Das Webtatic-Repository enthält viele nützliche Pakete für CentOS und RedHat. Das Repository ist jedoch sehr undurchsichtig und es fällt mir schwer, Informationen darüber zu finden, wer dahinter steckt, ein Teil von "Andrew Thompson", der hier als Andy bekannt ist.
Er scheint großartige Arbeit zu leisten und all diese nützlichen Pakete bereitzustellen. Ich muss das Repository auf Live-Unternehmensservern verwenden und die Verwendung inoffizieller Repositorys löst sofort einen Alarm in mir aus.
- Ist es ein Repository für eine Person?
- Wird es von einer Firma unterstützt?
- Es scheint seit einigen Jahren zu existieren, aber was ist mit morgen? (abgesehen von dem riesigen Asteroiden, der uns alle abwischen kann)
- Wie sicher ist es? Ich möchte nicht als nächstes
yum update
einen Trojaner herunterladen. - Wie schnell werden die Sicherheitskorrekturen der bereitgestellten Pakete bereitgestellt? ....
Feedback von CentOS / RedHat-Administratoren aus dem wirklichen Leben wird sehr geschätzt.
Danke im Voraus
centos
redhat
repository
Niki
quelle
quelle
Antworten:
Als ich vor 8 Jahren als Linux-Administrator anfing, verwendete ich ein beliebtes Repository von Drittanbietern, um meinen LAMP-Stack zu aktualisieren. Es wurde von einer einzelnen Person geleitet. Einer der Hauptgründe war, dass Entwickler mich unter Druck setzten, eine neuere Version von PHP als die mit RHEL 5 gelieferte zu entwickeln. Das hat mich schließlich gebissen.
Die Person hat die Repositorys verlassen, sodass ich keine Sicherheitsupdates mehr erhielt, aber ich konnte auch nicht alle neueren Pakete entfernen und zu den RHEL-Paketen zurückkehren, da die RHEL-Version von PHP aus einem zu alten Zweig stammt. Beim Wechsel zum LAMP-Stack dieses Repositorys wurden mindestens ein halbes Dutzend Pakete oder mehr berührt. Daher wäre es eine große PITA, diese Pakete zu warten und sie alle von Zeit zu Zeit von Hand neu zu kompilieren.
Sie verlieren auch die Möglichkeit, die Sicherheitshinweise des Betriebssystemherstellers in Bezug auf CVE-Schwachstellen zu verwenden, um festzustellen, ob Ihr System für einen bestimmten Exploit für diese Pakete anfällig ist oder nicht. Dies erwies sich Jahre später als großes Problem für mich, obwohl ich es damals nie erwartet hätte.
Sie müssen sich also nicht nur auf die Integrität und die technischen Fähigkeiten der Betreuer verlassen, sondern sich auch fragen, ob Sie ihnen vertrauen, dass sie nicht zu einem neuen Job wechseln, der es ihnen nicht ermöglicht, das Repository zu pflegen oder zu heiraten und Kinder zu haben und nicht mehr Zeit haben, etc ....
Seitdem bin ich sehr skeptisch, wenn es darum geht, Repositorys von Drittanbietern zu verwenden, insbesondere solche, die nur von einer Person verwaltet werden.
quelle
Die Frage ist nicht, ob wir Andy vertrauen, sondern ob Sie Andy vertrauen.
Ich bin mit dem Repository nicht vertraut, aber der Spendenknopf deutet auf eine persönliche Anstrengung hin. Fühlen Sie sich frei, einen Beitrag zu leisten, wenn es für Sie von Wert ist.
Pakete scheinen GnuPG-signiert zu sein, daher kann mit einiger Sicherheit überprüft werden, ob die Pakete authentisch sind. Sie können auch überprüfen, ob er sich im Vertrauensnetz befindet.
In Bezug auf Qualität oder Sicherheit ist es am besten, wenn sich jemand anderes die Funktionsweise des Repositorys ansieht. Das könntest du sein. Abonnieren Sie die vorgelagerten Sicherheitshinweise und prüfen Sie, ob sie betroffen sind. Bewerten Sie die Pakete wie ein Prüfer für Fedora.
Wenn Ihnen die Kontinuität dieser Pakete wichtig ist, erwerben Sie ähnliche Fähigkeiten. Lernen Sie das Verpacken oder stellen Sie jemanden ein, der das kann.
quelle
Remi ist der Standard für die neuesten PHP-Versionen für RHEL. Er ist eine seit langem etablierte und zuverlässige Quelle für RPM-Pakete, die aktiv gewartet wird und so viele relevante Pakete wie möglich enthält.
Die webtatische Quelle ist unbekannt und nicht vertrauenswürdig. Es sollte überhaupt nicht verwendet werden.
Ich fand es auf einem Legacy-System. Es hatte ein ernstes Speicherleck. Ich habe es durch Remi ersetzt, genau die gleiche PHP-Version und plötzlich läuft alles reibungslos. Ich denke nicht, dass es überhaupt eine stabile Kompilierung ist.
quelle
Im Allgemeinen, es sei denn, Sie wissen, dass es eine Funktion gibt, die Sie wirklich ernsthaft benötigen und ohne die Sie nicht leben können (wie viele Leute glauben, dass sie es nicht können ... bis Sie zwischen „alt“ oder nichts wählen können), bleiben bei den Anbieterpaketen.
Bringen Sie Ihren Web-Entwicklern bei, warum ein Zweig kein stagnierender Schnappschuss ist, und zeigen Sie ihnen - PHP ist dafür eine großartige -, wie Upstream-Rebasing weitaus mehr Fehler verursacht. und wie in vielen Fällen die Antwortzeit für einen Backport in Bezug auf ein Sicherheitsproblem tatsächlich schneller und zuverlässiger von einer Distribution in ihrer gewarteten Niederlassung geliefert wird (weil dies die Priorität und Aufgabe eines anderen ist) als in der vorgelagerten OEM-Version.
Du bist vielleicht derjenige, der tatsächlich Erfolg hat, und du schuldest es dem Rest von uns, es zu versuchen ;-)
quelle