Repositórios não oficiais / locais e como eles diferem dos PPAs no Launchpad

8
Normalmente eu uso os PPAs (Personal Package Archives) encontrados no launchpad.net, mas tenho notado cada vez mais que alguns repositórios estão sendo criados em outros lugares ou um site que gerencia pacotes de maneira similar ao launchpad.

Então, minhas perguntas são:

  • O que é um repositório oficial e um não oficial (Repositório Local), incluindo aqueles criados fora do Launchpad.

  • Como os repositórios criados fora do Launchpad se comparam aos encontrados dentro dele em termos de segurança, em primeiro lugar, seguidos por quaisquer outros recursos que ambos ofereçam.

  • Como os repositórios oficiais de software diferem daqueles criados por PPAs de terceiros no Launchpad ou fora dele.

por Luis Alvarado 28.03.2013 / 17:35

2 respostas

6

Se você resumir isso de volta aos termos mais simples:

  

O que é um repositório oficial e um não oficial (Repositório Local), incluindo aqueles criados fora do Launchpad.

Um repositório oficial é um publicado como parte do Ubuntu, gerenciado pelas MOTUs da Canonical e do Ubuntu.

Eles atualmente consistem em principal, restrito, universo, multiverso, parceiro, extras e alguns existem em múltiplos "estados" (-propostos, -updates, -backports, etc).

Os nomes das recompras podem mudar no tempo, mas o ponto é que eles são.

Em espelhos: O conteúdo (MD5 hashes de arquivos, etc) do repositório é assinado com a chave do Ubuntu, então mesmo que você esteja puxando os arquivos oficiais de um espelho não oficial, você pode ter certeza de que são os arquivos originais.

  

Como os repositórios criados fora do Launchpad se comparam aos encontrados dentro dele em termos de segurança, em primeiro lugar, seguido por quaisquer outros recursos que ambos ofereçam.

Você não pode comparar implicitamente os níveis de segurança entre um PPA do Launchpad e outro repositório não oficial hospedado em outro lugar. Tudo se resume a quanto você confia na pessoa que está executando o repositório.

A diferença é com um PPA do Launchpad, você pode ver a pessoa que está empacotando as coisas. Na maioria das vezes você pode ver a fonte. Em outros repositórios (por exemplo: dl.google.com ou repo.steampowered.com), você provavelmente não conhece nenhum deles.

A confiança é uma coisa estranha.

Recurso-repo é apenas uma estrutura particular de diretórios e arquivos, hospedados na web. As únicas características especiais que eu já vi são a autenticação para permitir que apenas pessoas que compraram software façam o download, mas essa segurança muito básica do servidor web e dificilmente especial:)

  

Como os repositórios oficiais de software diferem daqueles criados por PPAs de terceiros no Launchpad ou fora dele.

Esta é talvez a maior das questões e provavelmente é melhor respondida (se indiretamente) por outra pergunta: Como colocar meu software no Ubuntu?

O software repo oficial está supostamente a ter um processo de desenvolvimento por trás dele. Níveis de testes que garantem qualidade e uma quantidade de revisão por pares. Os mantenedores do PPA podem encorajar esse tipo de processo, mas não é algo que você possa assumir. Algumas são melhores que outras.

    
por Oli 28.03.2013 / 18:03
0

Apenas archive.ubuntu.com e security.ubuntu.com (e seus espelhos) são repositórios oficiais. Qualquer outra coisa, incluindo o PPA, não é. Cada PPA e repo de terceiros é diferente, você não pode compará-los em geral. por exemplo. Eu tenho 2 PPAs: um que fornece coisas que o Ubuntu não faz, e um com pacotes onde eu tomo decisões de embalagem diferentes do Ubuntu. Não comparável:)

    
por Dennis Kaarsemaker 28.03.2013 / 17:53