私が現在働いている場所では、Pythonコードを本番サーバーにデプロイすることについて少し議論がありました。を使用して、サーバー自体にバイナリ依存関係(python mysqlドライバーなど)を構築することに投票しましたpip install -r requirements.txt。これはすぐに拒否され、「ライブサーバーにコンパイラを配置しない」というより良い説明はありませんでした。その結果、このコンパイル手順を回避するために、展開プロセスが複雑になり、過剰に設計されています。
私の質問はこれです:ライブサーバー上にコンパイラを持たないようにする最近の理由は何ですか?
一般に、サーバーのインストールに関する一般的な知恵は、サーバーを可能な限り削除する必要があるというものです。これにはいくつかの動機がありますが、コンパイラに関する質問に直接当てはまるわけではありません。
私の会社では、コンパイラがサーバーにインストールされていてもあまり気にしませんが、別の理由でサーバーで実行することもありません。pipパッケージがどこでビルドされるかではなく、いつどのようにダウンロードされるかについてはそれほど心配していません。
私たちの間で特にひどいことに、pip(およびeasy_install)は、認証の形式(SSLなし、パッケージ署名なしなど)なしでPYPIからパッケージを喜んでインストールすることに注意してください。さらに、これらの多くは実際にはPYPIでホストされていません。pipとeasy_installはリダイレクトに従います。したがって、ここには2つの問題があります。
したがって、最初に依存関係を追加するときにパッケージをダウンロードし、ソースが本物であることを確認するために最善を尽くし(これは絶対確実ではありません)、独自のバージョン管理システムに追加します。実際には別のビルドサーバーでパッケージをビルドしますが、これはそれほど重要ではありません。複数のインスタンスにすばやくデプロイできるバイナリパッケージがあると便利です。
このserverfaultの投稿を参照することをお勧めします。
エクスプロイトがリモートでコンパイルされるのを避けることは理にかなっています
また、セキュリティの観点から、コンパイラを使用しない場合よりもハイジャック犯のタスクを困難にするだけであることも私には理にかなっていますが、完全ではありません。
サーバーに大きな負担がかかりますか?