Wer steht hinter Webtatic Repository und vertrauen Sie ihm?

12

Das Webtatic-Repository enthält viele nützliche Pakete für CentOS und RedHat. Das Repository ist jedoch sehr undurchsichtig und es fällt mir schwer, Informationen darüber zu finden, wer dahinter steckt, ein Teil von "Andrew Thompson", der hier als Andy bekannt ist.

Er scheint großartige Arbeit zu leisten und all diese nützlichen Pakete bereitzustellen. Ich muss das Repository auf Live-Unternehmensservern verwenden und die Verwendung inoffizieller Repositorys löst sofort einen Alarm in mir aus.

  • Ist es ein Repository für eine Person?
  • Wird es von einer Firma unterstützt?
  • Es scheint seit einigen Jahren zu existieren, aber was ist mit morgen? (abgesehen von dem riesigen Asteroiden, der uns alle abwischen kann)
  • Wie sicher ist es? Ich möchte nicht als nächstes yum updateeinen Trojaner herunterladen.
  • Wie schnell werden die Sicherheitskorrekturen der bereitgestellten Pakete bereitgestellt? ....

Feedback von CentOS / RedHat-Administratoren aus dem wirklichen Leben wird sehr geschätzt.

Danke im Voraus

Niki
quelle
1
Ich möchte darauf hinweisen, dass es mindestens zwei sehr unterschiedliche Vertrauensstufen gibt: Als Entwickler ist es mir vor allem wichtig, ob die Pakete sauber (nicht böswillig geändert) und einigermaßen aktuell sind. Als Systemadministrator ist mir die langfristige Unterstützung und die Langlebigkeit der Betreuer enorm wichtig.
jhominal
Richtig. Hier frage ich als Systemadministrator, Server-Betriebssystem ändern / nur alle 5 oder mehr Jahre unterrichten
Niki
Sowohl als Systemadministrator als auch als Entwickler ist es wichtig, anständige Build-Quellen zu verwenden. Andernfalls besteht die Gefahr, dass Probleme wie fehlerhafte Builds Fehler oder Einschränkungen in den Funktionssätzen usw. verursachen. Eine fehlerhafte Quelle ist möglicherweise das Verteilen von Paketen ohne Dinge wie -O2, und Sie sind völlig ahnungslos.
jgmjgm

Antworten:

5

Als ich vor 8 Jahren als Linux-Administrator anfing, verwendete ich ein beliebtes Repository von Drittanbietern, um meinen LAMP-Stack zu aktualisieren. Es wurde von einer einzelnen Person geleitet. Einer der Hauptgründe war, dass Entwickler mich unter Druck setzten, eine neuere Version von PHP als die mit RHEL 5 gelieferte zu entwickeln. Das hat mich schließlich gebissen.

Die Person hat die Repositorys verlassen, sodass ich keine Sicherheitsupdates mehr erhielt, aber ich konnte auch nicht alle neueren Pakete entfernen und zu den RHEL-Paketen zurückkehren, da die RHEL-Version von PHP aus einem zu alten Zweig stammt. Beim Wechsel zum LAMP-Stack dieses Repositorys wurden mindestens ein halbes Dutzend Pakete oder mehr berührt. Daher wäre es eine große PITA, diese Pakete zu warten und sie alle von Zeit zu Zeit von Hand neu zu kompilieren.

Sie verlieren auch die Möglichkeit, die Sicherheitshinweise des Betriebssystemherstellers in Bezug auf CVE-Schwachstellen zu verwenden, um festzustellen, ob Ihr System für einen bestimmten Exploit für diese Pakete anfällig ist oder nicht. Dies erwies sich Jahre später als großes Problem für mich, obwohl ich es damals nie erwartet hätte.

Sie müssen sich also nicht nur auf die Integrität und die technischen Fähigkeiten der Betreuer verlassen, sondern sich auch fragen, ob Sie ihnen vertrauen, dass sie nicht zu einem neuen Job wechseln, der es ihnen nicht ermöglicht, das Repository zu pflegen oder zu heiraten und Kinder zu haben und nicht mehr Zeit haben, etc ....

Seitdem bin ich sehr skeptisch, wenn es darum geht, Repositorys von Drittanbietern zu verwenden, insbesondere solche, die nur von einer Person verwaltet werden.

digitale Sucht
quelle
Vielen Dank! Dies sind alle Fragen, die ich mir bereits stelle, aber Ihre Erfahrung ist teilweise eine Antwort auf meine Hauptfrage. Jetzt hoffe ich nur, dass ich ein spezifischeres Feedback insbesondere zu Webtatic Repo bekommen kann, andernfalls denke ich, dass ich Ihrem Rat folgen werde, was auch mein Bauchgefühl ist und was ich bis jetzt immer getan habe. (Wie Sie, es geht um PHP-Version ...)
Niki
4

Die Frage ist nicht, ob wir Andy vertrauen, sondern ob Sie Andy vertrauen.

Ich bin mit dem Repository nicht vertraut, aber der Spendenknopf deutet auf eine persönliche Anstrengung hin. Fühlen Sie sich frei, einen Beitrag zu leisten, wenn es für Sie von Wert ist.

Pakete scheinen GnuPG-signiert zu sein, daher kann mit einiger Sicherheit überprüft werden, ob die Pakete authentisch sind. Sie können auch überprüfen, ob er sich im Vertrauensnetz befindet.

In Bezug auf Qualität oder Sicherheit ist es am besten, wenn sich jemand anderes die Funktionsweise des Repositorys ansieht. Das könntest du sein. Abonnieren Sie die vorgelagerten Sicherheitshinweise und prüfen Sie, ob sie betroffen sind. Bewerten Sie die Pakete wie ein Prüfer für Fedora.

Wenn Ihnen die Kontinuität dieser Pakete wichtig ist, erwerben Sie ähnliche Fähigkeiten. Lernen Sie das Verpacken oder stellen Sie jemanden ein, der das kann.

John Mahowald
quelle
1

Remi ist der Standard für die neuesten PHP-Versionen für RHEL. Er ist eine seit langem etablierte und zuverlässige Quelle für RPM-Pakete, die aktiv gewartet wird und so viele relevante Pakete wie möglich enthält.

Die webtatische Quelle ist unbekannt und nicht vertrauenswürdig. Es sollte überhaupt nicht verwendet werden.

Ich fand es auf einem Legacy-System. Es hatte ein ernstes Speicherleck. Ich habe es durch Remi ersetzt, genau die gleiche PHP-Version und plötzlich läuft alles reibungslos. Ich denke nicht, dass es überhaupt eine stabile Kompilierung ist.

jgmjgm
quelle
0

Im Allgemeinen, es sei denn, Sie wissen, dass es eine Funktion gibt, die Sie wirklich ernsthaft benötigen und ohne die Sie nicht leben können (wie viele Leute glauben, dass sie es nicht können ... bis Sie zwischen „alt“ oder nichts wählen können), bleiben bei den Anbieterpaketen.

Bringen Sie Ihren Web-Entwicklern bei, warum ein Zweig kein stagnierender Schnappschuss ist, und zeigen Sie ihnen - PHP ist dafür eine großartige -, wie Upstream-Rebasing weitaus mehr Fehler verursacht. und wie in vielen Fällen die Antwortzeit für einen Backport in Bezug auf ein Sicherheitsproblem tatsächlich schneller und zuverlässiger von einer Distribution in ihrer gewarteten Niederlassung geliefert wird (weil dies die Priorität und Aufgabe eines anderen ist) als in der vorgelagerten OEM-Version.

Du bist vielleicht derjenige, der tatsächlich Erfolg hat, und du schuldest es dem Rest von uns, es zu versuchen ;-)

user2066657
quelle
PHP ist dafür ein ziemlich schlechtes Beispiel: Wir brauchen fast immer Point Releases für Bugfixes, aber die Distributionen bieten sie nicht an. Sie haben natürlich gute Gründe. Es ist jedoch äußerst hilfreich, die Repos zur Verfügung zu haben, in denen wir Bugfixes in Punktversionen erhalten können.
Michael Hampton
Ich vermute, wir verwenden verschiedene Distributionen. Ich habe keinen Mangel an Bugfix- und Sicherheitsupdates in PHP gesehen, obwohl die Distribution bei einer bestimmten Upstream-Version verzweigt ist und die Version für den Laien gesperrt zu sein scheint. rpm -q php --changelog zeigt wöchentliche Updates mit zahlreichen Bugfixes und Sicherheitsupdates. Es tut mir leid, wenn Sie nicht den gleichen Kilometerstand erhalten :-(
user2066657
Auf jeden Fall andere Distributionen. Ich sehe das nicht in PHP unter RHEL 7.5 oder CentOS 7.5. Fedora hat jedoch PHP-Pakete aktualisiert und hat dieses Problem im Allgemeinen nicht. Glücklicherweise verwaltet Remi Collet, der Red Hat-Mitarbeiter, der die PHP-Pakete von RHEL erstellt, auch Repos mit PHP-Point-Releases. Das ist einer der Gründe, warum Red Hat ihn eingestellt hat.
Michael Hampton
Hmm. Ich habe mir die RH / Centos angesehen. Ich kann nicht erklären, warum Sie nicht dasselbe sehen - Changelog, das ich bin, und es tut mir leid, es zu sehen. Ich wünschte, Remi würde SCL ein bisschen mehr aktualisieren. Ich sehe dort Verlangsamungen (7.1.8 und nicht einmal eine zu aktualisierende Paketversion). Eigentlich war ich größtenteils davon überzeugt, dass er heute Morgen weitergezogen war. Wenn Fedora nur keine Eintagsfliege wäre.
user2066657
"Ja wirklich?" Ich weiß nicht, welche Pakete Sie suchen, aber ich sehe keine Updates seit php-5.4.16-45.el7. Vielleicht sehen Sie sich etwas aus einer Software-Sammlung an? Apropos, SCLs sind etwas langsamer. Wenn Sie tatsächlich PHP-Releases wünschen, klicken
Michael Hampton