Ai là kho lưu trữ Webtatic và bạn có tin tưởng nó không


12

Kho lưu trữ webtatic có rất nhiều gói hữu ích cho CentOS và RedHat. Tuy nhiên, kho lưu trữ rất mờ và tôi gặp khó khăn trong việc tìm kiếm thông tin về người đứng đằng sau nó, appart của "Andrew Thompson", được biết đến với cái tên Andy quanh đây.

Ông dường như đang làm một công việc tuyệt vời cung cấp tất cả các gói hữu ích này. Tôi cần sử dụng kho lưu trữ trên các máy chủ của công ty trực tiếp và sử dụng các kho lưu trữ không chính thức kích hoạt ngay lập tức một báo động trong tôi.

  • Có phải là một kho lưu trữ người duy nhất?
  • Có được hỗ trợ bởi một công ty?
  • Nó dường như tồn tại trong vài năm nay, nhưng ngày mai thì sao? (ngoài các tiểu hành tinh khổng lồ có thể quét sạch tất cả chúng ta)
  • Làm thế nào an toàn là nó? Tôi không muốn yum updatetải xuống một trojan.
  • Làm thế nào nhanh chóng các bản sửa lỗi bảo mật được triển khai của các gói được cung cấp? ....

Phản hồi từ các quản trị viên CentOS / RedHat ngoài đời thực sẽ được đánh giá rất cao.

Cảm ơn trước


1
Tôi sẽ lưu ý rằng có ít nhất hai mức độ tin cậy rất khác nhau: là một nhà phát triển, tôi quan tâm chủ yếu nếu các gói sạch (không bị thay đổi độc hại) và cập nhật hợp lý. Nó giống như một sysadmin mà tôi rất quan tâm về sự hỗ trợ lâu dài và tuổi thọ của những người bảo trì.
jhominal

Chính xác. Ở đây tôi hỏi là sysadmin, thay đổi hệ điều hành máy chủ / chỉ dạy mỗi 5 năm trở lên
Niki

Cả với tư cách là quản trị viên hệ thống và nhà phát triển, điều quan trọng là sử dụng các nguồn xây dựng hợp lý. Nếu không, bạn sẽ có nguy cơ gặp phải các sự cố như bản dựng xấu gây ra lỗi hoặc hạn chế trong bộ tính năng, v.v. Một nguồn xấu có thể đang phân phối các gói mà không có những thứ như -O2 và bạn sẽ hoàn toàn không biết gì về nó.
jgmjgm

Câu trả lời:


5

Quay lại khi tôi mới bắt đầu làm quản trị viên Linux 8 năm trước, tôi đã từng sử dụng kho lưu trữ của bên thứ ba phổ biến để nâng cấp ngăn xếp LAMP của mình. Nó được điều hành bởi một cá nhân duy nhất. Một trong những lý do chính là các nhà phát triển gây áp lực cho tôi về một phiên bản PHP mới hơn so với phiên bản đi kèm với RHEL 5. Nó đã cắn tôi.

Người này đã từ bỏ các kho lưu trữ để tôi không còn nhận được các bản cập nhật bảo mật, nhưng tôi cũng không thể xóa tất cả các gói mới hơn và quay lại các gói RHEL do phiên bản PHP của RHEL đã quá cũ. Di chuyển đến ngăn xếp LAMP của kho lưu trữ đó đã chạm ít nhất nửa tá gói trở lên. Vì vậy, thỉnh thoảng duy trì các gói đó và biên dịch lại tất cả chúng sẽ là một PITA chính.

Bạn cũng mất khả năng sử dụng các tư vấn bảo mật của nhà cung cấp hệ điều hành về các lỗ hổng CVE để xác định xem hệ thống của bạn có hay không dễ bị khai thác nhất định cho các gói đó. Điều này đã chứng tỏ là một vấn đề lớn đối với tôi nhiều năm sau đó, mặc dù lúc đó tôi sẽ không bao giờ lường trước được.

Vì vậy, ngoài việc tin tưởng vào tính toàn vẹn và kỹ năng kỹ thuật của người bảo trì, bạn phải tự hỏi liệu bạn có tin tưởng họ không chuyển sang một công việc mới không cho phép họ duy trì kho lưu trữ, hoặc kết hôn và có con và không còn có thời gian, v.v ....

Kể từ đó, tôi đã rất sơ sài về việc sử dụng bất kỳ kho lưu trữ của bên thứ ba nào, đặc biệt là những kho chỉ có một người điều hành chúng.


Cảm ơn! Đây là tất cả những câu hỏi tôi đã tự hỏi mình, tuy nhiên kinh nghiệm của bạn là một phần câu trả lời cho câu hỏi chính của tôi. Bây giờ tôi chỉ hy vọng có thể nhận được một số phản hồi cụ thể hơn về repo Webtatic nói riêng, nếu không tôi nghĩ sẽ làm theo lời khuyên của bạn, đó cũng là cảm giác ruột của tôi và những gì tôi luôn làm cho đến bây giờ. (Giống như bạn, đó là về phiên bản PHP ...)
Niki

4

Câu hỏi không phải là nếu chúng ta tin tưởng Andy, mà là nếu bạn tin tưởng Andy.

Tôi không quen thuộc với kho lưu trữ nhưng nút đóng góp cho thấy nỗ lực cá nhân. Hãy đóng góp nếu nó có giá trị với bạn.

Các gói trông giống như GnuPG đã ký, vì vậy có thể xác minh một cách chắc chắn các gói là xác thực. Bạn cũng có thể kiểm tra xem anh ấy có ở trên mạng tin cậy không.

Về chất lượng hoặc bảo mật, tốt nhất nếu người khác có cái nhìn về cách kho lưu trữ đang hoạt động. Đây có thể là bạn. Theo dõi các tư vấn bảo mật ngược dòng và kiểm tra nếu chúng bị ảnh hưởng. Đánh giá các gói như một nhà phê bình sẽ cho Fedora.

Nếu tính liên tục của các gói này là quan trọng đối với bạn, hãy có được các kỹ năng tương tự. Tìm hiểu bao bì hoặc thuê một người có thể.


1

Remi là tiêu chuẩn cho các bản dựng mới nhất của PHP cho RHEL. Ông là một nguồn đáng tin cậy và lâu dài cho các gói RPM đang được duy trì tích cực và bao gồm càng nhiều gói có liên quan càng tốt.

Nguồn webtatic là không xác định và không đáng tin cậy. Nó không nên được sử dụng ở tất cả.

Tôi tìm thấy nó chạy trên một hệ thống di sản. Nó đã bị rò rỉ bộ nhớ nghiêm trọng trong đó. Tôi đã thay thế nó bằng Remi, chính xác là cùng một phiên bản PHP và đột nhiên mọi thứ đều chạy trơn tru. Tôi không nghĩ nó thậm chí là một biên dịch ổn định.


0

Nói chung, trừ khi bạn biết có một tính năng bạn thực sự cần và thực sự không thể sống thiếu (vì nhiều người sẽ tin rằng họ không thể .. cho đến khi đó là lựa chọn giữa 'cũ' hoặc không có gì) sau đó gắn bó với các gói của nhà cung cấp.

Dạy cho các webdev của bạn lý do tại sao một chi nhánh không phải là một ảnh chụp nhanh bị trì trệ và cho họ thấy - PHP là một công cụ tuyệt vời cho việc này - làm thế nào việc nổi loạn ngược dòng mang lại nhiều lỗi hơn; và trong nhiều trường hợp, thời gian phản hồi cho một backport xung quanh vấn đề bảo mật thực sự nhanh hơn và đáng tin cậy hơn bởi một bản phân phối trong chi nhánh được bảo trì của họ (vì đó là ưu tiên và công việc của ai đó) so với phiên bản OEM ngược dòng.

Bạn có thể là người thực sự thành công và bạn còn nợ chúng tôi để thử ;-)


PHP là một ví dụ khá tệ cho việc này: Chúng ta hầu như luôn cần các bản phát hành điểm cho các lỗi, nhưng các bản phân phối không cung cấp chúng. Họ có lý do chính đáng, tất nhiên. Nhưng việc có sẵn các repos nơi chúng ta có thể nhận được các bản sửa lỗi trong các bản phát hành điểm là vô cùng hữu ích.
Michael Hampton

Chúng tôi sử dụng các distro khác nhau, tôi nghi ngờ. Tôi chưa thấy thiếu bản cập nhật lỗi và bảo mật trong PHP, mặc dù bản phân phối đã phân nhánh ở một phiên bản ngược dòng nhất định và phiên bản có vẻ bị khóa đối với giáo dân. rpm -q php --changelog hiển thị các bản cập nhật hàng tuần với các lỗi và cập nhật bảo mật rất nhiều. Tôi xin lỗi nếu bạn không nhận được cùng số dặm :-(
user2066657

Chắc chắn các distro khác nhau. Tôi không thấy điều đó trong PHP trên RHEL 7.5 hoặc CentOS 7.5. Fedora đã cập nhật các gói PHP và nói chung không có vấn đề này. May mắn thay, Remi Collet, nhân viên của Red Hat, người xây dựng các gói PHP của RHEL, cũng duy trì các bản phát hành với các bản phát hành điểm PHP. Đó là một phần lý do Red Hat thuê anh ta.
Michael Hampton

Hừm. Tôi đã nhìn vào những người RH / Centos. Tôi không thể giải thích lý do tại sao bạn không nhìn thấy điều tương tự - trao đổi với tôi và tôi rất tiếc khi thấy điều đó. Tôi ước Remi sẽ cập nhật SCL thêm một chút. Tôi đang thấy sự chậm lại ở đó (7.1.8 và thậm chí không phải là một bản phát hành gói để cập nhật). Tôi thực sự đã bị thuyết phục bởi anh ấy đã chuyển đến, sáng nay. Giá như Fedora không phải là một con phù du.
dùng2066657

Có thật không? Tôi không biết bạn đang xem gói nào nhưng tôi không thấy bản cập nhật nào kể từ php-5.4.16-45.el7. Có lẽ bạn đang xem một cái gì đó từ một bộ sưu tập phần mềm? Nói về điều đó, SCL đang ở tốc độ chậm hơn một chút. Nếu bạn thực sự muốn phát hành PHP khi chúng xảy ra, hãy truy cập rpms.remirepo.net
Michael Hampton
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.