Repozytorium Webtatic zawiera wiele przydatnych pakietów dla CentOS i RedHat. Jednak repozytorium jest bardzo nieprzejrzyste i trudno mi znaleźć informacje na temat tego, kto za nim stoi, poza „Andrew Thompsonem”, znanym tutaj jako Andy.
Wydaje się, że wykonuje świetną robotę, dostarczając wszystkie te przydatne pakiety. Muszę korzystać z repozytorium na działających serwerach firmowych, a używanie nieoficjalnych repozytoriów natychmiast wywołuje we mnie alarm.
- Czy to repozytorium dla jednej osoby?
- Czy jest wspierany przez firmę?
- Wydaje się, że istnieje od kilku lat, ale co powiesz na jutro? (oprócz gigantycznej asteroidy, która może nas wszystkich wytrzeć)
- Jak bezpieczne to jest? Nie chcę następnie
yum update
pobierać trojana. - Jak szybko wdrażane są poprawki bezpieczeństwa dostarczonych pakietów? …
Informacje zwrotne od prawdziwych administratorów CentOS / RedHat będą bardzo mile widziane.
Z góry dziękuję
centos
redhat
repository
Niki
źródło
źródło
Odpowiedzi:
Kiedy po raz pierwszy zacząłem jako administrator systemu Linux 8 lat temu korzystałem z popularnego repozytorium innej firmy, aby uaktualnić mój stos LAMP. Był prowadzony przez jedną osobę. Jednym z głównych powodów było to, że programiści naciskali mnie na nowszą wersję PHP niż w przypadku RHEL 5. Ostatecznie mnie gryzło.
Osoba porzuciła repozytoria, więc nie dostawałem już aktualizacji zabezpieczeń, ale nie mogłem również usunąć wszystkich nowszych pakietów i wrócić do pakietów RHEL, ponieważ wersja RHEL PHP pochodzi ze zbyt starej gałęzi. Przejście do stosu LAMP tego repozytorium dotknęło co najmniej pół tuzina lub więcej pakietów. Tak więc utrzymanie tych pakietów i rekompilowanie ich od czasu do czasu byłoby poważną PITA.
Tracisz także możliwość korzystania z porad bezpieczeństwa dostawcy systemu operacyjnego dotyczących luk w zabezpieczeniach CVE w celu ustalenia, czy twój system jest podatny na określone exploity dla tych pakietów. Okazało się to dla mnie poważnym problemem wiele lat później, chociaż nigdy bym się tego nie spodziewał.
Oprócz zaufania do rzetelności opiekunów i umiejętności technicznych, musisz zadać sobie pytanie, czy ufasz im, że nie przejdą do nowej pracy, która nie pozwoli im na utrzymanie repozytorium, ani na zawarcie związku małżeńskiego i posiadanie dzieci i już nie będą mieć czas itp.
Od tamtej pory bardzo skąpo podchodzę do korzystania z repozytoriów stron trzecich, szczególnie tych, które prowadzą tylko jedna osoba.
źródło
Pytanie nie brzmi, czy ufamy Andy'emu, ale jeśli ufasz Andy'emu.
Nie znam repozytorium, ale przycisk darowizny sugeruje osobisty wysiłek. Zapraszamy do wniesienia wkładu, jeśli ma on dla Ciebie wartość.
Wygląda na to, że pakiety są podpisane przez GnuPG, więc można z całą pewnością zweryfikować, czy są autentyczne. Możesz także sprawdzić, czy jest on w sieci zaufania.
Jeśli chodzi o jakość lub bezpieczeństwo, najlepiej, jeśli ktoś inny przyjrzy się, jak działa repozytorium. To mogles byc ty. Zasubskrybuj wcześniejsze informacje o bezpieczeństwie i sprawdź, czy ich to dotyczy. Oceń pakiety tak, jak recenzent Fedory.
Jeśli ciągłość tych pakietów jest dla Ciebie ważna, zdobądź podobne umiejętności. Dowiedz się, jak pakować lub zatrudnić kogoś, kto może.
źródło
Remi jest standardem dla najnowszych wersji PHP dla RHEL. Jest od dawna sprawdzonym i niezawodnym źródłem pakietów RPM, które jest aktywnie utrzymywane i zawiera tak wiele odpowiednich pakietów, jak to możliwe.
Źródło webtatic jest nieznane i niezaufane. Nie należy go w ogóle używać.
Znalazłem go w starszym systemie. Miał poważny wyciek pamięci. Zastąpiłem go Remi, dokładnie taką samą wersją PHP i nagle wszystko działa płynnie. Nie sądzę, że jest to nawet stabilna kompilacja.
źródło
Ogólnie rzecz biorąc, chyba że wiesz , że istnieje funkcja, której naprawdę potrzebujesz i nie możesz bez niej żyć (ponieważ wiele osób uwierzy, że nie może, dopóki nie wybierzesz między „starym” lub niczym), a następnie trzymaj się pakietów dostawców.
Naucz swoich webdevów, dlaczego gałąź nie jest nieruchomą migawką, i pokaż im - PHP jest do tego świetny - w jaki sposób przekształcanie początkowe przynosi znacznie więcej błędów; i jak w wielu przypadkach czas reakcji na backport wokół problemu bezpieczeństwa jest faktycznie szybszy i bardziej niezawodnie dostarczany przez dystrybucję w ich utrzymywanym oddziale (ponieważ jest to czyjś priorytet i zadanie) niż w poprzedniej wersji OEM.
Możesz być tym, który faktycznie odnosi sukces, i jesteś winien to reszcie z nas, aby spróbować ;-)
źródło