我的公司正在使用Redhat Enterprise Linux。 有时,我们想使用Red Hat官方Yum存储库中没有以RPM形式提供的一些特殊的开源产品,或者可用的版本很旧。
在这种情况下,我们唯一可行的选择就是从源代码构建开源产品。
但是,出于安全考虑,从源代码编译开源产品而不是使用可从RHEL订阅下载的官方RPM。
主要的安全问题是,如果从源代码编译它们,那么如何跟踪我们正在使用哪些开源产品(及其版本)。与在RHEL yum存储库上使用官方RPM相比,有许多方法可以跟踪使用情况(例如下载访问,SonarType Nexus IQ扫描,某些OS扫描工具),但是很难跟踪自编译开源产品的使用情况
是否有任何好的解决方案可以解决此安全问题?
谢谢。