作为一名IT管理员,在批准将R包安装到我的环境中时,我应该使用什么标准?
目前,RStudio用户(非IT用户(可以完全下载和安装任何软件包。我理解为什么这是个问题。。。但是,如果我限制访问现有软件包的自定义白名单,用户最终会要求新的软件包,我将无法评估该软件包是否合适。
我没有R特定的知识,但我想说,就像用户带入您的组织的任何软件一样,您应该包括一些"谱系和后代"的度量;它是从哪里来的?它的名声好吗。
最终,应该由请求软件的用户来完成腿部工作,所以除了在请求表上,我还将包括一些这样的问题,以促使人们自己进行尽职调查:
- 包托管在哪里(您从哪里下载的(
- 这是一个使用良好且知名的包装吗
- (可能不适用于R:软件项目是否仍在维护,是否发布定期安全补丁。是否存在针对它的开放CVE漏洞?(
- 如果你不确定以上内容,你是否打开了源代码来检查它是否在做它声称的事情
这取决于其他用户在什么环境中工作。您的普通用户是否可以访问生产服务器,还是在本地机器上进行开发?如果他们有生产访问权限并且正在那里进行开发,那么您可能会遇到与整体变更管理相关的更大问题。更多关于谁有权做什么的信息可以帮助我们给出更详细的答案。
不过,总的来说,对生产中使用的任何包装都有一个批准流程或文件是很好的;这样,如果以后遇到问题,就可以确定最后所做的更改(例如plyr和dplyr冲突破坏脚本(。
审批流程可以简单到:
- 请求日期
- 提出请求的个人姓名
- 请求的新程序包(名称和版本(
- 新包装的用途
- 任何其他相关信息
作为管理员,如果您信任用户,您可以简单地签署请求并安装软件包(或让他们安装(。为了增加另一层安全性,你可以在谷歌上搜索包裹,并在签字前确保它是合法的。
您还可以采取限制包下载到CRAN存储库的方式。它并不完美,但你依赖的是一个稍微精心策划的列表。