web-dev-qa-db-ja.com

Webtaticリポジトリの背後にいるのは誰か、あなたはそれを信頼していますか?

Webtaticリポジトリ には、CentOSとRedHatに役立つパッケージがたくさんあります。しかし、リポジトリは非常に不透明で、アンディとして知られている "Andrew Thompson"(ここではアンディとして知られています)の背後にある人物の情報を見つけるのに苦労しています。

彼はこれらすべての有用なパッケージを提供する素晴らしい仕事をしているようです。稼働中の会社のサーバーでリポジトリを使用する必要があり、非公式リポジトリを使用すると、すぐにアラームがトリガーされます。

  • 個人リポジトリですか?
  • それは会社によって支えられていますか?
  • 数年前から存在しているようですが、明日はどうですか? (私たち全員を拭くことができる巨大な小惑星の一部)
  • どれくらい安全ですか?次は欲しくないyum updateトロイの木馬をダウンロードします。
  • 提供されたパッケージのセキュリティ修正はどのくらい早く展開されますか? ....

実際のCentOS/RedHat管理者からのフィードバックは大歓迎です。

前もって感謝します

12
Niki

8年前に初めてLinux管理者として始めたときは、LAMPスタックをアップグレードするために人気のあるサードパーティのリポジトリを使用していました。それは一人で運営されていました。主な理由の1つは、RHEL 5に付属していたバージョンよりも新しいバージョンのPHP)を開発者から要求されたためです。

その人はリポジトリを放棄したため、セキュリティ更新を取得できなくなりましたが、RHELバージョンPHPも含まれているため、新しいパッケージをすべて削除してRHELパッケージに戻ることができませんでした古いブランチ。そのリポジトリのLAMPスタックに移動すると、少なくとも6ダース以上のパッケージに影響が出たため、これらのパッケージを維持し、時々手作業ですべて再コンパイルすることが、主要なPITAになります。

また、CVEの脆弱性に関するOSベンダーのセキュリティアドバイザリを使用して、システムがこれらのパッケージの特定のエクスプロイトに対して脆弱かどうかを判断することもできなくなります。当時は予想もしていなかったとしても、これは私にとって何年も後の大きな問題であることが判明しました。

したがって、メンテナーの整合性と技術的スキルを信頼することに加えて、リポジトリを維持することを許可しない新しい仕事に進まない、または結婚して子供ができなくなったと信頼しないかどうかを自問する必要があります。時間があるなど...

それ以来、私はサードパーティのリポジトリ、特に1人しか実行していないリポジトリの使用について非常に巧妙です。

5

問題は、アンディを信頼するかどうかではなく、アンディを信頼するかどうかです。

私はリポジトリに精通していませんが、寄付ボタンは個人的な努力を示唆しています。それがあなたに価値があるなら、自由に貢献してください。

パッケージはGnuPGで署名されているように見えるため、パッケージが本物であることをある程度確実に検証できます。彼が信頼関係にあるかどうかを確認することもできます。

品質またはセキュリティに関しては、リポジトリがどのように動作しているかを他の誰かが見ているのが最善です。これはあなたかもしれません。アップストリームのセキュリティアドバイザリを購読し、影響を受けるかどうかを確認します。 Fedoraのレビューアと同じようにパッケージを評価します。

これらのパッケージの継続性が重要な場合は、同様のスキルを身につけてください。パッケージングを学ぶか、できる人を雇ってください。

4
John Mahowald

Remiは、PHP for RHELの最新ビルドの標準です。彼は、積極的に維持されているRPMパッケージの長い間確立された信頼できるソースであり、可能な限り多くの関連パッケージを含みます。

Webtaticソースは不明であり、信頼されていません。使用すべきではありません。

レガシーシステムで実行されていることがわかりました。深刻なメモリリークがありました。完全に同じPHPバージョンで、突然すべてがスムーズに動作します。安定したコンパイルでさえないと思います。

1
jgmjgm

一般的に、あなたがknowでない限り、実際に真剣に必要であり、実際にそれなしでは生きられない機能があります(多くの人々は、「古い」か「何もない」のどちらかを選択するまでは、それができないと信じています)。次に、ベンダーパッケージを使用します。

ブランチが停滞したスナップショットではない理由をwebdevに教えて、それらを示します-PHPは、これに最適です-アップストリームリベースがはるかに多くのバグをもたらす方法と、多くの場合、応答セキュリティ問題のバックポートにかかる時間は、上流のOEMバージョンよりも(それが誰かの優先順位と仕事であるため)維持されたブランチのディストリビューションによって実際より速く、より確実に配信されます。

あなたは実際に成功する人かもしれません、そしてあなたはそれを試す私たちの残りにそれを負っています;-)

0
user2066657