Repository non ufficiali / locali e in che modo differiscono dai PPA in Launchpad

8

Di solito tendo a utilizzare i PPA (Personal Package Archives) presenti in launchpad.net, ma ho notato sempre più che alcuni repository vengono creati in altri luoghi o in un sito Web che gestisce i pacchetti in modo simile come launchpad.

Quindi le mie domande sono:

  • Che cos'è un repository ufficiale e uno non ufficiale (Local Repository), inclusi quelli creati al di fuori di Launchpad.

  • In che modo i repository creati al di fuori di Launchpad si confrontano con quelli trovati al suo interno in termini di sicurezza, seguiti da qualsiasi altra funzionalità che entrambi offrono.

  • In che modo i repository software ufficiali differiscono da quelli creati da PPA di terze parti in Launchpad o al di fuori di esso.

ppa  repository  official-repositories  localrepository 
Luis Alvarado
fonte
Hai menzionato la creazione di repository su Dropbox. Gli utenti di DropBox non possono creare un repository APT a dropbox.comcausa delle limitazioni sulla denominazione degli URL accessibili dall'esterno che puntano al contenuto dell'utente. Il dl.dropbox.comrepository è di Dropbox proprio repository, che fornisce il software Dropbox.
Eliah Kagan,

Risposte:

6

Se lo ribassi ai termini più semplici:

Che cos'è un repository ufficiale e uno non ufficiale (Local Repository), inclusi quelli creati al di fuori di Launchpad.

Un repository ufficiale è quello pubblicato come parte di Ubuntu, gestito da MOTU Canonical e Ubuntu.

Attualmente sono costituiti da principale, limitato, universo, multiverso, partner, comparse e alcuni esistono in più "stati" (proposti, aggiornamenti, backport, ecc.).

I nomi dei repository potrebbero cambiare nel tempo, ma il punto è che questi sono.

Su mirror: i contenuti (hash MD5 dei file, ecc.) Del repository sono firmati con la chiave Ubuntu, quindi anche se stai estraendo i file ufficiali da un mirror non ufficiale, puoi essere abbastanza sicuro che siano i file originali .

In che modo i repository creati al di fuori di Launchpad si confrontano con quelli trovati al suo interno in termini di sicurezza, seguiti da qualsiasi altra funzionalità che entrambi offrono.

Non è possibile confrontare implicitamente i livelli di sicurezza tra un PPA Launchpad e un altro repository non ufficiale ospitato altrove. Tutto si riduce a quanto ti fidi della persona che gestisce il repository.

La differenza è con un Launchpad PPA, puoi vedere la persona che sta confezionando le cose. La maggior parte delle volte puoi vedere la fonte. In altri repository (ad esempio: dl.google.com o repo.steampowered.com) probabilmente non lo sai nemmeno.

La fiducia è una cosa strana.

Per quanto riguarda le funzionalità, un repository è solo una struttura particolare di directory e file, ospitata sul Web. Le uniche funzioni speciali che abbia mai visto sono l'autenticazione per consentire solo alle persone che hanno acquistato software di scaricarlo, ma questa sicurezza del server Web di base e quasi speciale :)

In che modo i repository software ufficiali differiscono da quelli creati da PPA di terze parti in Launchpad o al di fuori di esso.

Questa è forse la più grande delle domande ed è probabilmente la migliore risposta (se indiretta) a un'altra domanda: come portare il mio software su Ubuntu?

Il software ufficiale di repository dovrebbe avere un processo di sviluppo dietro di esso. Livelli di test che garantiscono qualità e una quantità di revisione tra pari. I manutentori di PPA possono incoraggiare questo tipo di processo, ma non è qualcosa che si possa presumere. Alcuni sono migliori di altri.

Oli
fonte
0

Solo archive.ubuntu.com e security.ubuntu.com (e i suoi mirror) sono repository ufficiali. Nient'altro, incluso PPA, non lo è. Ogni repository PPA e di terze parti è diverso, non è possibile confrontarli in generale. ad esempio ho 2 PPA: uno che fornisce cose che Ubuntu non ha, e uno con pacchetti in cui prendo decisioni di packaging diverse da Ubuntu. Non comparabile :)

Dennis Kaarsemaker
fonte
Questo non è corretto (anche se potrebbe essere modificato per essere corretto). Mirror ufficiali sono ufficiali anche, per esempio, us.archive.ubuntu.com, gb.archive.ubuntu.come così via. Molte persone in realtà non usano archive.ubuntu.comperché è così lento e Ubuntu configura automaticamente un sistema per utilizzare un mirror regionale come parte dell'installazione (in genere senza nemmeno consultare l'utente o menzionare che lo sta facendo).
Eliah Kagan,
E anche i mirror non ufficiali sono ancora ufficiali. Tutti i pacchetti e gli elenchi sono firmati. Non importa dove prendi le cose, ma non si installeranno facilmente se non corrispondono alle loro firme.
Oli
Hai aggiunto il testo "(e i suoi mirror)" ma questo non lo spiega a nessuno che non lo capisce già. Una buona risposta a questa domanda dovrebbe spiegare come capire se qualcosa è un mirror Ubuntu ... o almeno spiegare come riconoscere i mirror Ubuntu ufficiali più comunemente chiamati.
Eliah Kagan,
Aggiungerei che se aggiungesse valore alla persona che pone la domanda. Ma dimostra già una buona conoscenza pratica del funzionamento dei repository, quindi sarebbe superfluo.
Dennis Kaarsemaker,
1
@DennisKaarsemaker Le domande non sono solo per la persona che le ha poste. Ecco perché le risposte sono visualizzabili pubblicamente! Quindi, anche se Luis Alvarado non lo avesse deliberatamente chiesto a beneficio degli altri , le risposte dovrebbero essere spiegate chiaramente. Ma Luis Alvarado in effetti ha chiesto questo a beneficio degli altri - vedi questa chat room (in cui Luis Alvarado era presente mentre si svolgeva la discussione) e questo messaggio in cui mi ha detto che glielo aveva chiesto .
Eliah Kagan,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.