Repositori Webtatic memiliki banyak paket berguna untuk CentOS dan RedHat. Namun repositori sangat buram dan saya memiliki waktu yang sulit untuk menemukan informasi tentang siapa di belakangnya, appart dari "Andrew Thompson", yang dikenal sebagai Andy di sini.
Dia tampaknya melakukan pekerjaan yang hebat dengan menyediakan semua paket yang bermanfaat ini. Saya perlu menggunakan repositori di server perusahaan langsung dan menggunakan repositori tidak resmi segera memicu alarm pada saya.
- Apakah ini repositori satu orang?
- Apakah ini didukung oleh perusahaan?
- Tampaknya ada selama beberapa tahun sekarang, tetapi bagaimana dengan besok? (Terlepas dari asteroid raksasa yang dapat menghapus kita semua)
- Seberapa amankah itu? Saya tidak ingin selanjutnya
yum update
mengunduh trojan. - Seberapa cepat perbaikan keamanan digunakan untuk paket yang disediakan? ....
Umpan balik dari administrator CentOS / RedHat kehidupan nyata akan sangat dihargai.
Terima kasih sebelumnya
centos
redhat
repository
Niki
sumber
sumber
Jawaban:
Kembali ketika saya pertama kali mulai sebagai admin Linux 8 tahun yang lalu saya biasa menggunakan repositori pihak ketiga yang populer untuk meningkatkan tumpukan LAMP saya. Dijalankan oleh satu individu. Salah satu alasan utama adalah pengembang menekan saya untuk versi PHP yang lebih baru daripada apa yang datang dengan RHEL 5. Itu akhirnya menggigit saya.
Orang itu meninggalkan repositori sehingga saya tidak lagi mendapatkan pembaruan keamanan, tetapi saya juga tidak bisa menghapus semua paket yang lebih baru dan kembali ke paket RHEL karena versi PHP dari RHEL berasal dari cabang yang terlalu lama. Pindah ke tumpukan LAMP repositori itu menyentuh setidaknya setengah lusin paket atau lebih. Jadi, memelihara paket-paket itu dan menyusunnya kembali dengan tangan dari waktu ke waktu akan menjadi PITA utama.
Anda juga kehilangan kemampuan untuk menggunakan nasihat keamanan vendor OS tentang kerentanan CVE untuk menentukan apakah sistem Anda rentan atau tidak terhadap eksploitasi tertentu untuk paket-paket itu. Ini terbukti menjadi masalah besar bagi saya bertahun-tahun kemudian, meskipun saya tidak akan pernah mengantisipasi pada saat itu.
Jadi, selain memiliki kepercayaan pada integritas pengelola dan keterampilan teknis, Anda harus bertanya pada diri sendiri apakah Anda memercayai mereka untuk tidak pindah ke pekerjaan baru yang tidak akan memungkinkan mereka untuk mempertahankan repositori, atau menikah dan punya anak dan tidak lagi punya waktu, dll ....
Sejak itu saya sangat gelisah tentang penggunaan repositori pihak ketiga, terutama yang hanya memiliki satu orang yang menjalankannya.
sumber
Pertanyaannya bukan apakah kita mempercayai Andy, tetapi apakah Anda mempercayai Andy.
Saya tidak terbiasa dengan repositori tetapi tombol donasi menunjukkan upaya pribadi. Jangan ragu untuk berkontribusi jika memiliki nilai bagi Anda.
Paket tampaknya ditandatangani oleh GnuPG, sehingga dimungkinkan untuk memverifikasi dengan pasti bahwa paket tersebut asli. Anda juga dapat memeriksa apakah dia ada di web kepercayaan.
Mengenai kualitas atau keamanan, yang terbaik jika orang lain melihat bagaimana repositori lakukan. Ini bisa jadi kamu. Berlangganan ke penasihat keamanan hulu dan periksa apakah mereka terpengaruh. Mengevaluasi paket-paket seperti yang dilakukan oleh reviewer untuk Fedora.
Jika kesinambungan paket ini penting bagi Anda, dapatkan keterampilan serupa. Pelajari pengemasan atau pekerjakan seseorang yang bisa.
sumber
Remi adalah standar untuk versi PHP terbaru untuk RHEL. Ia adalah sumber yang telah lama mapan dan dapat diandalkan untuk paket RPM yang sedang dipelihara secara aktif dan mencakup sebanyak mungkin paket yang relevan.
Sumber webtatic tidak diketahui dan tidak dipercaya. Seharusnya tidak digunakan sama sekali.
Saya menemukan itu berjalan pada sistem warisan. Ada kebocoran memori serius di dalamnya. Saya menggantinya dengan Remi, versi PHP yang persis sama dan tiba-tiba semuanya berjalan lancar. Saya tidak berpikir itu bahkan kompilasi yang stabil.
sumber
Secara umum, kecuali Anda tahu ada fitur yang benar-benar Anda butuhkan dan benar-benar tidak dapat hidup tanpanya (karena banyak orang akan percaya mereka tidak bisa .. sampai itu pilihan antara 'lama' atau tidak sama sekali) maka tetaplah dengan paket vendor.
Ajari webdev Anda mengapa cabang bukan snapshot stagnan, dan tunjukkan pada mereka - PHP adalah yang terbaik untuk ini - bagaimana reboisasi hulu membawa lebih banyak bug; dan bagaimana dalam banyak kasus, waktu respons untuk backport seputar masalah keamanan sebenarnya lebih cepat dan lebih andal disampaikan oleh distro di cabang yang dikelola (karena itu adalah prioritas dan pekerjaan seseorang) daripada di versi OEM hulu.
Anda mungkin orang yang benar-benar berhasil, dan Anda berhutang kepada kami untuk mencoba ;-)
sumber