fragen stichworte

Wer ist das hinter Webtatic-Repository und vertrauen Sie ihm?

Das Webtatic-Repository enthält viele nützliche Pakete für CentOS und RedHat. Das Repository ist jedoch sehr undurchsichtig und es fällt mir schwer, Informationen darüber zu finden, wer dahintersteckt, und zwar von "Andrew Thompson", der hier als Andy bekannt ist.

Er scheint gute Arbeit geleistet zu haben und bietet all diese nützlichen Pakete an. Ich muss das Repository auf Live-Firmenservern verwenden, und die Verwendung inoffizieller Repositorys löst sofort einen Alarm in mir aus.

  • Handelt es sich um ein Einzelpersonen-Repository?
  • Wird es von einer Firma unterstützt?
  • Es scheint seit einigen Jahren zu existieren, aber wie sieht es mit morgen aus? (Abgesehen von dem riesigen Asteroiden, der uns alle abwischen kann)
  • Wie sicher ist es? Ich möchte nicht, dass als Nächstes ein Trojaner heruntergeladen wird.
  • Wie schnell werden die Sicherheitsupdates der bereitgestellten Pakete bereitgestellt? ....

Feedback von echten CentOS/RedHat-Administratoren wird sehr geschätzt.

Vielen Dank im Voraus,

antworten

Die Frage ist nicht, ob wir Andy vertrauen, es ist, wenn Sie Andy vertrauen.

Ich bin mit dem Repository nicht vertraut, aber der Spendenknopf deutet auf eine persönliche Anstrengung hin. Fühlen Sie sich frei, etwas beizutragen, wenn es für Sie einen Wert hat.

Pakete sehen GnuPG-signiert aus, so dass mit einiger Sicherheit überprüft werden kann, ob die Pakete authentisch sind. Sie können auch überprüfen, ob er im Internet des Vertrauens ist.

In Bezug auf Qualität oder Sicherheit ist es am besten, wenn sich jemand anders die Funktionsweise des Repositorys ansieht. Das könntest du sein. Abonnieren Sie die vorgeschalteten Sicherheitsmitteilungen und prüfen Sie, ob sie betroffen sind. Bewerten Sie die Pakete so, wie es ein Rezensent für Fedora tun würde.

Wenn Ihnen die Kontinuität dieser Pakete wichtig ist, erwerben Sie ähnliche Fähigkeiten. Lerne die Verpackung oder stelle jemanden ein, der das kann.

Als ich vor acht Jahren als Linux-Administrator anfing, benutzte ich ein beliebtes Repository für Drittanbieter, um meinen LAMP-Stack zu aktualisieren. Es wurde von einer einzelnen Person betrieben. Einer der Hauptgründe war, dass mich Entwickler dazu drängten, eine neuere Version von PHP zu verwenden, als dies mit RHEL 5 der Fall war.

Die Person hat die Repositorys aufgegeben, so dass ich keine Sicherheitsaktualisierungen mehr bekam, aber ich konnte auch nicht alle neueren Pakete entfernen und zu den RHEL-Paketen zurückkehren, da die RHEL-Version von PHP aus einem zu alten Zweig stammt. Der Umstieg auf den LAMP-Stack dieses Repositorys umfasste mindestens ein halbes Dutzend Pakete oder mehr. Es wäre also ein großer PITA, diese Pakete von Zeit zu Zeit zu warten und alle Pakete von Hand neu zu kompilieren.

Außerdem können Sie die Sicherheitshinweise des Betriebssystemherstellers in Bezug auf CVE-Sicherheitsanfälligkeiten nicht verwenden, um zu bestimmen, ob Ihr System für einen bestimmten Exploit dieser Pakete anfällig ist oder nicht. Dies erwies sich Jahre später als ein großes Problem für mich, auch wenn ich damals noch nie gedacht hätte.

Neben dem Vertrauen in die Integrität und technischen Fähigkeiten der Betreuer müssen Sie sich daher auch die Frage stellen, ob Sie darauf vertrauen, dass Sie nicht zu einem neuen Job wechseln, der es ihnen nicht erlaubt, das Repository zu warten, oder ob Sie heiraten und Kinder haben und habe keine Zeit mehr usw.

Seitdem bin ich mit der Verwendung von Drittanbieter-Repositories sehr aufgeregt, insbesondere wenn diese nur von einer Person verwaltet werden.

Im Allgemeinen, es sei denn, Sie wissen gibt es eine Funktion, die Sie eigentlich wirklich brauchen und tatsächlich nicht ohne leben können (so viele Leute werden glauben, dass sie nicht können .. bis es eine Wahl zwischen 'alt' ist oder nichts), bleiben Sie dann bei den Herstellerpaketen.

Bringen Sie Ihren Webdevs bei, warum eine Verzweigung keine stagnierende Momentaufnahme ist, und zeigen Sie sie - PHP ist ein großartiger Ansatz dafür -, wie die Upstream-Nachrüstung viel mehr Fehler bringt; und wie in vielen Fällen die Antwortzeit für einen Backport um ein Sicherheitsproblem schneller und zuverlässiger von einer Distro in ihrer beibehaltenen Verzweigung (weil es jemandes Priorität und Job ist) als in der Upstream-OEM-Version geliefert wird.

Sie können derjenige sein, der tatsächlich erfolgreich ist, und Sie sind es dem Rest von uns schuldig, es zu versuchen; -)