TL;DR 它安全吗?

TL;DR 它安全吗?

在整个互联网上,我只找到了添加ondrej/php存储库以升级到 PHP-8 的参考资料(在 Ubuntu 上,如果这很重要)。我不太熟悉,也不清楚谁是ondrej(抱歉,也许他就像“PHP 世界中的 Linus”,但我不是资深开发人员,不知道)并且想知道,这是安装 PHP 8 的安全方法吗?这是官方存储库吗?


更新:事实证明,有办法编译官方php(来自 github)。

答案1

从 ppa 安装 php 是安全的ondrej/php

我是谁?

我从 2000 年起就是一名 Debian 开发人员,我从 PHP 5 开始就为 Debian 打包 PHP。这意味着 Debian 和 Ubuntu 中的官方软件包要么是我的作品,要么基于我的作品。我的 Ubuntu PPA 和 Debian DPA 中的 PHP 软件包与 Debian 中的官方软件包相匹配。基本上,我的意思是你不可能比这更接近了。

询问:@oerdnj

我是 ISC 的 DNS 工程总监,自 2000 年起成为 Debian 开发人员,自 2005 年起成为 Ubuntu 成员,自 2004 年起成为 Ubuntu Česká Republika 的创始成员。

我(共同)维护 Apache2、PHP、MariaDB、Cyrus SASL、Cyrus IMAP、Berkeley DB 和 Debian 中的所有 DNS,并且还为这些软件包(PHP)提供了半官方的 PPA。我是 Debian GNOME GTK+ 打包团队的成员。(换句话说,我见过你们无法相信的事情。:-))

我是两个 apache 模块(mod-vhost-ldap 和 mod-log-spread2)的作者,也是快速权威 DNS 服务器 Knot DNS 的合著者,现在我致力于互联网上使用最广泛的 DNS 服务器 BIND 的工作。

我拥有路由、DNS、DNSSEC、Debian 打包等方面的专业知识,请在此处列出 :)。

开发人员正在准备新手包debsuryorg-archive-keyring以自动更新 PGP 密钥。

应该apt-key list打印:

pub   rsa1024 2009-01-26 [SC]
      14AA 40EC 0831 7567 56D7  F66C 4F4E A0AA E526 7A6C
uid           [ unknown] Launchpad PPA for Ondřej Surý

推特:翁德热伊·苏里

github: 翁德热伊·苏里

安装说明:

sudo apt install software-properties-common
sudo add-apt-repository ppa:ondrej/php
sudo apt update
sudo apt install php8.0

答案2

为了完整起见,我会将我的评论扩展为答案,让你决定。

A电力供应协议是个人软件包档案。有人从其他来源获取源代码并将其打包,以便 Ubuntu 用户可以轻松安装它们。

你对“信任”的疑问归根结底在于你担心什么?事实上,任何人都可以创建一个 PPA,并创建一个看起来完美的闪亮主页。要记住的一件事是,制作 PPA 的人通常都是志愿者,就像我们这些阅读 AskUbuntu 的人一样。所以,没有任何保证。事实上,你提到的那个在这些安装中有所描述指示,然后引用PPA。在这次 PPA 上,他们诚实地说:

Disclaimer: there's no guarantee of timely updates in case of security 
problems or other issues. If you want to use them in a security-or-
otherwise-critical environment (say, on a production server), you do 
so at your own risk.

类似这样的事情符合或不符合你对信任的定义吗?似乎每个人对信任的定义都不同。事实上,如果我说“是的,你可以信任那个 PPA!”——但你为什么要相信我呢?

我的经验法则是,无论它是 Ubuntu PPA 还是 Microsoft Windows 的某些安装可执行文件,如果我担心,我就不应该下载它。就你的情况而言,你当前的 PHP 版本应该足够了,我想知道你是否“需要”PHP-8 中的功能,还是你只是毫无理由地想要最新版本?

如果你仍然需要 PHP-8,那么你可以自己下载并安装。这是 PHP 的网站居住。此源的安装说明可用这里。这是您能获得的最值得信赖的……

答案3

来自 CentOS 背景...

例如,Ubuntu 20.04 的官方存储库包含 PHP 7.4.3(带有反向移植修复)。如果您想要更高版本的版本,则需要有人为您将其编译成包。我倾向于寻找构建者的知名度。在 RHEL/CentOS 世界中,那个人是雷米·科莱(PHP 贡献者)有一个 repo 用于存放他的作品

同样地ondrej 有一个网站。他不仅看起来很出名,他与其他 Ubuntu 软件包开发人员合作他似乎此 GitHub 贡献者

TL;DR 它安全吗?

事实上,众所周知,这意味着你不太可能遇到一些带有构建问题或恶意代码的角落构建。当然,没有保证,但是没有公司可以保证你没有恶意入侵,但如果有一个更知名的仓库,它就不太可能被忽视。

答案4

正如 ray 指出的,“任何人都可以创建一个 PPA 并创建一个看起来完美的闪亮主页”。

因此让我们尝试验证这些说法。

我们可以通过查看 Debian 网站来了解 Debian php 软件包的维护者是谁。Ondřej Surý 确实是 Debian 中 php 软件包的维护者之一。https://tracker.debian.org/pkg/php-defaults

Ondřej Surý 被列为 Debian 开发人员,其 gpg 密钥为 30B9 33D8 0FCE 3D98 1A2D 38FB 0C99 B70E F4FC BB07https://nm.debian.org/person/ondrej/

所以问题就变成了维护 Debian 中的 php 包的 Ondřej Surý 是否与运营 deb.sury.org 的人是同一个人。

我们可以查看与 GPG 密钥关联的电子邮件地址。上面提到的 gpg 密钥上的主要电子邮件地址是“[电子邮件保护]“,对我来说,这强烈表明 sury.org 域名由 ondrej sury 或至少是他的家人控制。

launchpad 帐户和 sury.org 域名也已经存在很长时间了。该域名于 2002 年注册,launchpad 帐户于 2005 年创建。launchpad 帐户上的用户名与 Ondřej Surý 的 Debian 用户名一致。

总之,我非常有信心,该 PPA 背后的人与维护 Debian 中的 php 包的人是同一个人。

相关内容