Webtaticリポジトリの背後にいるのは誰か、あなたはそれを信頼していますか？

8年前に初めてLinux管理者として始めたときは、LAMPスタックをアップグレードするために人気のあるサードパーティのリポジトリを使用していました。それは一人で運営されていました。主な理由の1つは、RHEL 5に付属していたバージョンよりも新しいバージョンのPHP）を開発者から要求されたためです。

その人はリポジトリを放棄したため、セキュリティ更新を取得できなくなりましたが、RHELバージョンPHPも含まれているため、新しいパッケージをすべて削除してRHELパッケージに戻ることができませんでした古いブランチ。そのリポジトリのLAMPスタックに移動すると、少なくとも6ダース以上のパッケージに影響が出たため、これらのパッケージを維持し、時々手作業ですべて再コンパイルすることが、主要なPITAになります。

また、CVEの脆弱性に関するOSベンダーのセキュリティアドバイザリを使用して、システムがこれらのパッケージの特定のエクスプロイトに対して脆弱かどうかを判断することもできなくなります。当時は予想もしていなかったとしても、これは私にとって何年も後の大きな問題であることが判明しました。

したがって、メンテナーの整合性と技術的スキルを信頼することに加えて、リポジトリを維持することを許可しない新しい仕事に進まない、または結婚して子供ができなくなったと信頼しないかどうかを自問する必要があります。時間があるなど...

それ以来、私はサードパーティのリポジトリ、特に1人しか実行していないリポジトリの使用について非常に巧妙です。

問題は、アンディを信頼するかどうかではなく、アンディを信頼するかどうかです。

私はリポジトリに精通していませんが、寄付ボタンは個人的な努力を示唆しています。それがあなたに価値があるなら、自由に貢献してください。

パッケージはGnuPGで署名されているように見えるため、パッケージが本物であることをある程度確実に検証できます。彼が信頼関係にあるかどうかを確認することもできます。

品質またはセキュリティに関しては、リポジトリがどのように動作しているかを他の誰かが見ているのが最善です。これはあなたかもしれません。アップストリームのセキュリティアドバイザリを購読し、影響を受けるかどうかを確認します。 Fedoraのレビューアと同じようにパッケージを評価します。

これらのパッケージの継続性が重要な場合は、同様のスキルを身につけてください。パッケージングを学ぶか、できる人を雇ってください。

Remiは、PHP for RHELの最新ビルドの標準です。彼は、積極的に維持されているRPMパッケージの長い間確立された信頼できるソースであり、可能な限り多くの関連パッケージを含みます。

Webtaticソースは不明であり、信頼されていません。使用すべきではありません。

レガシーシステムで実行されていることがわかりました。深刻なメモリリークがありました。完全に同じPHPバージョンで、突然すべてがスムーズに動作します。安定したコンパイルでさえないと思います。

一般的に、あなたがknowでない限り、実際に真剣に必要であり、実際にそれなしでは生きられない機能があります（多くの人々は、「古い」か「何もない」のどちらかを選択するまでは、それができないと信じています）。次に、ベンダーパッケージを使用します。

ブランチが停滞したスナップショットではない理由をwebdevに教えて、それらを示します-PHPは、これに最適です-アップストリームリベースがはるかに多くのバグをもたらす方法と、多くの場合、応答セキュリティ問題のバックポートにかかる時間は、上流のOEMバージョンよりも（それが誰かの優先順位と仕事であるため）維持されたブランチのディストリビューションによって実際より速く、より確実に配信されます。

あなたは実際に成功する人かもしれません、そしてあなたはそれを試す私たちの残りにそれを負っています;-)