Quem é o repositório Webtatic por trás e você confia nele

12

O repositório Webtatic possui muitos pacotes úteis para o CentOS e RedHat. No entanto, o repositório é muito opaco e tenho dificuldade em encontrar informações sobre quem está por trás dele, parte de "Andrew Thompson", conhecido como Andy por aqui.

Ele parece estar fazendo um ótimo trabalho fornecendo todos esses pacotes úteis. Eu preciso usar o repositório nos servidores da empresa ao vivo e usar repositórios não oficiais dispara imediatamente um alarme em mim.

  • É um repositório de uma pessoa?
  • É apoiado por uma empresa?
  • Parece existir já há alguns anos, mas e amanhã? (além do asteróide gigante que pode acabar com todos nós)
  • Quão seguro é? Não quero o próximo yum updatedownload de um Trojan.
  • Com que rapidez as correções de segurança são implantadas nos pacotes fornecidos? ....

O feedback dos administradores do CentOS / RedHat na vida real será muito apreciado.

desde já, obrigado

centos redhat repository Niki
fonte
1
Eu observaria que há pelo menos dois níveis muito diferentes de confiança: como desenvolvedor, me importo principalmente se os pacotes estiverem limpos (não alterados maliciosamente) e razoavelmente atualizados. É como administrador de sistemas que me importo enormemente com o suporte a longo prazo e a longevidade dos mantenedores.
Jhominal
Corrigir. Aqui eu perguntar como sysadmin, mudando servidor OS / ensinar apenas a cada 5 anos ou mais
Niki
Como administrador do sistema e desenvolvedor, é importante usar fontes decentes de builds. Caso contrário, você corre o risco de ter problemas, como construções incorretas, causando bugs ou limitações nos conjuntos de recursos, etc. Uma fonte ruim pode estar distribuindo pacotes sem coisas como -O2 e você ficará totalmente sem noção.
Jgmjgm 16/04/19

Respostas:

5

Quando comecei como administrador do Linux, há 8 anos, eu costumava usar um repositório de terceiros popular para atualizar minha pilha LAMP. Foi dirigido por um único indivíduo. Um dos principais motivos foi que os desenvolvedores me pressionaram por uma versão mais recente do PHP que a que veio com o RHEL 5. Acabou me mordendo.

A pessoa abandonou os repositórios para que eu não estivesse mais recebendo atualizações de segurança, mas também não pude remover todos os pacotes mais recentes e voltar aos pacotes RHEL devido à versão RHEL do PHP ser de uma ramificação muito antiga. A mudança para a pilha LAMP desse repositório tocou pelo menos meia dúzia de pacotes ou mais. Portanto, manter esses pacotes e recompilá-los manualmente de vez em quando seria uma grande PITA.

Você também perde a capacidade de usar os avisos de segurança do fornecedor do SO em relação às vulnerabilidades do CVE para determinar se o seu sistema é ou não vulnerável a uma certa exploração desses pacotes. Isso provou ser um grande problema para mim anos depois, mesmo que eu nunca tivesse previsto na época.

Portanto, além de confiar na integridade e nas habilidades técnicas dos mantenedores, você deve se perguntar se confia neles para não seguir para um novo emprego que não permita que eles mantenham o repositório ou se casem e tenham filhos e não mais tem tempo, etc ....

Desde então, tenho me preocupado muito com o uso de repositórios de terceiros, especialmente aqueles que têm apenas uma pessoa executando-os.

adições digitais
fonte
Obrigado! Essas são todas as perguntas que eu já estou fazendo, mas sua experiência é parcialmente uma resposta à minha pergunta principal. Agora, espero que você possa obter algum feedback mais específico sobre o repo do Webtatic em particular, caso contrário, acho que seguirá seu conselho, que também é meu pressentimento e o que sempre fiz até agora. (Como você, sua versão sobre PHP ...)
Niki
4

A questão não é se confiamos em Andy, é se você confia em Andy.

Não estou familiarizado com o repositório, mas o botão de doação sugere um esforço pessoal. Sinta-se livre para contribuir se tiver valor para você.

Os pacotes parecem estar assinados pelo GnuPG, portanto é possível verificar com alguma certeza que os pacotes são autênticos. Você também pode verificar se ele está na rede de confiança.

Em relação à qualidade ou segurança, é melhor que alguém veja como está o repositório. Esse poderia ser você. Assine os avisos de segurança upstream e verifique se eles são afetados. Avalie os pacotes como um revisor faria para o Fedora.

Se a continuidade desses pacotes for importante para você, adquira habilidades semelhantes. Aprenda a empacotar ou contrate alguém que possa.

John Mahowald
fonte
1

Remi é o padrão para as versões mais recentes do PHP para RHEL. Ele é uma fonte estabelecida e confiável há muito tempo para pacotes RPM que está sendo ativamente mantida e inclui o maior número possível de pacotes relevantes.

A fonte webtatic é desconhecida e não é confiável. Não deve ser usado.

Eu o encontrei rodando em um sistema legado. Havia um sério vazamento de memória. Substituí-o pelo Remi, exatamente a mesma versão do PHP e de repente tudo está funcionando sem problemas. Eu não acho que seja uma compilação estável.

jgmjgm
fonte
0

Em geral, a menos que você saiba que existe um recurso que você realmente precisa e que realmente não pode viver (como muitas pessoas acreditam que não pode ... até que seja uma escolha entre 'velho' ou nada), fique com os pacotes do fornecedor.

Ensine aos seus webdevs por que um ramo não é um instantâneo estagnado e mostre a eles - o PHP é ótimo para isso - como o rebasing upstream traz muito mais bugs; e como, em muitos casos, o tempo de resposta para um backport em torno de um problema de segurança é realmente mais rápido e mais confiável por uma distro em sua filial mantida (porque é a prioridade e o trabalho de alguém) do que na versão original do OEM.

Você pode ser quem realmente consegue, e você deve ao resto de nós tentar ;-)

user2066657
fonte
O PHP é um exemplo bastante ruim para isso: quase sempre precisamos de versões pontuais para correções de bugs, mas as distribuições não as fornecem. Eles têm um bom motivo, é claro. Mas ter os repositórios disponíveis, onde podemos obter correções de bugs em lançamentos pontuais, é extremamente útil.
Michael Hampton
Usamos distros diferentes, suspeito. Não vi falta de correções de bugs e atualizações de segurança no PHP, mesmo que a distribuição tenha ramificado em uma certa versão upstream e a versão pareça bloqueada para o leigo. rpm -q php --changelog mostra atualizações semanais com correções de bugs e atualizações de segurança em abundância. Sinto muito se você não está recebendo a mesma quilometragem :-(
user2066657
Distros definitivamente diferentes. Não vejo isso no PHP no RHEL 7.5 ou CentOS 7.5. O Fedora atualizou os pacotes PHP e geralmente não tem esse problema. Felizmente, Remi Collet, o funcionário da Red Hat que constrói os pacotes PHP do RHEL, também mantém repos com lançamentos de pontos PHP. O que é parte da razão pela qual a Red Hat o contratou.
Michael Hampton
Hmm. Eu estava olhando para os RH / Centos. Não sei explicar por que você não está vendo o mesmo - changelog eu estou, e sinto muito por vê-lo. Desejo que Remi atualize o SCL um pouco mais. Estou vendo lentidão lá (7.1.8 e nem mesmo uma versão do pacote para atualizar). Na verdade, eu estava convencido de que ele seguiu em frente, esta manhã. Se ao menos o Fedora não fosse uma efemérida.
precisa saber é o seguinte
Verdade? Não sei quais pacotes você está vendo, mas não vejo atualizações desde o php-5.4.16-45.el7. Talvez você esteja procurando algo de uma coleção de software? Falando nisso, os SCLs estão em um ritmo um pouco mais lento. Se você realmente quer versões do PHP como eles acontecem, bateu-se rpms.remirepo.net
Michael Hampton