Webtaticリポジトリの背後にいるのは誰ですか?

12

Webtaticリポジトリには、CentOSとRedHatに役立つパッケージがたくさんあります。しかし、リポジトリは非常に不透明であり、この背後にあるAndyとして知られる「Andrew Thompson」のアパートの背後にいる人物の情報を見つけるのに苦労しています。

彼は、これらすべての便利なパッケージを提供する素晴らしい仕事をしているようです。稼働中の会社のサーバーでリポジトリを使用する必要があり、非公式のリポジトリを使用するとすぐにアラームがトリガーされます。

  • 一人称リポジトリですか?
  • 会社に支援されていますか?
  • 今は数年間存在しているようですが、明日はどうですか?(私たち全員を拭くことができる巨大な小惑星の一部)
  • どのくらい安全ですか?次にyum updateトロイの木馬をダウンロードしたくありません。
  • 提供されたパッケージのセキュリティ修正プログラムはどれくらい迅速に展開されますか?....

実際のCentOS / RedHat管理者からのフィードバックは大歓迎です。

前もって感謝します

centos  redhat  repository 
ニキ
ソース
1
少なくとも2つの非常に異なる信頼レベルがあることに注意してください。開発者として、主にパッケージがクリーン(悪意を持って変更されていない)で合理的に最新であるかどうかを気にします。システム管理者として、私は長期的なサポートとメンテナーの寿命を非常に重視しています。
-jhominal
正しい。ここで私は、すべての5年以上のサーバーOS /ティーチを変更し、システム管理者として尋ねる
ニキ
システム管理者および開発者の両方として、適切なビルドのソースを使用することが重要です。そうしないと、バグや機能セットの制限を引き起こすような悪いビルドなどの問題が発生する危険があります。悪いソースは、-O2のようなものなしでパッケージを配布している可能性があります。
jgmjgm

回答:

5

8年前にLinux管理者として初めて仕事を始めたとき、私はLAMPスタックをアップグレードするために人気のあるサードパーティのリポジトリを使用していました。一人の個人によって運営されていました。主な理由の1つは、開発者がRHEL 5に付属していたものよりも新しいバージョンのPHPを要求していたことです。

その人がリポジトリを放棄したため、セキュリティ更新プログラムを入手できなくなりましたが、PHPのRHELバージョンが古すぎるブランチであるため、新しいパッケージをすべて削除してRHELパッケージに戻ることもできませんでした。そのリポジトリのLAMPスタックに移動すると、少なくとも半ダース以上のパッケージが影響を受けました。したがって、それらのパッケージを保守し、時々すべてを手作業で再コンパイルすることは、主要なPITAになります。

また、CVEの脆弱性に関するOSベンダーのセキュリティアドバイザリを使用して、システムがこれらのパッケージの特定のエクスプロイトに対して脆弱であるかどうかを判断することもできなくなります。このことは、私がその時に予想していなかったとしても、数年後の私にとって大きな問題であることがわかりました。

したがって、メンテナーの整合性と技術スキルに信頼を置くことに加えて、リポジトリを維持できない、または結婚して子供ができなくなった新しい仕事に移らないことを信頼するかどうかを自問する必要があります時間があるなど。

それ以来、私はサードパーティのリポジトリ、特にそれらを実行しているのが1人だけのリポジトリを使用することについて非常に巧妙でした。

デジタル中毒
ソース
ありがとう!これらはすべて私がすでに自分に尋ねている質問ですが、あなたの経験は私の主な質問に対する部分的な答えです。今、特にWebtaticリポジトリに関するより具体的なフィードバックが得られることを願っています。それ以外の場合は、あなたのアドバイスに従うと思います。(あなたと同じように、PHPバージョンについて...)
ニキ
4

問題は、アンディを信頼するかどうかではなく、アンディを信頼するかどうかです。

私はリポジトリに精通していませんが、寄付ボタンは個人的な努力を示唆しています。あなたに価値があるなら、気軽に貢献してください。

パッケージはGnuPGで署名されているように見えるため、パッケージが本物であることを確実に確認することができます。また、彼が信頼の輪の上にいるかどうかを確認することもできます。

品質またはセキュリティに関しては、リポジトリがどのように行われているかを他の誰かが見ているのが最善です。これはあなたかもしれません。アップストリームセキュリティアドバイザリを購読し、それらが影響を受けるかどうかを確認します。Fedoraのレビュー担当者と同じようにパッケージを評価します。

これらのパッケージの継続性が重要な場合は、同様のスキルを習得してください。パッケージングを学ぶか、できる人を雇います。

ジョン・マホワルド
ソース
1

Remiは、RHELのPHPの最新ビルドの標準です。彼は、RPMパッケージの長い間確立された信頼できるソースであり、積極的に保守されており、可能な限り多くの関連パッケージを含んでいます。

Webtaticソースは不明であり、信頼できません。まったく使用しないでください。

レガシーシステムで実行されていることがわかりました。深刻なメモリリークが発生していました。まったく同じPHPバージョンのRemiに置き換えたところ、突然すべてがスムーズに実行されました。安定したコンパイルでさえないと思います。

jgmjgm
ソース
0

一般的に、あなたが実際に真剣に必要な機能があり、実際にそれなしでは生きていけない機能があることを知らない限り(多くの人々は「古い」か「何もない」の選択になるまではできないと信じているため)、ベンダーパッケージを使い続けます。

ブランチが停滞したスナップショットではない理由をwebdevsに教え、それらを示します-PHPはこれに最適です-アップストリームリベースがはるかに多くのバグをもたらす方法。また、多くの場合、セキュリティ問題に関するバックポートの応答時間は、上流のOEMバージョンよりも、保守されたブランチのディストリビューションによって(誰かの優先順位と仕事であるため)実際に速く、より確実に配信されます。

実際に成功するのはあなたかもしれませんが、他の人に試してみてください。

user2066657
ソース
PHPはこのための非常に貧弱な例です。ほとんどの場合、バグ修正のためにポイントリリースが必要ですが、ディストリビューションはそれらを提供しません。もちろん、正当な理由があります。しかし、ポイントリリースでバグ修正を入手できるリポジトリを利用できると非常に役立ちます。
マイケルハンプトン
さまざまなディストリビューションを使用していると思われます。ディストリビューションが特定のアップストリームバージョンで分岐し、バージョンが素人にロックされているように見えても、PHPのバグ修正とセキュリティアップデートの欠如は見ていません。rpm -q php --changelogは、バグ修正を含む毎週の更新とセキュリティ更新を多数表示します。同じマイルを取得していない場合は申し訳ありません:
user2066657
明らかに異なるディストリビューション。RHEL 7.5またはCentOS 7.5のPHPには表示されません。ただし、FedoraはPHPパッケージを更新しているため、通常この問題は発生しません。幸いなことに、RHELのPHPパッケージを作成するRed Hatの従業員であるRemi Colletも、PHPポイントリリースでリポジトリを管理しています。これがRed Hatが彼を雇った理由の一部です。
マイケルハンプトン
うーん。私はRH / Centosのものを見ていました。あなたが同じ--changelogを見ない理由を説明することはできません。レミがもう少しSCLを更新してくれることを願っています。速度が低下しています(7.1.8であり、更新するパッケージリリースさえありません)。私は実際に、彼が今朝動いたと確信していました。Fedoraだけがカゲロウではなかったら。
user2066657
本当に?どのパッケージを見ているのかわかりませんが、php-5.4.16-45.el7以降の更新はありません。たぶん、あなたはソフトウェアコレクションから何かを見ていますか?そういえば、SCLは少し遅いペースです。実際にPHPのリリースが必要な場合は、rpms.remirepo.netにアクセス
マイケルハンプトン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.