Siapa di belakang repositori Webtatic dan apakah Anda mempercayainya

12

Repositori Webtatic memiliki banyak paket berguna untuk CentOS dan RedHat. Namun repositori sangat buram dan saya memiliki waktu yang sulit untuk menemukan informasi tentang siapa di belakangnya, appart dari "Andrew Thompson", yang dikenal sebagai Andy di sini.

Dia tampaknya melakukan pekerjaan yang hebat dengan menyediakan semua paket yang bermanfaat ini. Saya perlu menggunakan repositori di server perusahaan langsung dan menggunakan repositori tidak resmi segera memicu alarm pada saya.

  • Apakah ini repositori satu orang?
  • Apakah ini didukung oleh perusahaan?
  • Tampaknya ada selama beberapa tahun sekarang, tetapi bagaimana dengan besok? (Terlepas dari asteroid raksasa yang dapat menghapus kita semua)
  • Seberapa amankah itu? Saya tidak ingin selanjutnya yum updatemengunduh trojan.
  • Seberapa cepat perbaikan keamanan digunakan untuk paket yang disediakan? ....

Umpan balik dari administrator CentOS / RedHat kehidupan nyata akan sangat dihargai.

Terima kasih sebelumnya

Niki
sumber
1
Saya ingin mencatat bahwa setidaknya ada dua tingkat kepercayaan yang sangat berbeda: sebagai pengembang, saya terutama peduli jika paket-paketnya bersih (tidak diubah dengan jahat) dan cukup terbaru. Adalah sebagai sysadmin bahwa saya sangat peduli dengan dukungan jangka panjang, dan umur panjang para pengelola.
jhominal
Benar. Di sini saya bertanya sebagai sysadmin, mengubah server OS / mengajar hanya setiap 5 tahun atau lebih
Niki
Baik sebagai admin sistem dan pengembang, penting untuk menggunakan sumber build yang layak. Kalau tidak, Anda akan berisiko mengalami masalah seperti build buruk yang menyebabkan bug atau keterbatasan dalam set fitur, dll. Sumber yang buruk mungkin mendistribusikan paket tanpa hal-hal seperti -O2 dan Anda akan sama sekali tidak mengerti tentang hal itu.
jgmjgm

Jawaban:

5

Kembali ketika saya pertama kali mulai sebagai admin Linux 8 tahun yang lalu saya biasa menggunakan repositori pihak ketiga yang populer untuk meningkatkan tumpukan LAMP saya. Dijalankan oleh satu individu. Salah satu alasan utama adalah pengembang menekan saya untuk versi PHP yang lebih baru daripada apa yang datang dengan RHEL 5. Itu akhirnya menggigit saya.

Orang itu meninggalkan repositori sehingga saya tidak lagi mendapatkan pembaruan keamanan, tetapi saya juga tidak bisa menghapus semua paket yang lebih baru dan kembali ke paket RHEL karena versi PHP dari RHEL berasal dari cabang yang terlalu lama. Pindah ke tumpukan LAMP repositori itu menyentuh setidaknya setengah lusin paket atau lebih. Jadi, memelihara paket-paket itu dan menyusunnya kembali dengan tangan dari waktu ke waktu akan menjadi PITA utama.

Anda juga kehilangan kemampuan untuk menggunakan nasihat keamanan vendor OS tentang kerentanan CVE untuk menentukan apakah sistem Anda rentan atau tidak terhadap eksploitasi tertentu untuk paket-paket itu. Ini terbukti menjadi masalah besar bagi saya bertahun-tahun kemudian, meskipun saya tidak akan pernah mengantisipasi pada saat itu.

Jadi, selain memiliki kepercayaan pada integritas pengelola dan keterampilan teknis, Anda harus bertanya pada diri sendiri apakah Anda memercayai mereka untuk tidak pindah ke pekerjaan baru yang tidak akan memungkinkan mereka untuk mempertahankan repositori, atau menikah dan punya anak dan tidak lagi punya waktu, dll ....

Sejak itu saya sangat gelisah tentang penggunaan repositori pihak ketiga, terutama yang hanya memiliki satu orang yang menjalankannya.

digitaladdictions
sumber
Terima kasih! Ini semua pertanyaan yang sudah saya tanyakan pada diri saya, tetapi pengalaman Anda sebagian merupakan jawaban untuk pertanyaan utama saya. Sekarang saya hanya berharap bisa mendapatkan umpan balik yang lebih spesifik tentang repo Webtatic pada khususnya, kalau tidak saya pikir akan mengikuti saran Anda, yang juga merupakan naluri saya dan apa yang selalu saya lakukan sampai sekarang. (Seperti Anda, ini tentang versi PHP ...)
Niki
4

Pertanyaannya bukan apakah kita mempercayai Andy, tetapi apakah Anda mempercayai Andy.

Saya tidak terbiasa dengan repositori tetapi tombol donasi menunjukkan upaya pribadi. Jangan ragu untuk berkontribusi jika memiliki nilai bagi Anda.

Paket tampaknya ditandatangani oleh GnuPG, sehingga dimungkinkan untuk memverifikasi dengan pasti bahwa paket tersebut asli. Anda juga dapat memeriksa apakah dia ada di web kepercayaan.

Mengenai kualitas atau keamanan, yang terbaik jika orang lain melihat bagaimana repositori lakukan. Ini bisa jadi kamu. Berlangganan ke penasihat keamanan hulu dan periksa apakah mereka terpengaruh. Mengevaluasi paket-paket seperti yang dilakukan oleh reviewer untuk Fedora.

Jika kesinambungan paket ini penting bagi Anda, dapatkan keterampilan serupa. Pelajari pengemasan atau pekerjakan seseorang yang bisa.

John Mahowald
sumber
1

Remi adalah standar untuk versi PHP terbaru untuk RHEL. Ia adalah sumber yang telah lama mapan dan dapat diandalkan untuk paket RPM yang sedang dipelihara secara aktif dan mencakup sebanyak mungkin paket yang relevan.

Sumber webtatic tidak diketahui dan tidak dipercaya. Seharusnya tidak digunakan sama sekali.

Saya menemukan itu berjalan pada sistem warisan. Ada kebocoran memori serius di dalamnya. Saya menggantinya dengan Remi, versi PHP yang persis sama dan tiba-tiba semuanya berjalan lancar. Saya tidak berpikir itu bahkan kompilasi yang stabil.

jgmjgm
sumber
0

Secara umum, kecuali Anda tahu ada fitur yang benar-benar Anda butuhkan dan benar-benar tidak dapat hidup tanpanya (karena banyak orang akan percaya mereka tidak bisa .. sampai itu pilihan antara 'lama' atau tidak sama sekali) maka tetaplah dengan paket vendor.

Ajari webdev Anda mengapa cabang bukan snapshot stagnan, dan tunjukkan pada mereka - PHP adalah yang terbaik untuk ini - bagaimana reboisasi hulu membawa lebih banyak bug; dan bagaimana dalam banyak kasus, waktu respons untuk backport seputar masalah keamanan sebenarnya lebih cepat dan lebih andal disampaikan oleh distro di cabang yang dikelola (karena itu adalah prioritas dan pekerjaan seseorang) daripada di versi OEM hulu.

Anda mungkin orang yang benar-benar berhasil, dan Anda berhutang kepada kami untuk mencoba ;-)

pengguna2066657
sumber
PHP adalah contoh yang sangat buruk untuk ini: Kita hampir selalu membutuhkan rilis titik untuk perbaikan bug, tetapi distro tidak menyediakannya. Mereka punya alasan yang bagus, tentu saja. Tetapi memiliki repo tersedia di mana kita bisa mendapatkan perbaikan bug dalam rilis titik sangat membantu.
Michael Hampton
Kami menggunakan distro yang berbeda, saya kira. Saya belum melihat kurangnya perbaikan bug dan pembaruan keamanan di PHP, meskipun distro telah bercabang pada versi hulu tertentu dan versi tersebut tampaknya terkunci ke awam. rpm -q php --changelog menampilkan pembaruan mingguan dengan banyak perbaikan bug dan pembaruan keamanan. Maaf jika Anda tidak mendapatkan jarak tempuh yang sama :-(
user2066657
Distro yang jelas berbeda. Saya tidak melihat itu di PHP pada RHEL 7.5 atau CentOS 7.5. Fedora telah memperbarui paket PHP, dan umumnya tidak memiliki masalah ini. Untungnya Remi Collet, karyawan Red Hat yang membuat paket-paket PHP RHEL, juga mengelola repo dengan rilis point PHP. Yang merupakan bagian dari alasan Red Hat mempekerjakannya.
Michael Hampton
Hmm. Saya melihat yang RH / Centos. Saya tidak bisa menjelaskan mengapa Anda tidak melihat hal yang sama - changel saya, dan saya menyesal melihatnya. Saya berharap Remi akan memperbarui SCL sedikit lagi. Saya melihat perlambatan di sana (7.1.8 dan bahkan tidak ada rilis paket untuk diperbarui). Aku sebenarnya yakin dia telah pindah, pagi ini. Kalau saja Fedora bukan lalat capung.
user2066657
Betulkah? Saya tidak tahu paket apa yang Anda cari tetapi saya tidak melihat pembaruan sejak php-5.4.16-45.el7. Mungkin Anda sedang melihat sesuatu dari koleksi perangkat lunak? Omong-omong, SCL sedikit lebih lambat. Jika Anda benar-benar menginginkan rilis PHP ketika itu terjadi, tekan rpms.remirepo.net
Michael Hampton