Chi è il repository Webtatic dietro e ti fidi di esso


12

Il repository Webtatic ha molti pacchetti utili per CentOS e RedHat. Tuttavia il repository è molto opaco e ho difficoltà a trovare informazioni su chi c'è dietro, a parte "Andrew Thompson", noto come Andy da queste parti.

Sembra che stia facendo un ottimo lavoro fornendo tutti questi utili pacchetti. Devo utilizzare il repository su server aziendali attivi e l'utilizzo di repository non ufficiali fa scattare immediatamente un allarme in me.

  • È un repository per una sola persona?
  • È supportato da un'azienda?
  • Sembra esistere da qualche anno ormai, ma per quanto riguarda domani? (a parte l'asteroide gigante che può spazzarci via tutti)
  • Quanto è sicuro? Non desidero yum updatequindi scaricare un trojan.
  • Con quale rapidità vengono implementate le correzioni di sicurezza dei pacchetti forniti? ....

Il feedback degli amministratori CentOS / RedHat nella vita reale sarà molto apprezzato.

Grazie in anticipo


1
Vorrei notare che ci sono almeno due livelli di fiducia molto diversi: come sviluppatore, mi preoccupo principalmente se i pacchetti sono puliti (non modificati in modo dannoso) e ragionevolmente aggiornati. È come un amministratore di sistema che mi preoccupo enormemente del supporto a lungo termine e della longevità dei manutentori.
jhominal

Corretta. Qui chiedo come amministratore di sistema, cambiando il sistema operativo del server / insegnando solo ogni 5 o più anni
Niki

Sia come amministratore di sistema che come sviluppatore è importante utilizzare fonti decenti di build. Altrimenti rischierai di avere problemi come build errate che causano bug o limitazioni nei set di funzionalità, ecc. Una fonte cattiva potrebbe essere la distribuzione di pacchetti senza cose come -O2 e sarai totalmente all'oscuro.
jgmjgm,

Risposte:


5

Quando ho iniziato come amministratore Linux 8 anni fa, utilizzavo un noto repository di terze parti per aggiornare il mio stack LAMP. Era gestito da un singolo individuo. Uno dei motivi principali era che gli sviluppatori mi facevano pressioni per una versione più recente di PHP rispetto a quella fornita con RHEL 5. Alla fine mi ha morso.

La persona ha abbandonato i repository, quindi non ottenevo più aggiornamenti di sicurezza, ma non riuscivo nemmeno a rimuovere tutti i pacchetti più recenti e tornare ai pacchetti RHEL a causa della versione RHEL di PHP che proveniva da un ramo troppo vecchio. Passare allo stack LAMP di quel repository ha toccato almeno una mezza dozzina di pacchetti o più. Pertanto, mantenere questi pacchetti e ricompilarli tutti di volta in volta sarebbe un grande PITA.

Si perde anche la possibilità di utilizzare gli avvisi di sicurezza del fornitore del sistema operativo in merito alle vulnerabilità CVE per determinare se il proprio sistema è o meno vulnerabile a un determinato exploit per tali pacchetti. Questo si è rivelato un grosso problema per me anni dopo, anche se non avrei mai previsto in quel momento.

Quindi, oltre ad avere fiducia nell'integrità e nelle capacità tecniche dei manutentori, devi chiederti se ti fidi di non passare a un nuovo lavoro che non permetterà loro di mantenere il repository, o sposarsi e avere figli e non più avere tempo, ecc ....

Da allora sono stato molto scaltro sull'uso di repository di terze parti, in particolare quelli che hanno solo una persona che li gestisce.


Grazie! Queste sono tutte le domande che mi sto già ponendo, tuttavia la tua esperienza è parzialmente una risposta alla mia domanda principale. Ora spero solo di ottenere un feedback più specifico sul repository Webtatic in particolare, altrimenti penso che seguirà il tuo consiglio, che è anche il mio istinto e quello che ho sempre fatto fino ad ora. (Come te, è sulla versione di PHP ...)
Niki

4

La domanda non è se ci fidiamo di Andy, è se ti fidi di Andy.

Non ho familiarità con il repository ma il pulsante di donazione suggerisce uno sforzo personale. Sentiti libero di contribuire se ha valore per te.

I pacchetti sembrano essere firmati GnuPG, quindi è possibile verificare con una certa sicurezza che i pacchetti sono autentici. Puoi anche verificare se si trova sulla rete di fiducia.

Per quanto riguarda la qualità o la sicurezza, è meglio se qualcun altro dà un'occhiata a come sta andando il repository. Questo potresti essere tu. Iscriviti agli avvisi di sicurezza a monte e controlla se sono interessati. Valuta i pacchetti come farebbe un revisore per Fedora.

Se la continuità di questi pacchetti è importante per te, acquisisci competenze simili. Impara l'imballaggio o assumi qualcuno che può.


1

Remi è lo standard per le ultime build di PHP per RHEL. È una fonte consolidata e affidabile per i pacchetti RPM che viene mantenuta attivamente e include il maggior numero possibile di pacchetti pertinenti.

La fonte webtatic è sconosciuta e non attendibile. Non dovrebbe essere usato affatto.

L'ho trovato in esecuzione su un sistema legacy. Aveva una grave perdita di memoria. L'ho sostituito con Remi, esattamente la stessa versione di PHP e all'improvviso tutto procede senza intoppi. Non credo sia nemmeno una compilazione stabile.


0

In generale, a meno che tu non sappia che c'è una funzionalità di cui davvero seriamente hai bisogno e in realtà non puoi vivere senza (come molte persone crederanno di non poterlo fare ... fino a quando non sarà una scelta tra "vecchio" o niente), allora rimani con i pacchetti del fornitore.

Insegna ai tuoi webdev perché un ramo non è un'istantanea stagnante e mostra loro - PHP è un'ottima per questo - in che modo il rebasing a monte porta molti più bug; e come in molti casi il tempo di risposta per un backport attorno a un problema di sicurezza sia effettivamente più veloce e più affidabile consegnato da una distribuzione nella loro filiale gestita (perché è la priorità e il lavoro di qualcuno) rispetto alla versione OEM a monte.

Potresti essere quello che ha effettivamente successo, e lo devi a tutti noi per provare ;-)


PHP è un esempio piuttosto scarso per questo: abbiamo quasi sempre bisogno di rilasci puntuali per correzioni di bug, ma le distro non li forniscono. Hanno buone ragioni, ovviamente. Ma avere a disposizione i repository in cui è possibile ottenere correzioni di bug nelle versioni point è estremamente utile.
Michael Hampton

Sospettiamo che usiamo diverse distro. Non ho visto una mancanza di bugfix e aggiornamenti di sicurezza in PHP, anche se la distribuzione si è ramificata a una certa versione a monte e la versione sembra bloccata al profano. rpm -q php --changelog mostra aggiornamenti settimanali con correzioni di bug e aggiornamenti di sicurezza in abbondanza. Mi dispiace se non
ottieni

Distanze decisamente diverse. Non lo vedo in PHP su RHEL 7.5 o CentOS 7.5. Fedora ha aggiornato i pacchetti PHP, e generalmente non ha questo problema. Fortunatamente Remi Collet, l'impiegato di Red Hat che costruisce i pacchetti PHP di RHEL, mantiene anche repository con rilasci di punti PHP. Il che è parte del motivo per cui Red Hat lo ha assunto.
Michael Hampton

Hmm. Stavo guardando quelli RH / Centos. Non riesco a spiegare perché non stai vedendo la stessa cosa - lo sono, e mi dispiace vederlo. Vorrei che Remi aggiornasse SCL un po 'di più. Qui vedo rallentamenti (7.1.8 e nemmeno una versione del pacchetto da aggiornare). In realtà ero per lo più convinto che fosse passato questa mattina. Se solo Fedora non fosse un mayfly.
user2066657

Veramente? Non so quali pacchetti stai guardando ma non vedo aggiornamenti da php-5.4.16-45.el7. Forse stai guardando qualcosa da una raccolta di software? A proposito, gli SCL hanno un ritmo leggermente più lento. Se vuoi davvero rilasciare PHP mentre accadono, vai
Michael Hampton
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.