Webtatic 存储库有很多适用于 CentOS 和 RedHat 的有用软件包。但是,这个存储库非常不透明,我很难找到谁是它的幕后推手,除了“Andrew Thompson”(这里人称他为 Andy)之外。
他似乎在提供所有这些有用的软件包方面做得很好。我需要在公司的实时服务器上使用存储库,而使用非官方存储库会立即引起我的警惕。
- 它是单人存储库吗?
- 它有公司支持吗?
- 它似乎已经存在几年了,但明天会怎样呢?(除了那颗可以消灭我们所有人的巨型小行星)
- 它安全吗?我不想
yum update
下载木马。 - 所提供软件包的安全修复部署速度有多快?......
我们将非常感谢现实生活中的 CentOS/RedHat 管理员的反馈。
提前致谢
答案1
8 年前,当我刚开始担任 Linux 管理员时,我曾经使用一个流行的第三方存储库来升级我的 LAMP 堆栈。它由一个人管理。主要原因之一是开发人员向我施压,要求我使用比 RHEL 5 附带的版本更新的 PHP 版本。结果我受了委屈。
该人放弃了存储库,所以我不再获得安全更新,但我也无法删除所有较新的软件包并返回到 RHEL 软件包,因为 RHEL 版本的 PHP 来自太旧的分支。移动到该存储库的 LAMP 堆栈至少会触及六个或更多的软件包。因此,维护这些软件包并时不时地手动重新编译它们将是一项艰巨的任务。
您也无法使用操作系统供应商关于 CVE 漏洞的安全建议来确定您的系统是否容易受到这些软件包的某些攻击。多年后,这对我来说是一个大问题,尽管我当时从未预料到。
因此,除了信任维护者的诚信和技术技能之外,您还必须问自己是否相信他们不会换到一份无法维护存储库的新工作,或者结婚生子而不再有时间等等......
从那时起,我一直对使用任何第三方存储库非常谨慎,尤其是那些只有一个人运行的存储库。
答案2
问题不在于我们是否信任安迪,而在于你是否信任安迪。
我不熟悉这个存储库,但捐赠按钮表明了个人努力。如果它对你有价值,请随意贡献。
软件包看起来是经过 GnuPG 签名的,因此可以确定这些软件包是真实的。您还可以检查他是否在信任网上。
关于质量或安全性,最好让其他人看看存储库的运行情况。这个人可能是你。订阅上游安全公告并检查它们是否受到影响。像 Fedora 的审阅者一样评估软件包。
如果这些包装的连续性对你来说很重要,那么就掌握类似的技能。学习包装或雇佣会包装的人。
答案3
Remi 是 RHEL 最新版本 PHP 的标准。他是 RPM 软件包的长期可靠来源,并且得到积极维护,并包含尽可能多的相关软件包。
webtatic 来源未知且不可信任。根本不应该使用它。
我发现它运行在旧系统上。它有严重的内存泄漏。我用 Remi 替换了它,完全相同的 PHP 版本,突然一切都运行顺利了。我认为它甚至不是一个稳定的编译。
答案4
一般来说,除非你知道有一个功能是你真正需要的,而且实际上没有它你就活不下去的(很多人会认为他们没有它就活不下去……直到要在“旧”或什么都没有之间做出选择),那么就坚持使用供应商包。
向您的 webdev 讲解为什么分支不是停滞的快照,并向他们展示(PHP 就是一个很好的例子)上游变基如何带来更多的 bug;以及在很多情况下,对于安全问题的反向移植响应时间实际上比上游 OEM 版本更快、更可靠(因为这是某人的优先事项和工作)。
您可能是真正成功的人,并且您应该为我们其他人尝试一下 ;-)