Kto stoi za repozytorium Webtatic i czy mu ufasz

12

Repozytorium Webtatic zawiera wiele przydatnych pakietów dla CentOS i RedHat. Jednak repozytorium jest bardzo nieprzejrzyste i trudno mi znaleźć informacje na temat tego, kto za nim stoi, poza „Andrew Thompsonem”, znanym tutaj jako Andy.

Wydaje się, że wykonuje świetną robotę, dostarczając wszystkie te przydatne pakiety. Muszę korzystać z repozytorium na działających serwerach firmowych, a używanie nieoficjalnych repozytoriów natychmiast wywołuje we mnie alarm.

  • Czy to repozytorium dla jednej osoby?
  • Czy jest wspierany przez firmę?
  • Wydaje się, że istnieje od kilku lat, ale co powiesz na jutro? (oprócz gigantycznej asteroidy, która może nas wszystkich wytrzeć)
  • Jak bezpieczne to jest? Nie chcę następnie yum updatepobierać trojana.
  • Jak szybko wdrażane są poprawki bezpieczeństwa dostarczonych pakietów? …

Informacje zwrotne od prawdziwych administratorów CentOS / RedHat będą bardzo mile widziane.

Z góry dziękuję

Niki
źródło
1
Chciałbym zauważyć, że istnieją co najmniej dwa bardzo różne poziomy zaufania: jako programista dbam głównie o to, czy pakiety są czyste (nie zmieniane złośliwie) i racjonalnie aktualne. Jako administrator systemu bardzo zależy mi na długoterminowym wsparciu i długowieczności opiekunów.
jhominal
Poprawny. Tutaj pytam jako sysadmin, zmieniając system operacyjny serwera / uczę tylko co 5 lub więcej lat
Niki
Zarówno jako administrator systemu, jak i programista ważne jest, aby używać przyzwoitych źródeł kompilacji. W przeciwnym razie możesz ryzykować problemy, takie jak złe kompilacje, powodujące błędy lub ograniczenia w zestawach funkcji, itp. Złym źródłem może być dystrybucja pakietów bez elementów takich jak -O2 i będziesz totalnie nieświadomy tego.
jgmjgm

Odpowiedzi:

5

Kiedy po raz pierwszy zacząłem jako administrator systemu Linux 8 lat temu korzystałem z popularnego repozytorium innej firmy, aby uaktualnić mój stos LAMP. Był prowadzony przez jedną osobę. Jednym z głównych powodów było to, że programiści naciskali mnie na nowszą wersję PHP niż w przypadku RHEL 5. Ostatecznie mnie gryzło.

Osoba porzuciła repozytoria, więc nie dostawałem już aktualizacji zabezpieczeń, ale nie mogłem również usunąć wszystkich nowszych pakietów i wrócić do pakietów RHEL, ponieważ wersja RHEL PHP pochodzi ze zbyt starej gałęzi. Przejście do stosu LAMP tego repozytorium dotknęło co najmniej pół tuzina lub więcej pakietów. Tak więc utrzymanie tych pakietów i rekompilowanie ich od czasu do czasu byłoby poważną PITA.

Tracisz także możliwość korzystania z porad bezpieczeństwa dostawcy systemu operacyjnego dotyczących luk w zabezpieczeniach CVE w celu ustalenia, czy twój system jest podatny na określone exploity dla tych pakietów. Okazało się to dla mnie poważnym problemem wiele lat później, chociaż nigdy bym się tego nie spodziewał.

Oprócz zaufania do rzetelności opiekunów i umiejętności technicznych, musisz zadać sobie pytanie, czy ufasz im, że nie przejdą do nowej pracy, która nie pozwoli im na utrzymanie repozytorium, ani na zawarcie związku małżeńskiego i posiadanie dzieci i już nie będą mieć czas itp.

Od tamtej pory bardzo skąpo podchodzę do korzystania z repozytoriów stron trzecich, szczególnie tych, które prowadzą tylko jedna osoba.

digitaladdictions
źródło
Dzięki! To są wszystkie pytania, które już zadaję sobie, jednak twoje doświadczenie jest częściowo odpowiedzią na moje główne pytanie. Teraz mam tylko nadzieję, że otrzymam bardziej szczegółowe informacje na temat repozytorium Webtatic, w przeciwnym razie myślę, że podążę za twoją radą, co jest również moim przeczuciem i co zawsze robiłem do tej pory. (Podobnie jak ty, chodzi o wersję PHP ...)
Niki,
4

Pytanie nie brzmi, czy ufamy Andy'emu, ale jeśli ufasz Andy'emu.

Nie znam repozytorium, ale przycisk darowizny sugeruje osobisty wysiłek. Zapraszamy do wniesienia wkładu, jeśli ma on dla Ciebie wartość.

Wygląda na to, że pakiety są podpisane przez GnuPG, więc można z całą pewnością zweryfikować, czy są autentyczne. Możesz także sprawdzić, czy jest on w sieci zaufania.

Jeśli chodzi o jakość lub bezpieczeństwo, najlepiej, jeśli ktoś inny przyjrzy się, jak działa repozytorium. To mogles byc ty. Zasubskrybuj wcześniejsze informacje o bezpieczeństwie i sprawdź, czy ich to dotyczy. Oceń pakiety tak, jak recenzent Fedory.

Jeśli ciągłość tych pakietów jest dla Ciebie ważna, zdobądź podobne umiejętności. Dowiedz się, jak pakować lub zatrudnić kogoś, kto może.

John Mahowald
źródło
1

Remi jest standardem dla najnowszych wersji PHP dla RHEL. Jest od dawna sprawdzonym i niezawodnym źródłem pakietów RPM, które jest aktywnie utrzymywane i zawiera tak wiele odpowiednich pakietów, jak to możliwe.

Źródło webtatic jest nieznane i niezaufane. Nie należy go w ogóle używać.

Znalazłem go w starszym systemie. Miał poważny wyciek pamięci. Zastąpiłem go Remi, dokładnie taką samą wersją PHP i nagle wszystko działa płynnie. Nie sądzę, że jest to nawet stabilna kompilacja.

jgmjgm
źródło
0

Ogólnie rzecz biorąc, chyba że wiesz , że istnieje funkcja, której naprawdę potrzebujesz i nie możesz bez niej żyć (ponieważ wiele osób uwierzy, że nie może, dopóki nie wybierzesz między „starym” lub niczym), a następnie trzymaj się pakietów dostawców.

Naucz swoich webdevów, dlaczego gałąź nie jest nieruchomą migawką, i pokaż im - PHP jest do tego świetny - w jaki sposób przekształcanie początkowe przynosi znacznie więcej błędów; i jak w wielu przypadkach czas reakcji na backport wokół problemu bezpieczeństwa jest faktycznie szybszy i bardziej niezawodnie dostarczany przez dystrybucję w ich utrzymywanym oddziale (ponieważ jest to czyjś priorytet i zadanie) niż w poprzedniej wersji OEM.

Możesz być tym, który faktycznie odnosi sukces, i jesteś winien to reszcie z nas, aby spróbować ;-)

użytkownik2066657
źródło
PHP jest dość kiepskim przykładem tego: prawie zawsze potrzebujemy wydań punktowych dla poprawek błędów, ale dystrybucje ich nie zapewniają. Oczywiście mają dobry powód. Ale dostępność repozytoriów, w których możemy uzyskać poprawki w wydaniach punktowych, jest niezwykle pomocne.
Michael Hampton
Podejrzewam, że używamy różnych dystrybucji. Nie widziałem braku poprawek i aktualizacji bezpieczeństwa w PHP, mimo że dystrybucja rozgałęziła się w pewnej wcześniejszej wersji, a wersja wydaje się zablokowana dla laika. rpm -q php --changelog pokazuje cotygodniowe aktualizacje z poprawkami błędów i mnóstwem aktualizacji bezpieczeństwa. Przepraszam, jeśli nie otrzymujesz tego samego przebiegu :-(
user2066657
Zdecydowanie różne dystrybucje. Nie widzę tego w PHP na RHEL 7.5 lub CentOS 7.5. Fedora zaktualizowała jednak pakiety PHP i generalnie nie ma tego problemu. Na szczęście Remi Collet, pracownik Red Hat, który buduje pakiety PHP RHEL, również utrzymuje repozytorium w wydaniach punktowych PHP. To jest jeden z powodów, dla których Red Hat go zatrudnił.
Michael Hampton
Hmm Patrzyłem na RH / Centos. Nie potrafię wyjaśnić, dlaczego nie widzisz tego samego - jestem w dzienniku zmian i przykro mi to widzieć. Chciałbym, żeby Remi zaktualizował SCL jeszcze trochę. Widzę tam spowolnienia (7.1.8, a nawet wydanie pakietu do aktualizacji). Byłem w większości przekonany, że przeprowadził się dziś rano. Gdyby tylko Fedora nie była muchą.
user2066657,
Naprawdę? Nie wiem na jakie pakiety patrzysz, ale nie widzę żadnych aktualizacji od wersji php-5.4.16-45.el7. Może patrzysz na coś z kolekcji oprogramowania? Mówiąc o tym, SCL są nieco wolniejsze. Jeśli naprawdę chcesz, aby wydania PHP były na bieżąco, wejdź
Michael Hampton