TL;DR 它安全吗？

Question 1

从 ppa 安装 php 是安全的ondrej/php。

我从 2000 年起就是一名 Debian 开发人员，我从 PHP 5 开始就为 Debian 打包 PHP。这意味着 Debian 和 Ubuntu 中的官方软件包要么是我的作品，要么基于我的作品。我的 Ubuntu PPA 和 Debian DPA 中的 PHP 软件包与 Debian 中的官方软件包相匹配。基本上，我的意思是你不可能比这更接近了。

询问：@oerdnj

我是 ISC 的 DNS 工程总监，自 2000 年起成为 Debian 开发人员，自 2005 年起成为 Ubuntu 成员，自 2004 年起成为 Ubuntu Česká Republika 的创始成员。

我（共同）维护 Apache2、PHP、MariaDB、Cyrus SASL、Cyrus IMAP、Berkeley DB 和 Debian 中的所有 DNS，并且还为这些软件包（PHP）提供了半官方的 PPA。我是 Debian GNOME GTK+ 打包团队的成员。（换句话说，我见过你们无法相信的事情。:-)）

我是两个 apache 模块（mod-vhost-ldap 和 mod-log-spread2）的作者，也是快速权威 DNS 服务器 Knot DNS 的合著者，现在我致力于互联网上使用最广泛的 DNS 服务器 BIND 的工作。

我拥有路由、DNS、DNSSEC、Debian 打包等方面的专业知识，请在此处列出 :)。

开发人员正在准备新手包debsuryorg-archive-keyring以自动更新 PGP 密钥。

应该apt-key list打印：

pub   rsa1024 2009-01-26 [SC]
      14AA 40EC 0831 7567 56D7  F66C 4F4E A0AA E526 7A6C
uid           [ unknown] Launchpad PPA for Ondřej Surý

推特：翁德热伊·苏里

github：翁德热伊·苏里

安装说明：

sudo apt install software-properties-common
sudo add-apt-repository ppa:ondrej/php
sudo apt update
sudo apt install php8.0

Answer

从 ppa 安装 php 是安全的ondrej/php。

我是谁？

我从 2000 年起就是一名 Debian 开发人员，我从 PHP 5 开始就为 Debian 打包 PHP。这意味着 Debian 和 Ubuntu 中的官方软件包要么是我的作品，要么基于我的作品。我的 Ubuntu PPA 和 Debian DPA 中的 PHP 软件包与 Debian 中的官方软件包相匹配。基本上，我的意思是你不可能比这更接近了。

询问：@oerdnj

我是 ISC 的 DNS 工程总监，自 2000 年起成为 Debian 开发人员，自 2005 年起成为 Ubuntu 成员，自 2004 年起成为 Ubuntu Česká Republika 的创始成员。

我（共同）维护 Apache2、PHP、MariaDB、Cyrus SASL、Cyrus IMAP、Berkeley DB 和 Debian 中的所有 DNS，并且还为这些软件包（PHP）提供了半官方的 PPA。我是 Debian GNOME GTK+ 打包团队的成员。（换句话说，我见过你们无法相信的事情。:-)）

我是两个 apache 模块（mod-vhost-ldap 和 mod-log-spread2）的作者，也是快速权威 DNS 服务器 Knot DNS 的合著者，现在我致力于互联网上使用最广泛的 DNS 服务器 BIND 的工作。

我拥有路由、DNS、DNSSEC、Debian 打包等方面的专业知识，请在此处列出 :)。

开发人员正在准备新手包debsuryorg-archive-keyring以自动更新 PGP 密钥。

应该apt-key list打印：

pub   rsa1024 2009-01-26 [SC]
      14AA 40EC 0831 7567 56D7  F66C 4F4E A0AA E526 7A6C
uid           [ unknown] Launchpad PPA for Ondřej Surý

推特：翁德热伊·苏里

github：翁德热伊·苏里

安装说明：

sudo apt install software-properties-common
sudo add-apt-repository ppa:ondrej/php
sudo apt update
sudo apt install php8.0

Question 2

为了完整起见，我会将我的评论扩展为答案，让你决定。

A电力供应协议是个人软件包档案。有人从其他来源获取源代码并将其打包，以便 Ubuntu 用户可以轻松安装它们。

你对“信任”的疑问归根结底在于你担心什么？事实上，任何人都可以创建一个 PPA，并创建一个看起来完美的闪亮主页。要记住的一件事是，制作 PPA 的人通常都是志愿者，就像我们这些阅读 AskUbuntu 的人一样。所以，没有任何保证。事实上，你提到的那个在这些安装中有所描述指示，然后引用这PPA。在这次 PPA 上，他们诚实地说：

Disclaimer: there's no guarantee of timely updates in case of security 
problems or other issues. If you want to use them in a security-or-
otherwise-critical environment (say, on a production server), you do 
so at your own risk.

类似这样的事情符合或不符合你对信任的定义吗？似乎每个人对信任的定义都不同。事实上，如果我说“是的，你可以信任那个 PPA！”——但你为什么要相信我呢？

我的经验法则是，无论它是 Ubuntu PPA 还是 Microsoft Windows 的某些安装可执行文件，如果我担心，我就不应该下载它。就你的情况而言，你当前的 PHP 版本应该足够了，我想知道你是否“需要”PHP-8 中的功能，还是你只是毫无理由地想要最新版本？

如果你仍然需要 PHP-8，那么你可以自己下载并安装。这是 PHP 的网站居住。此源的安装说明可用这里。这是您能获得的最值得信赖的……

Answer

为了完整起见，我会将我的评论扩展为答案，让你决定。

A电力供应协议是个人软件包档案。有人从其他来源获取源代码并将其打包，以便 Ubuntu 用户可以轻松安装它们。

你对“信任”的疑问归根结底在于你担心什么？事实上，任何人都可以创建一个 PPA，并创建一个看起来完美的闪亮主页。要记住的一件事是，制作 PPA 的人通常都是志愿者，就像我们这些阅读 AskUbuntu 的人一样。所以，没有任何保证。事实上，你提到的那个在这些安装中有所描述指示，然后引用这PPA。在这次 PPA 上，他们诚实地说：

Disclaimer: there's no guarantee of timely updates in case of security 
problems or other issues. If you want to use them in a security-or-
otherwise-critical environment (say, on a production server), you do 
so at your own risk.

类似这样的事情符合或不符合你对信任的定义吗？似乎每个人对信任的定义都不同。事实上，如果我说“是的，你可以信任那个 PPA！”——但你为什么要相信我呢？

我的经验法则是，无论它是 Ubuntu PPA 还是 Microsoft Windows 的某些安装可执行文件，如果我担心，我就不应该下载它。就你的情况而言，你当前的 PHP 版本应该足够了，我想知道你是否“需要”PHP-8 中的功能，还是你只是毫无理由地想要最新版本？

如果你仍然需要 PHP-8，那么你可以自己下载并安装。这是 PHP 的网站居住。此源的安装说明可用这里。这是您能获得的最值得信赖的……

Question 3

来自 CentOS 背景...

例如，Ubuntu 20.04 的官方存储库包含 PHP 7.4.3（带有反向移植修复）。如果您想要更高版本的版本，则需要有人为您将其编译成包。我倾向于寻找构建者的知名度。在 RHEL/CentOS 世界中，那个人是雷米·科莱（PHP 贡献者）有一个 repo 用于存放他的作品。

同样地ondrej 有一个网站。他不仅看起来很出名，他与其他 Ubuntu 软件包开发人员合作他似乎此 GitHub 贡献者。

TL;DR 它安全吗？

事实上，众所周知，这意味着你不太可能遇到一些带有构建问题或恶意代码的角落构建。当然，没有保证，但是没有公司可以保证你没有恶意入侵，但如果有一个更知名的仓库，它就不太可能被忽视。

Answer

来自 CentOS 背景...

例如，Ubuntu 20.04 的官方存储库包含 PHP 7.4.3（带有反向移植修复）。如果您想要更高版本的版本，则需要有人为您将其编译成包。我倾向于寻找构建者的知名度。在 RHEL/CentOS 世界中，那个人是雷米·科莱（PHP 贡献者）有一个 repo 用于存放他的作品。

同样地ondrej 有一个网站。他不仅看起来很出名，他与其他 Ubuntu 软件包开发人员合作他似乎此 GitHub 贡献者。

TL;DR 它安全吗？

事实上，众所周知，这意味着你不太可能遇到一些带有构建问题或恶意代码的角落构建。当然，没有保证，但是没有公司可以保证你没有恶意入侵，但如果有一个更知名的仓库，它就不太可能被忽视。

Question 4

正如 ray 指出的，“任何人都可以创建一个 PPA 并创建一个看起来完美的闪亮主页”。

因此让我们尝试验证这些说法。

我们可以通过查看 Debian 网站来了解 Debian php 软件包的维护者是谁。Ondřej Surý 确实是 Debian 中 php 软件包的维护者之一。https://tracker.debian.org/pkg/php-defaults

Ondřej Surý 被列为 Debian 开发人员，其 gpg 密钥为 30B9 33D8 0FCE 3D98 1A2D 38FB 0C99 B70E F4FC BB07https://nm.debian.org/person/ondrej/

所以问题就变成了维护 Debian 中的 php 包的 Ondřej Surý 是否与运营 deb.sury.org 的人是同一个人。

我们可以查看与 GPG 密钥关联的电子邮件地址。上面提到的 gpg 密钥上的主要电子邮件地址是“[电子邮件保护]“，对我来说，这强烈表明 sury.org 域名由 ondrej sury 或至少是他的家人控制。

launchpad 帐户和 sury.org 域名也已经存在很长时间了。该域名于 2002 年注册，launchpad 帐户于 2005 年创建。launchpad 帐户上的用户名与 Ondřej Surý 的 Debian 用户名一致。

总之，我非常有信心，该 PPA 背后的人与维护 Debian 中的 php 包的人是同一个人。

Answer

正如 ray 指出的，“任何人都可以创建一个 PPA 并创建一个看起来完美的闪亮主页”。

因此让我们尝试验证这些说法。

我们可以通过查看 Debian 网站来了解 Debian php 软件包的维护者是谁。Ondřej Surý 确实是 Debian 中 php 软件包的维护者之一。https://tracker.debian.org/pkg/php-defaults

Ondřej Surý 被列为 Debian 开发人员，其 gpg 密钥为 30B9 33D8 0FCE 3D98 1A2D 38FB 0C99 B70E F4FC BB07https://nm.debian.org/person/ondrej/

所以问题就变成了维护 Debian 中的 php 包的 Ondřej Surý 是否与运营 deb.sury.org 的人是同一个人。

我们可以查看与 GPG 密钥关联的电子邮件地址。上面提到的 gpg 密钥上的主要电子邮件地址是“[电子邮件保护]“，对我来说，这强烈表明 sury.org 域名由 ondrej sury 或至少是他的家人控制。

launchpad 帐户和 sury.org 域名也已经存在很长时间了。该域名于 2002 年注册，launchpad 帐户于 2005 年创建。launchpad 帐户上的用户名与 Ondřej Surý 的 Debian 用户名一致。

总之，我非常有信心，该 PPA 背后的人与维护 Debian 中的 php 包的人是同一个人。

TL;DR 它安全吗？

答案1

答案2

答案3

TL;DR 它安全吗？

答案4

相关内容