Quem é o repositório Webtatic por trás e você confia nele?

Navegue suas respostas
10

O repositório Webtatic tem muitos pacotes úteis para o CentOS e o RedHat. No entanto, o repositório é muito opaco e eu tenho dificuldade em encontrar informações sobre quem está por trás dele, próximo de "Andrew Thompson", conhecido como Andy por aqui.

Ele parece estar fazendo um ótimo trabalho fornecendo todos esses pacotes úteis. Eu preciso usar o repositório em servidores da empresa ao vivo e usar repositórios não-oficiais aciona imediatamente um alarme em mim.

  • É um repositório de pessoa única?
  • É apoiado por uma empresa?
  • Parece existir há alguns anos, mas e amanhã? (além do asteroide gigante que pode nos limpar)
  • Quão seguro é isso? Não quero que o próximo yum update faça o download de um trojan.
  • Com que rapidez as correções de segurança são implantadas nos pacotes fornecidos? ....

O feedback dos administradores CentOS / RedHat da vida real será muito apreciado.

Obrigado antecipadamente

    
por Niki 01.04.2016 / 09:46

3 respostas

4

A questão não é se confiamos em Andy, é se você confia em Andy.

Não estou familiarizado com o repositório, mas o botão de doação sugere um esforço pessoal. Sinta-se à vontade para contribuir se tiver valor para você.

Os pacotes parecem ser assinados pelo GnuPG, então é possível verificar com alguma certeza que os pacotes são autênticos. Você também pode verificar se ele está na rede de confiança.

Em relação à qualidade ou segurança, é melhor que alguém dê uma olhada em como o repositório está fazendo. Esse poderia ser você. Assine os avisos de segurança do upstream e verifique se eles são afetados. Avalie os pacotes como um revisor faria para o Fedora.

Se a continuidade desses pacotes for importante para você, adquira habilidades similares. Aprenda a embalagem ou contrate alguém que possa.

    
por 04.04.2016 / 02:44
4

Voltar quando eu comecei como administrador do Linux 8 anos atrás eu costumava usar um repositório popular de terceiros para atualizar minha pilha LAMP. Foi executado por um único indivíduo. Um dos principais motivos foi os desenvolvedores me pressionarem por uma versão mais nova do PHP do que o que veio com o RHEL 5. Acabou me mordendo.

A pessoa abandonou os repositórios, portanto, eu não estava mais recebendo atualizações de segurança, mas também não consegui remover todos os pacotes mais recentes e voltar aos pacotes do RHEL, pois a versão RHEL do PHP era de uma ramificação muito antiga. Mover para a pilha LAMP do repositório tocou pelo menos meia dúzia de pacotes ou mais. Então, manter esses pacotes e recompilá-los todos à mão de tempos em tempos seria um grande PITA.

Você também perde a capacidade de usar os avisos de segurança do fornecedor do sistema operacional em relação às vulnerabilidades CVE para determinar se o sistema está ou não vulnerável a uma certa exploração desses pacotes. Isso provou ser um grande problema para mim anos depois, mesmo que eu nunca tivesse previsto isso na época.

Portanto, além de ter confiança na integridade e nas habilidades técnicas dos mantenedores, você deve se perguntar se confia neles para não passar para um novo emprego que não lhes permita manter o repositório, ou se casar e ter filhos. e não tem mais tempo, etc ....

Desde então, tenho sido muito nervoso em usar quaisquer repositórios de terceiros, especialmente aqueles que têm apenas uma pessoa executando-os.

    
por 04.04.2016 / 03:53
0

Em geral, a menos que você conheça , há um recurso que você realmente precisa e realmente não pode viver sem (como muitas pessoas acreditarão que não podem .. até que seja uma escolha entre 'old' ou nada), em seguida, ficar com os pacotes de fornecedores.

Ensine seus webdevs por que um ramo não é um instantâneo estagnado e mostre-os - o PHP é ótimo para isso - como o rebase de upstream traz muito mais bugs; e como em muitos casos o tempo de resposta de um backport em torno de um problema de segurança é realmente mais rápido e confiável entregue por uma distro em sua filial mantida (porque é a prioridade e o trabalho de alguém) do que na versão OEM original.

Você pode ser quem realmente consegue, e você deve isso ao resto de nós tentar; -)

    
por 02.08.2018 / 22:01

Tags

como obter o nome do arquivo de processo do PID no MacOS? Como posso saber se o servidor suporta unidades hot swap?