¿Quién está detrás del repositorio de Webtatic y en qué confías?

12

El repositorio de Webtatic tiene muchos paquetes útiles para CentOS y RedHat. Sin embargo, el repositorio es muy opaco y me resulta difícil encontrar información sobre quién está detrás, aparte de "Andrew Thompson", conocido como Andy por aquí.

Parece que está haciendo un gran trabajo al proporcionar todos estos paquetes útiles. Necesito usar el repositorio en servidores de la compañía en vivo y el uso de repositorios no oficiales desencadena inmediatamente una alarma en mí.

¿Es un repositorio para una sola persona?
¿Está respaldado por una empresa?
Parece existir desde hace unos años, pero ¿qué pasa con el mañana? (Aparte del asteroide gigante que puede limpiarnos a todos)
¿Qué tan seguro es? No quiero luego yum updatedescargar un troyano.
¿Con qué rapidez se implementan las correcciones de seguridad de los paquetes proporcionados? ....

Los comentarios de los administradores de CentOS / RedHat de la vida real serán muy apreciados.

Gracias por adelantado

centos redhat repository

— Niki
fuente

1

Me gustaría señalar que hay al menos dos niveles muy diferentes de confianza: como desarrollador, me importa principalmente si los paquetes están limpios (no alterados de forma maliciosa) y razonablemente actualizados. Como administrador de sistemas, me preocupo enormemente por el soporte a largo plazo y la longevidad de los mantenedores.

— jhominal 05 de

Correcto. Aquí pregunto como administrador de sistemas, cambiando el sistema operativo del servidor / enseñar solo cada 5 o más años

— Niki

Tanto como administrador del sistema como desarrollador, es importante usar fuentes decentes de las compilaciones. De lo contrario, correrá el riesgo de tener problemas como compilaciones erróneas que causen errores o limitaciones en los conjuntos de características, etc. Una fuente incorrecta podría estar distribuyendo paquetes sin cosas como -O2 y no tendrá ni idea de esto.

— jgmjgm

5

Cuando comencé como administrador de Linux hace 8 años, solía usar un repositorio popular de terceros para actualizar mi pila LAMP. Fue dirigido por un solo individuo. Una de las razones principales fue que los desarrolladores me presionaron para una versión más nueva de PHP que la que vino con RHEL 5. Terminó mordiéndome.

La persona abandonó los repositorios, por lo que ya no recibía actualizaciones de seguridad, pero tampoco pude eliminar todos los paquetes más nuevos y volver a los paquetes RHEL debido a que la versión RHEL de PHP era de una rama demasiado antigua. Pasar a la pila LAMP de ese repositorio tocó al menos media docena de paquetes o más. Por lo tanto, mantener esos paquetes y recompilarlos a mano de vez en cuando sería una gran PITA.

También pierde la capacidad de usar los avisos de seguridad del proveedor del sistema operativo con respecto a las vulnerabilidades de CVE para determinar si su sistema es o no vulnerable a una determinada vulnerabilidad de esos paquetes. Esto resultó ser un problema importante para mí años después, a pesar de que nunca lo hubiera anticipado en ese momento.

Por lo tanto, además de confiar en la integridad y las habilidades técnicas de los mantenedores, debe preguntarse si confía en ellos para no pasar a un nuevo trabajo que no les permita mantener el repositorio, o casarse y tener hijos y ya no tener tiempo, etc.

Desde entonces, he sido muy asustadizo sobre el uso de repositorios de terceros, especialmente aquellos que solo tienen una persona ejecutándolos.

— adicciones digitales
fuente

¡Gracias! Estas son todas las preguntas que ya me estoy haciendo, sin embargo, su experiencia es en parte una respuesta a mi pregunta principal. Ahora solo espero obtener comentarios más específicos sobre el repositorio de Webtatic en particular, de lo contrario creo que seguiré tu consejo, que también es mi instinto y lo que siempre he hecho hasta ahora. (Como tú, se trata de la versión PHP ...)

— Niki

4

La pregunta no es si confiamos en Andy, es si confías en Andy.

No estoy familiarizado con el repositorio, pero el botón de donación sugiere un esfuerzo personal. Siéntase libre de contribuir si tiene valor para usted.

Los paquetes parecen estar firmados por GnuPG, por lo que es posible verificar con cierta certeza que los paquetes son auténticos. También puede verificar si está en la red de confianza.

En cuanto a la calidad o la seguridad, es mejor si alguien más mira cómo está funcionando el repositorio. Esto podrías ser tú. Suscríbase a los avisos de seguridad anteriores y verifique si están afectados. Evalúe los paquetes como lo haría un revisor para Fedora.

Si la continuidad de estos paquetes es importante para usted, adquiera habilidades similares. Aprenda empaquetado o contrate a alguien que pueda.

— John Mahowald
fuente

1

Remi es el estándar para las últimas compilaciones de PHP para RHEL. Es una fuente confiable y establecida desde hace mucho tiempo para paquetes RPM que se mantiene activamente e incluye tantos paquetes relevantes como sea posible.

La fuente webtatic es desconocida y no es de confianza. No debe usarse en absoluto.

Lo encontré ejecutándose en un sistema heredado. Tenía una pérdida grave de memoria. Lo reemplacé con Remi, exactamente la misma versión de PHP y de repente todo funciona sin problemas. No creo que sea incluso una compilación estable.

— jgmjgm
fuente

0

En general, a menos que sepa que hay una característica que realmente necesita y sin la cual no puede vivir (ya que muchas personas creerán que no pueden ... hasta que sea una opción entre 'viejo' o nada), entonces quédese con los paquetes del proveedor.

Enseñe a sus dispositivos web por qué una rama no es una instantánea estancada y muéstreles, PHP es excelente para esto, cómo el rebase ascendente genera muchos más errores; y cómo en muchos casos el tiempo de respuesta para un backport en torno a un problema de seguridad es realmente más rápido y más confiable por una distribución en su sucursal mantenida (porque es la prioridad y el trabajo de alguien) que en la versión OEM original.

Usted puede ser el que realmente tenga éxito, y nos debe al resto de nosotros intentarlo ;-)

— usuario2066657
fuente

PHP es un ejemplo bastante pobre para esto: casi siempre necesitamos versiones puntuales para las correcciones de errores, pero las distribuciones no los proporcionan. Tienen buenas razones, por supuesto. Pero tener los repositorios disponibles donde podamos obtener correcciones de errores en las versiones puntuales es extremadamente útil.

— Michael Hampton

Usamos diferentes distribuciones, sospecho. No he visto una falta de corrección de errores y actualizaciones de seguridad en PHP, a pesar de que la distribución se ha bifurcado en una cierta versión anterior y la versión parece bloqueada para el lego. rpm -q php --changelog muestra actualizaciones semanales con correcciones de errores y actualizaciones de seguridad en abundancia. Lo siento si no estás obteniendo el mismo kilometraje :-(

— user2066657

Definitivamente diferentes distribuciones. No veo eso en PHP en RHEL 7.5 o CentOS 7.5. Sin embargo, Fedora ha actualizado los paquetes PHP y, en general, no tiene este problema. Afortunadamente, Remi Collet, el empleado de Red Hat que construye los paquetes PHP de RHEL, también mantiene repositorios con lanzamientos de puntos PHP. Lo cual es parte de la razón por la que Red Hat lo contrató.

— Michael Hampton

Hmm Estaba mirando los RH / Centos. No puedo explicar por qué no estás viendo lo mismo. Cambio de registro que soy, y siento verlo. Deseo que Remi actualice SCL un poco más. Veo ralentizaciones allí (7.1.8 y ni siquiera un lanzamiento de paquete para actualizar). En realidad, estaba convencido de que se había mudado esta mañana. Si tan solo Fedora no fuera una mosca de mayo.

— user2066657

De Verdad? No sé qué paquetes está buscando, pero no veo actualizaciones desde php-5.4.16-45.el7. ¿Quizás estás viendo algo de una colección de software? Hablando de eso, los SCL están en un ritmo un poco más lento. Si realmente quieres versiones de PHP a medida que ocurren, visita rpms.remirepo.net

— Michael Hampton