我们被赋予了使用puppet在openstack中部署基础架构的任务,该基础结构仅安装来自Chocolatey的受信任软件包。我们面临的问题是采用一种安全的方法来检查软件包是否受信任,并将其应用于我们的up代码,以便在有新的受信任软件包时自动更新我们的软件包。
我们发现检查软件包是否受信任的最好方法是运行“ choco info'NAMEOFPACKAGE'”并编写脚本,以检查choco info的输出中是否出现字符串“ Package认可为受信任软件包”
这不是一种检查软件包是否受信任的安全方法,我们希望以更好的方式做到这一点。
$name="default"
$lines = choco $name | Select-String "Package approved as a trusted package" | Measure-Object -Line
if ($lines = 1) {
"****This found only 1 line****"
else {"*Found 0 or more*"}
答案 0 :(得分:1)
根据Chocolatey.org上的documentation,从组织方面来看,您真的不能信任来自Chocolatey.org的任何软件包
作为一个组织,您需要100%的可靠性(或至少具有这种潜力),并且还需要完全的信任和控制。这是内部托管程序包可以实现的,使用社区程序包存储库不太可能实现。如果您将Chocolatey用于组织/企业,则对生产中断的容忍度可能较低,并且/或者对于较大的Internet的信任度可能较低。您可能不想将对基础结构的控制权交给社区成员和志愿者。不建议在组织上使用社区存储库。
因此,我向您提出的建议是遵循本guide的有关如何设置Chocolatey以供内部组织使用的建议。这样,您便可以完全信任所有正在使用的软件包,因为您已经经历了一个单独的过程以将这些软件包带入内部。