访问 R 包的标准?
Criteria for accessing R packages?
作为 IT 管理员,在批准将 R 包安装到我的环境中时,我应该使用什么标准?
目前,RStudio 用户(非 IT 人员)拥有下载和安装任何包的完全访问权限。我明白为什么这是个问题...但是如果我限制访问现有包的自定义白名单,用户最终会要求新包,我将无法评估该包是否合适。
这取决于其他用户的工作环境。您的一般用户是否可以访问生产服务器,或者他们是否在本地计算机上进行开发?如果他们有生产访问权限并在那里进行开发,那么您可能会遇到与整体变更管理相关的更大问题。有关谁有权做什么的更多信息可以帮助我们给出更详细的答案。
不过,一般来说,生产中使用的任何包都有一个批准流程或文档是件好事;这样,如果您 运行 稍后遇到问题,您可以确定所做的最后更改(例如 plyr 和 dplyr 冲突破坏脚本)。
审批流程可以很简单:
- 请求日期
- 提出请求的个人姓名
- 请求新包(名称和版本)
- 新包的用途
- 任何其他相关信息
作为管理员,如果您信任用户,您可以简单地在请求上签字并安装包(或让他们安装)。要增加另一层安全性,您可以 google 包并在退出前确保它是合法的。
您也可以采取限制包下载到 CRAN 存储库的方式。它并不完美,但您依赖的是一个稍微精心策划的列表。
我不了解 R 的具体知识,但我想说的是,就像用户带入您的组织的任何软件一样,您应该包括一些措施 "Pedigree and progeny";即从哪里来的,口碑好不好。
最终应该由请求软件的用户来完成跑腿工作,所以除了在申请表上,我会包括一些这样的问题来促使人们自己进行尽职调查:
- 软件包托管在哪里(您从哪里下载的)?
- 它是一个很好用和知名的包吗?
- (可能不适用于 R:软件项目是否仍在维护,是否发布定期安全补丁。是否存在针对它的公开 CVE 漏洞?)
- 如果您不确定以上内容,您是否打开了源代码以检查它是否按照它声称的那样进行?
作为 IT 管理员,在批准将 R 包安装到我的环境中时,我应该使用什么标准?
目前,RStudio 用户(非 IT 人员)拥有下载和安装任何包的完全访问权限。我明白为什么这是个问题...但是如果我限制访问现有包的自定义白名单,用户最终会要求新包,我将无法评估该包是否合适。
这取决于其他用户的工作环境。您的一般用户是否可以访问生产服务器,或者他们是否在本地计算机上进行开发?如果他们有生产访问权限并在那里进行开发,那么您可能会遇到与整体变更管理相关的更大问题。有关谁有权做什么的更多信息可以帮助我们给出更详细的答案。
不过,一般来说,生产中使用的任何包都有一个批准流程或文档是件好事;这样,如果您 运行 稍后遇到问题,您可以确定所做的最后更改(例如 plyr 和 dplyr 冲突破坏脚本)。
审批流程可以很简单:
- 请求日期
- 提出请求的个人姓名
- 请求新包(名称和版本)
- 新包的用途
- 任何其他相关信息
作为管理员,如果您信任用户,您可以简单地在请求上签字并安装包(或让他们安装)。要增加另一层安全性,您可以 google 包并在退出前确保它是合法的。
您也可以采取限制包下载到 CRAN 存储库的方式。它并不完美,但您依赖的是一个稍微精心策划的列表。
我不了解 R 的具体知识,但我想说的是,就像用户带入您的组织的任何软件一样,您应该包括一些措施 "Pedigree and progeny";即从哪里来的,口碑好不好。
最终应该由请求软件的用户来完成跑腿工作,所以除了在申请表上,我会包括一些这样的问题来促使人们自己进行尽职调查:
- 软件包托管在哪里(您从哪里下载的)?
- 它是一个很好用和知名的包吗?
- (可能不适用于 R:软件项目是否仍在维护,是否发布定期安全补丁。是否存在针对它的公开 CVE 漏洞?)
- 如果您不确定以上内容,您是否打开了源代码以检查它是否按照它声称的那样进行?