Кто стоит за хранилищем Webtatic и доверяете ли вы ему?

12

В Webtatic репозитории есть много полезных пакетов для CentOS и RedHat. Однако хранилище очень непрозрачно, и мне трудно найти информацию о том, кто за этим стоит, кроме «Эндрю Томпсона», известного как Энди.

Кажется, он отлично справляется со всеми этими полезными пакетами. Мне нужно использовать репозиторий на действующих серверах компании, а использование неофициальных репозиториев немедленно вызывает тревогу.

  • Это хранилище для одного человека?
  • Поддерживается ли это компанией?
  • Кажется, он существует уже несколько лет, но как насчет завтра? (кроме гигантского астероида, который может стереть нас всех)
  • Насколько это безопасно? Я не хочу, чтобы рядом yum updateскачать троян.
  • Как быстро внедряются исправления безопасности из предоставленных пакетов? ....

Отзывы от реальных администраторов CentOS / RedHat будут высоко оценены.

заранее спасибо

centos redhat repository Niki
источник
1
Я хотел бы отметить, что есть как минимум два очень разных уровня доверия: как разработчик, я забочусь главным образом о том, являются ли пакеты чистыми (не изменены злонамеренно) и достаточно ли они современны. Я как системный администратор очень беспокоюсь о долгосрочной поддержке и долговечности сопровождающих.
jhominal
Верный. Здесь я спрашиваю как системный администратор, меняю серверную ОС / преподаю только каждые 5 и более лет
Ники,
Как системный администратор и разработчик, важно использовать достойные источники сборок. В противном случае вы рискуете столкнуться с такими проблемами, как плохие сборки, вызывающие ошибки или ограничения в наборе функций и т. Д. Плохим источником может быть распространение пакетов без таких вещей, как -O2, и вы будете совершенно не осведомлены об этом.
jgmjgm

Ответы:

5

Когда я впервые начал работать в качестве администратора Linux 8 лет назад, я использовал популярный сторонний репозиторий для обновления своего стека LAMP. Им управлял один человек. Одной из основных причин было то, что разработчики давили на меня за более новую версию PHP, чем та, которая шла с RHEL 5. В итоге она меня укусила.

Этот человек отказался от репозиториев, поэтому я больше не получал обновления безопасности, но я также не мог удалить все более новые пакеты и вернуться к пакетам RHEL из-за версии PHP RHEL из слишком старой ветки. Переход к стеку LAMP этого хранилища затронул как минимум полдюжины пакетов или более. Таким образом, поддержание этих пакетов и перекомпиляция их всех вручную время от времени будет важной PITA.

Вы также теряете возможность использовать рекомендации по безопасности поставщика ОС в отношении уязвимостей CVE, чтобы определить, является ли ваша система уязвимой для определенных эксплойтов для этих пакетов. Это оказалось для меня серьезной проблемой спустя годы, хотя я бы никогда не ожидал в то время.

Таким образом, помимо доверия к честности и техническим навыкам сопровождающих, вы должны спросить себя, доверяете ли вы им, чтобы они не переходили на новую работу, которая не позволит им сохранить хранилище, или они поженятся и будут иметь детей и больше не будут есть время и т.д ....

С тех пор я очень осторожен в использовании любых сторонних репозиториев, особенно тех, в которых работает только один человек.

digitaladdictions
источник
Благодарность! Это все вопросы, которые я уже задаю себе, однако ваш опыт частично является ответом на мой главный вопрос. Теперь я надеюсь, что смогу получить более конкретные отзывы о репозитории Webtatic в частности, в противном случае, я думаю, последую вашему совету, что также является моим внутренним чувством и тем, что я всегда делал до сих пор. (Как и вы, речь идет о версии PHP ...)
Ники,
4

Вопрос не в том, доверяем ли мы Энди, а в том, доверяете ли вы Энди.

Я не знаком с хранилищем, но кнопка пожертвования предполагает личные усилия. Не стесняйтесь вносить свой вклад, если это имеет значение для вас.

Пакеты выглядят как подписанные GnuPG, поэтому можно с уверенностью проверить, что пакеты являются подлинными. Вы также можете проверить, находится ли он в сети доверия.

Что касается качества или безопасности, лучше всего, если кто-то еще посмотрит, как работает репозиторий. Это может быть ты. Подпишитесь на последующие рекомендации по безопасности и проверьте, не затронуты ли они. Оцените пакеты как рецензент для Fedora.

Если для вас важна преемственность этих пакетов, приобретите аналогичные навыки. Изучите упаковку или наймите кого-нибудь, кто может.

Джон Маховальд
источник
1

Remi является стандартом для последних сборок PHP для RHEL. Он является давним и надежным источником пакетов RPM, который активно поддерживается и включает в себя как можно больше соответствующих пакетов.

Веб-источник неизвестен и не заслуживает доверия. Это не должно использоваться вообще.

Я обнаружил, что он работает на устаревшей системе. У него была серьезная утечка памяти. Я заменил его на Remi, точно такую ​​же версию PHP, и вдруг все работает гладко. Я не думаю, что это даже стабильная компиляция.

jgmjgm
источник
0

В общем, если вы не знаете, что есть функция, в которой вы действительно нуждаетесь и без которой не можете жить (многие люди будут верить, что они не смогут… пока не будет выбора между «старым» или ничем), тогда придерживайтесь пакетов поставщиков.

Научите своих веб-разработчиков, почему ветвь не является застойным снимком, и покажите им - PHP отлично подходит для этого - как перебазирование вверх по течению приносит гораздо больше ошибок; и как во многих случаях время отклика для бэкпорта вокруг проблемы безопасности на самом деле быстрее и надежнее доставляется дистрибутивом в поддерживаемой ветке (потому что это чей-то приоритет и работа), чем в вышестоящей OEM-версии.

Вы можете быть тем, кто действительно преуспевает, и вы обязаны сделать это для остальных из нас ;-)

user2066657
источник
PHP - довольно плохой пример для этого: нам почти всегда нужны точечные выпуски для исправлений ошибок, но дистрибутивы их не предоставляют. У них есть веская причина, конечно. Но наличие репозиториев, в которых мы можем получить исправления в точечных выпусках, чрезвычайно полезно.
Майкл Хэмптон
Я подозреваю, что мы используем разные дистрибутивы. Я не видел недостатка исправления ошибок и обновлений безопасности в PHP, хотя дистрибутив разветвился в определенной версии апстрима и версия кажется заблокированной для неспециалистов. rpm -q php --changelog показывает еженедельные обновления с исправлениями ошибок и множеством обновлений безопасности. Извините, если вы не получаете такой же пробег :-(
user2066657
Определенно разные дистрибутивы. Я не вижу этого в PHP на RHEL 7.5 или CentOS 7.5. Однако Fedora обновила пакеты PHP и, как правило, не имеет этой проблемы. К счастью, Реми Коллет, сотрудник Red Hat, который создает PHP-пакеты RHEL, также поддерживает репозитории с точечными релизами PHP. Это одна из причин, по которой Red Hat нанял его.
Майкл Хэмптон
Хм. Я смотрел на RH / Centos. Я не могу объяснить, почему вы не видите того же самого --changelog, и мне жаль это видеть. Я хотел бы, чтобы Реми обновил SCL немного больше. Я вижу там замедления (7.1.8 и даже не выпуск пакета для обновления). Я был в основном убежден, что он ушел сегодня утром. Если бы только Федора не была подёнкой.
user2066657
В самом деле? Я не знаю, какие пакеты вы просматриваете, но я не вижу обновлений с php-5.4.16-45.el7. Может быть, вы смотрите на что-то из коллекции программного обеспечения? Говоря об этом, SCL находятся на несколько более медленном темпе. Если вы действительно хотите, чтобы релизы PHP были такими, какие они есть, откройте rpms.remirepo.net
Майкл Хэмптон