેજના પોતાના અપડેટ ચક્ર વચ્ચેનું ડિકપ્લિંગ વધુ સ્પષ્ટ બને છે.

આ પરિસ્થિતિને ઘટાડવાના પ્રમાણભૂત પ્રયાસો જેને કહેવામાં આવે છે તેના દ્વારા "બેઝ સ્નેપ્સ", જે જૂથે મુખ્ય ઘટકો શેર કર્યા ઘણા પેકેજોનો ઉપયોગ ડુપ્લિકેશન ઘટાડવા અને મહત્વપૂર્ણ લાઇબ્રેરીઓની જાળવણીને સરળ બનાવવા માટે થાય છે. જો કે, આ જોખમને સંપૂર્ણપણે દૂર કરતું નથી, કારણ કે દરેક પેકેજ પોતાની રીતે જે નિર્ભરતા ધરાવે છે તે હજુ પણ અસ્તિત્વમાં છે.

સુરક્ષા, સેન્ડબોક્સિંગ અને જોખમની ધારણા

સ્નેપસ્કોપ રિપોર્ટ્સની સમીક્ષા કરવાથી એવી છાપ પડી શકે છે કે ફોટા સુરક્ષા છિદ્રોથી ભરેલા છે.જોકે, આંકડાઓને સંદર્ભમાં મૂકવા મહત્વપૂર્ણ છે. સૌપ્રથમ, સૂચિબદ્ધ ઘણી નબળાઈઓ એવી લાઇબ્રેરીઓ સુધી મર્યાદિત હશે જે સંવેદનશીલ હોવા છતાં, ખૂબ જ ચોક્કસ પરિસ્થિતિઓમાં ઉપયોગમાં લેવાય છે અથવા પહેલાથી જ ઘટાડા માટે પગલાં લેવામાં આવ્યા છે.

વધુમાં, સ્નેપના સુરક્ષા મોડેલમાં શામેલ છે એકદમ કડક બંધન અને સેન્ડબોક્સિંગ પદ્ધતિઓઆનો અર્થ એ થાય કે જો Snap માં કોઈ નબળાઈનો ઉપયોગ કરવામાં આવે તો પણ, અસર સામાન્ય રીતે પેકેજના અલગ વાતાવરણમાં સમાયેલી હોય છે, જ્યાં સુધી વપરાશકર્તાએ મેન્યુઅલી પરવાનગીઓ હળવી ન કરી હોય.

એનો અર્થ એ નથી કે બધું જાદુઈ રીતે ઉકેલાઈ ગયું છે, પણ હા, તે ઘણી નબળાઈઓની સંભવિત અસર ઘટાડે છે.વાસ્તવિક ચિંતા ફોર્મેટ વિશે ઓછી અને જાળવણી વિશે વધુ છે: પેકેજો જે વર્ષોથી અપડેટ થયા નથી, જૂની લાઇબ્રેરીઓ, અથવા પરીક્ષણો તરીકે અપલોડ કરાયેલા Snaps જેની ફરી ક્યારેય સમીક્ષા કરવામાં આવી નથી.

હકીકતમાં, એવો અંદાજ છે સ્નેપ સ્ટોરમાં ઘણા બધા પેકેજોને વર્ષોથી સ્પર્શ કરવામાં આવ્યો નથી.ઘણા સરળ "હેલો વર્લ્ડ" સંદેશાઓ અથવા ડેવલપર પ્રયોગો છે જે ફોર્મેટનું પરીક્ષણ કરે છે, જે પ્રકાશિત અને કોઈપણ માટે ઉપલબ્ધ છોડી દેવામાં આવ્યા છે. સ્નેપસ્કોપ આ પરિસ્થિતિઓને પ્રકાશિત કરવામાં મદદ કરે છે, જાળવણીકારોને તેમની પોસ્ટ્સની સમીક્ષા કરવા અને સાફ કરવા માટે પ્રોત્સાહિત કરે છે.

પારદર્શિતા અને ઓડિટબિલિટી: સ્નેપસ્કોપનું સાચું મૂલ્ય

સ્નેપસ્કોપ વિશે વાત કરતી વખતે એલન પોપ જે સંદેશાઓનું પુનરાવર્તન કરે છે તેમાંથી એક એ છે કે આ ટૂલનો હેતુ એ દર્શાવવાનો નથી કે Snap અન્ય ફોર્મેટ કરતાં ઓછું સુરક્ષિત છે.આ જે દર્શાવે છે તે છે ઓડિટબિલિટીનું મહત્વ: પેકેજમાં શું છે તેનું નિરીક્ષણ કરવાની ક્ષમતા અને તેમાં કઈ નબળાઈઓ છે તે જાણવાની ક્ષમતા.

સ્નેપસ્કોપ જેવું સાધન અસ્તિત્વમાં છે આ શક્ય છે કારણ કે Snaps નું સંચાલન વાજબી રીતે પારદર્શક છે.સામગ્રીનું વિશ્લેષણ પ્રમાણભૂત સુરક્ષા સાધનો વડે કરી શકાય છે, જાહેર CVE સાથે ક્રોસ-રેફરન્સ કરી શકાય છે, અને વિકાસકર્તાઓ અને અદ્યતન વપરાશકર્તાઓ માટે વાંચનીય ફોર્મેટમાં રજૂ કરી શકાય છે.

આ અર્થમાં, સ્નેપસ્કોપ તરીકે કાર્ય કરે છે જાળવણી કરનારાઓ માટે એક શાંત પ્રતિસાદ ચેનલજોકે સાઇટ સ્પષ્ટ "નિર્ણયો" આપતી નથી, તેમ છતાં તમારા પેકેજને સૌથી વધુ નબળાઈઓ ધરાવતા પેકેજોમાં સૂચિબદ્ધ જોવું અથવા તમારા Snap ને વર્ષોથી સ્કેન કરવામાં આવ્યું નથી તે તપાસવું એ તેને અપડેટ કરવા માટે જરૂરી દબાણ હોઈ શકે છે.

આ વિચાર સમુદાયમાં ફરી એકવાર વારંવાર આવતા પ્રતિબિંબ સાથે જોડાય છે: પ્રતિભાવ હંમેશા હુમલો નથી હોતોવર્ષોથી, જ્યારે વપરાશકર્તાઓ ફરિયાદ કરતા હતા કે Snaps અન્ય ફોર્મેટ કરતાં શરૂ થવામાં ધીમા હતા, ત્યારે પ્રતિભાવનો એક ભાગ રક્ષણાત્મક હતો, જેમાં "દ્વેષીઓ" ને ટીકા માટે જવાબદાર ઠેરવવામાં આવ્યો હતો. સમય જતાં, તે સ્વીકારવામાં આવ્યું હતું કે ખરેખર પ્રદર્શન સમસ્યા હતી, તેની તપાસ કરવામાં આવી હતી, અને સુધારા કરવામાં આવ્યા હતા. આજે, ઘણા કિસ્સાઓમાં, Snaps "મૂળ" પેકેજો સાથે ગતિમાં સમાન છે.

સ્નેપસ્કોપ તે પ્રકારના ગતિશીલતામાં સંપૂર્ણ રીતે બંધબેસે છે: તે એવું કહેતું નથી કે Snap અસુરક્ષિત છે.તેના બદલે, તે ડેટા પ્રદાન કરે છે જે તેને સુધારવામાં મદદ કરે છે. મંત્રનું પુનરાવર્તન ("તે સલામત છે, તેના પર વિશ્વાસ કરો") અને CVE, તારીખો અને સંસ્કરણો સાથે નક્કર અહેવાલ દર્શાવવા વચ્ચેનો તફાવત નોંધપાત્ર છે, ખાસ કરીને એવા વપરાશકર્તાઓ અને કંપનીઓ માટે કે જેમને તકનીકી નિર્ણયોને ન્યાયી ઠેરવવાની જરૂર હોય છે.

વ્યવહારુ ઉપયોગ: સ્નેપસ્કોપથી કોને સૌથી વધુ ફાયદો થાય છે

જોકે કોઈપણ વ્યક્તિ જિજ્ઞાસાથી ઓનલાઈન જઈને પેકેજ શોધી શકે છે, સ્નેપસ્કોપ ખાસ કરીને ત્રણ પ્રોફાઇલ માટે ઉપયોગી છે. GNU/Linux ઇકોસિસ્ટમમાં ખૂબ જ સ્પષ્ટ.

સૌ પ્રથમ સિસ્ટમ એડમિનિસ્ટ્રેટર્સ જે ઘણા બધા સ્નેપ્સ ઇન્સ્ટોલ કરેલા વાતાવરણનું સંચાલન કરે છેતેમના માટે, એક એવું સાધન હોવું જે તેમને મહત્વપૂર્ણ પેકેજોની સુરક્ષા સ્થિતિ ઝડપથી તપાસવાની મંજૂરી આપે તે અમૂલ્ય છે. તેઓ સમીક્ષા કરી શકે છે કે કઈ એપ્લિકેશનોમાં સૌથી વધુ પેન્ડિંગ CVE છે, સ્થળાંતર અથવા રિપ્લેસમેન્ટને પ્રાથમિકતા આપી શકે છે, અથવા તો નક્કી કરી શકે છે કે Snap નો ઉપયોગ ચાલુ રાખવો કે બીજા ફોર્મેટને પસંદ કરવો.

બીજું, સ્નેપ પેકેજ ડેવલપર્સ અને જાળવણીકારો તેઓ સ્નેપસ્કોપને એક અનુકૂળ સાથી માને છે. તે તેમને એક નજરમાં જોવાની મંજૂરી આપે છે કે કઈ નબળાઈઓ તેમના પેકેજમાં સમાવિષ્ટ લાઇબ્રેરીઓને અસર કરે છે, ડિપેન્ડન્સી અપડેટ કરવા અને નવા પેચ રિલીઝ કરવા માટે જરૂરી માહિતી સાથે લિંક કરે છે. વધુમાં, કોઈપણ વ્યક્તિ નવા સ્કેન માટે વિનંતી કરી શકે છે તે હકીકત સોફ્ટવેરને અપ ટુ ડેટ રાખવા માટે દબાણનું એક સ્વસ્થ સ્તર ઉમેરે છે.

અને ત્રીજું, સુરક્ષા અંગે ચિંતિત વપરાશકર્તાઓ જે લોકો કંઈક ઇન્સ્ટોલ કરતા પહેલા જોખમો વિશે સ્પષ્ટ થવા માંગે છે તેઓ સ્નેપ સ્ટોરમાં "ઇન્સ્ટોલ" પર ક્લિક કરતા પહેલા, પેકેજની સ્થિતિ ઝડપથી તપાસવા માટે સ્નેપસ્કોપનો ઉપયોગ કરી શકે છે. ધ્યેય એલાર્મ ફેલાવવાનો નથી, પરંતુ જાણકાર નિર્ણયો લેવા માટે સાધનો પૂરા પાડવાનો છે.

અન્ય બંધારણો સાથેનો સંબંધ અને કેનોનિકલની ભૂમિકા

ઘણીવાર ખોટી રીતે અર્થઘટન કરવામાં આવતા મુદ્દાઓમાંનો એક એ વિચાર છે કે સ્નેપસ્કોપ સાબિત કરશે કે સ્નેપ અન્ય ફોર્મેટ કરતાં ખરાબ અથવા ઓછું સુરક્ષિત છે.સત્યથી વધુ કંઈ હોઈ શકે નહીં: Snap માં શોધાયેલ સમાન સંવેદનશીલ લાઇબ્રેરીઓ DEB, AppImage, Flatpak અથવા કન્ટેનરમાં પણ પેક કરી શકાય છે, અને Grype હજુ પણ તેમને ફ્લેગ કરી શકશે.

હકીકતમાં, જો સમાન પ્રકારનું વિશ્લેષણ માટે ગોઠવવામાં આવ્યું હોય પરંપરાગત DEB પેકેજો અથવા કન્ટેનર છબીઓસંખ્યા અને પ્રકાર બંનેમાં ખૂબ જ સમાન નબળાઈઓ દેખાશે. તફાવત એ છે કે, હાલમાં, ટૂલે Snaps પર ધ્યાન કેન્દ્રિત કર્યું છે કારણ કે તે જ ઇકોસિસ્ટમ છે જેમાં એલન પોપ સૌથી વધુ આરામદાયક છે.

કેનોનિકલ વતી, કંપનીએ હુમલાની સપાટી ઘટાડવા અને કામગીરી સુધારવા પર કામ કર્યું છે. ડેસ્કટોપ અને સર્વર બંને પર ફોર્મેટનું, એક ઉદાહરણ લિનક્સ સોફ્ટવેરમાં તાજેતરના પડકારોઅગાઉ ઉલ્લેખિત "બેઝ સ્નેપ્સ", શરૂઆતના સમયમાં સુધારો અને કડક લોકડાઉન એ બધા તે ચાલુ પ્રયાસનો ભાગ છે.

કેટલાક વિવેચકોએ આવા પાસાઓ પણ દર્શાવ્યા છે જેમ કે સ્નેપ સ્ટોરની માલિકીની બેકએન્ડ અથવા સ્વચાલિત અપડેટ નીતિઆના કારણે Linux Mint જેવા વિતરણોએ પણ ડિફોલ્ટ રૂપે Snap ના ઉપયોગને મર્યાદિત કર્યો છે. આ સંદર્ભમાં, Snapscope જેવું બાહ્ય સાધન એક સેતુ તરીકે કામ કરી શકે છે: તે ઉદ્દેશ્ય ડેટા પ્રદાન કરે છે અને દરેક વપરાશકર્તાને આ ફોર્મેટનો ઉપયોગ કેટલી હદ સુધી કરવો તે નક્કી કરવાની મંજૂરી આપે છે.

એલને ટિપ્પણી કરી કે તમે તમારા કાર્યને સીધા Snap સ્ટોરમાં એકીકૃત કરી શકતા નથી.કારણ કે તેના માટે ફેરફારો અને કેનોનિકલ ઇન્ફ્રાસ્ટ્રક્ચરની ઍક્સેસની જરૂર પડશે જે તેની પાસે નથી. જોકે, તેમણે સૂચવ્યું છે કે કેનોનિકલ પ્રોજેક્ટને એકીકૃત કરવા અથવા વિકસાવવા માટે તેમાંથી વિચારો અથવા કોડ લેવા માટે સ્વતંત્ર છે, પછી ભલે તે જાહેર સેવાના રૂપમાં હોય કે અન્ય પ્રકારના આંતરિક ઓડિટિંગ સાધનોના રૂપમાં.

અપડેટ્સ, રિસ્કેન અને ટૂલના ભાવિ વિકાસ

સ્નેપસ્કોપ વિશે એક રસપ્રદ વિગત એ છે કે તે તમને એક જ પેકેટને ઘણી વખત ફરીથી સ્કેન કરવાની મંજૂરી આપે છે.પહેલી નજરે તે બિનજરૂરી લાગે છે, પરંતુ તે સંપૂર્ણ રીતે સમજાય છે: નબળાઈ ડેટાબેઝ સતત અપડેટ કરવામાં આવી રહ્યા છે, તેથી આજે સ્કેન કરવાથી ગયા અઠવાડિયા કરતાં અલગ પરિણામો મળી શકે છે, ભલે સ્નેપ બદલાયો ન હોય.

આ સમજાવે છે કે શા માટે પેકેજના સમાન સંસ્કરણ માટે વિશ્લેષણ માટેની બહુવિધ વિનંતીઓ વેબ પર દેખાય છે.દરેક નવા સ્કેન સુરક્ષા ડેટા સ્ત્રોતોમાં ઉપલબ્ધ નવીનતમ માહિતીનો લાભ મેળવે છે, જે સંભવિત રીતે એવી સમસ્યાઓ જાહેર કરે છે જે અગાઉ સૂચિબદ્ધ ન હતા.

ભવિષ્યના સુધારાઓ અંગે, એલને રસ દર્શાવ્યો છે એક જ સ્નેપના વિવિધ સંસ્કરણો અને ચેનલો સ્કેન કરવા માટે સક્ષમ થવા માટે (ઉદાહરણ તરીકે, ફાયરફોક્સ અને થંડરબર્ડ જેવી એપ્લિકેશનોના સ્ટેબલ, બીટા, એજ અથવા ESR વર્ઝન). હાલમાં, તે અંતર્ગત ટૂલ્સની ક્ષમતાઓ દ્વારા મર્યાદિત છે, પરંતુ ચોક્કસ સુધારાઓ પસંદ કરવા માટે સપોર્ટ ઉમેરવા માટે ખુલ્લી સમસ્યાઓ અને પુલ વિનંતીઓ છે. એકવાર તે કાર્યક્ષમતા પરિપક્વ થઈ જાય, પછી તેને સ્નેપસ્કોપમાં એકીકૃત કરવાનો વિચાર છે.

દરમિયાન, આ પ્રોજેક્ટ એક રહે છે જે કાર્ય પ્રગતિમાં છે અને હાલની સ્થિતિમાં ખૂબ જ ઉપયોગી છેજેમ જેમ સમુદાય તેનો ઉપયોગ કરે છે, સમસ્યાઓની જાણ કરે છે અને સુધારાઓ સૂચવે છે, તેમ તેમ તેનો વ્યાપ અને ચોકસાઈ વધવાની અપેક્ષા છે, જેમ કે નબળાઈ ડેટાબેઝ પોતે જ કરે છે.

સ્નેપસ્કોપ સ્નેપ પેકેજોની વાસ્તવિક સુરક્ષા પર પ્રકાશ પાડવા માટે પોતાને એક મુખ્ય સાધન તરીકે સ્થાન આપે છે.સરળ ચિંતાનો આશરો લીધા વિના અથવા આંધળાપણે ફોર્મેટનો બચાવ કર્યા વિના, તે સ્પષ્ટ ડેટા પ્રદાન કરે છે, જૂની લાઇબ્રેરીઓને ઓળખવામાં મદદ કરે છે, જાળવણીકારોને તેમના કાર્યને એકસાથે લાવવા માટે પ્રોત્સાહિત કરે છે, અને વપરાશકર્તાઓ અને સંચાલકોને જાણકાર નિર્ણયો લેવા માટે એક વ્યવહારુ સાધન આપે છે. એક ઇકોસિસ્ટમમાં જ્યાં પ્રદર્શન, ભંડારોમાં વિશ્વાસ અને અપડેટ મોડેલો વિશે ચર્ચાઓ સહઅસ્તિત્વ ધરાવે છે, આના જેવું એકલ સ્કેનર હોવું નોંધપાત્ર તફાવત લાવે છે.