Неофициальные / локальные репозитории и чем они отличаются от PPA в Launchpad

8

Я обычно склоняюсь к использованию PPA (Personal Package Archives), найденных на launchpad.net, но я все больше и больше замечаю, что некоторые репозитории создаются в других местах или на веб-сайте, который управляет пакетами таким же образом, как launchpad.

Итак, мои вопросы:

  • Что такое официальный и неофициальный репозиторий (Local Repository), в том числе созданные вне Launchpad.

  • Как репозитории, созданные за пределами Launchpad, сравниваются с теми, что находятся внутри него, с точки зрения безопасности, а затем любых других функций, которые оба предлагают.

  • Чем официальные репозитории программного обеспечения отличаются от тех, которые созданы сторонними PPA в Launchpad или за его пределами.

Луис Альварадо
источник
Вы упомянули создание репозиториев в Dropbox. Пользователи DropBox не могут создать хранилище APT dropbox.comиз-за ограничений на то, как называются внешние доступные URL-адреса, указывающие на пользовательский контент. dl.dropbox.comХранилище Dropbox в собственном хранилище, которое обеспечивает программное обеспечение Dropbox.
Элия ​​Каган,

Ответы:

6

Если вы доведите это до самых простых терминов:

Что такое официальный и неофициальный репозиторий (Local Repository), в том числе созданные вне Launchpad.

Официальный репозиторий является одним опубликован как часть Ubuntu, управляется Canonical и Ubuntu Motus.

В настоящее время они состоят из основного, ограниченного, юниверса, мультиверса, партнера, дополнений, а некоторые существуют в нескольких «состояниях» (-proposed, -updates, -backports и т. Д.).

Имена репо могут меняться со временем, но дело в том, что это так.

На зеркалах: содержимое (хеши файлов MD5 и т. Д.) Хранилища подписано ключом Ubuntu, поэтому даже если вы извлекаете официальные файлы из неофициального зеркала, вы можете быть совершенно уверены, что они являются исходными файлами ,


Как репозитории, созданные за пределами Launchpad, сравниваются с теми, что находятся внутри него, с точки зрения безопасности, а затем любых других функций, которые оба предлагают.

Вы не можете неявно сравнивать уровни безопасности между Launchpad PPA и другим неофициальным репо, размещенным в другом месте. Все сводится к тому, насколько вы доверяете человеку, управляющему репо.

Разница в том, что с Launchpad PPA вы можете видеть человека, который упаковывает вещи. В большинстве случаев вы можете увидеть источник. В других репо (например, dl.google.com или repo.steampowered.com) вы, вероятно, не знаете ни того, ни другого.

Доверие это странная вещь.

Функционально репо - это просто особая структура каталогов и файлов, размещенных в сети. Единственные специальные функции, которые я когда-либо видел, - это аутентификация, позволяющая загружать его только людям, купившим программное обеспечение, но это очень простая и едва ли особенная защита веб-сервера :)


Чем официальные репозитории программного обеспечения отличаются от тех, которые созданы сторонними PPA в Launchpad или за его пределами.

Это, пожалуй, самый большой из вопросов, и на него, вероятно, лучше всего ответить (если косвенно) другой вопрос: Как загрузить мое программное обеспечение в Ubuntu?

Официальное программное обеспечение репо должно иметь процесс разработки. Уровни тестирования, обеспечивающие качество и объем экспертной оценки. Сопровождающие PPA могут поощрять такой процесс, но это не то, на что вы можете рассчитывать. Некоторые лучше, чем другие.

Оли
источник
0

Только archive.ubuntu.com и security.ubuntu.com (и его зеркала) являются официальными репозиториями. Ничего другого, в том числе и PPA нет. Каждое PPA и стороннее репо отличается, вы не можете сравнить их в целом. например, у меня есть 2 PPA: один, который предоставляет вещи, которых нет в Ubuntu, и один с пакетами, в которых я принимаю решения об упаковке, отличные от Ubuntu. Не сопоставимы :)

Деннис Каарсемакер
источник
Это неверно (хотя это можно отредактировать, чтобы исправить). Официальные зеркала официальные тоже, например, us.archive.ubuntu.com, gb.archive.ubuntu.comи так далее. Большинство людей фактически не используют, archive.ubuntu.comпотому что это очень медленно, и Ubuntu автоматически настраивает систему на использование регионального зеркала как части установки (обычно даже без консультации с пользователем или упоминания о том, что он это делает).
Элия ​​Каган,
И неофициальные зеркала все еще официальные. Все пакеты и списки подписаны. Неважно, где вы получаете вещи, но они не будут легко установлены, если они не соответствуют их подписи.
Оли
Вы добавили текст «(и его зеркала)», но это не объясняет того, кто его еще не понимает. Хороший ответ на этот вопрос должен объяснить, как выяснить, является ли что-то зеркалом Ubuntu ... или, по крайней мере, объяснить, как распознавать наиболее часто называемые официальные зеркала Ubuntu.
Элия ​​Каган,
Я добавил бы это, если это добавило бы ценность человеку, задающему вопрос. Но он уже демонстрирует хорошие рабочие знания о том, как работают репозитории, так что это было бы излишним.
Деннис Каарсемакер
1
@DennisKaarsemaker Вопросы не только для одного человека, который их задал. Вот почему ответы общедоступны! Поэтому, даже если Луис Альварадо специально не просил об этом в интересах других , ответы должны быть четко объяснены. Но на самом деле Луис Альварадо действительно просил об этом для блага других - посмотрите этот чат (в котором Луис Альварадо присутствовал во время обсуждения) и это сообщение, в котором он сказал мне, что спросил .
Элия ​​Каган,