Chi è il repository di Webtatic e ti fidi?

Il repository di Webtatic ha molti pacchetti utili per CentOS e RedHat. Tuttavia, il repository è molto opaco e ho difficoltà a trovare informazioni su chi è dietro di esso, appart di "Andrew Thompson", conosciuto come Andy qui intorno.

Sembra che stia facendo un ottimo lavoro fornendo tutti questi pacchetti utili. Devo usare il repository sui server aziendali in diretta e utilizzando repository non ufficiali innesca immediatamente un allarme in me.

  • È un repository di una sola persona?
  • È sostenuta da una società?
  • Sembra esistere da qualche anno, ma che dire di domani? (a parte l'asteroide gigante che può cancellare tutti noi)
  • Quanto è sicuro? Non voglio yum update prossimo yum update per scaricare un trojan.
  • Quanto sono rapidamente le correzioni di protezione distribuite sui pacchetti forniti? ….

Le risposte dagli amministratori CentOS / RedHat veramente apprezzate.

Grazie in anticipo

2 Solutions collect form web for “Chi è il repository di Webtatic e ti fidi?”

La domanda non è se ci fidiamo di Andy, è se ti fidi di Andy.

Non ho familiarità con il repository ma il button di donazione suggerisce uno sforzo personale. Sentiti libero di contribuire se ha valore per te.

I pacchetti sembrano essere firmati da GnuPG, quindi è ansible verificare con certezza che i pacchetti sono autentici. Puoi anche verificare se è sul web della fiducia.

Per quanto riguarda la qualità o la sicurezza, è meglio se qualcun altro abbia un'occhiata a come il repository sta facendo. Questo potrebbe essere voi. Iscriviti ai consigli di sicurezza a monte e verificare se sono interessati. Valutare i pacchetti come un revisore sarebbe per Fedora.

Se la continuità di questi pacchetti è importnte per te, acquisire competenze simili. Imparare l'imballaggio o assumere qualcuno che possa.

Indietro quando ho iniziato come amministratore Linux 8 anni fa uso per utilizzare un repository di terze parti popolari per aggiornare il mio stack LAMP. E 'stato gestito da un singolo individuo. Uno dei motivi principali sono stati gli sviluppatori che mi hanno preso per una versione più recente di PHP di quanto è venuto con RHEL 5. Mi è finita per mordere.

La persona ha abbandonato i repository in modo da non ricevere più aggiornamenti della protezione, ma non ho potuto rimuovere tutti i pacchetti più recenti e tornare ai pacchetti RHEL a causa della versione RHEL di PHP troppo vecchia. Passando a tali repository, lo stack LAMP ha toccato alless una mezza dozzina di pacchetti o più. Quindi mantenendo questi pacchetti e ricompilando tutti a mano di tanto in tanto sarebbe un importnte PITA.

Inoltre, si perde la capacità di utilizzare i consigli di sicurezza dei fornitori di sisthemes operativi per quanto riguarda le vulnerabilità CVE per determinare se il sistema è o non è vulnerabile a una certa vulnerabilità per tali pacchetti. Questo si è rivelato un problema importnte per me anni dopo anche se non avrei mai anticipato al momento.

Quindi, oltre a avere fiducia nell'integrità dei manutentori e nelle competenze tecniche, wherete chiedere se fidiate di non passare a un nuovo lavoro che non permetterà loro di mantenere il repository, di sposarsi e di avere figli e di non avere più tempo ….

Da allora sono stato molto attento a utilizzare qualsiasi repository di terze parti, soprattutto quelli che hanno solo una persona in esecuzione.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.