Webtatic रिपॉजिटरी के पीछे कौन है और क्या आपको इस पर भरोसा है

12

वेबटिक रिपॉजिटरी में CentOS और RedHat के लिए बहुत सारे उपयोगी पैकेज हैं। हालाँकि रिपॉजिटरी बहुत अपारदर्शी है और मेरे पास इसके बारे में जानकारी हासिल करने के लिए कठिन समय है, "एंड्रयू थॉम्पसन" का ऐपर्ट, जिसे एंडी के रूप में जाना जाता है।

वह इन सभी उपयोगी पैकेजों को प्रदान करते हुए एक शानदार काम कर रहा है। मुझे लाइव कंपनी सर्वर पर रिपॉजिटरी का उपयोग करने की आवश्यकता है और अनौपचारिक रिपॉजिटरी का उपयोग करने से मेरे अंदर तुरंत अलार्म बज जाता है।

  • क्या यह एकल व्यक्ति भंडार है?
  • क्या यह किसी कंपनी द्वारा समर्थित है?
  • यह कुछ वर्षों के लिए मौजूद है, लेकिन कल के बारे में क्या लगता है? (विशाल क्षुद्रग्रह के अलावा जो हम सभी को मिटा सकता है)
  • यह कितना सुरक्षित है? मैं yum updateट्रोजन डाउनलोड करने के लिए अगला नहीं चाहता ।
  • प्रदान किए गए पैकेजों को कितनी जल्दी सुरक्षा फ़िक्सेस तैनात किया जाता है? ....

वास्तविक जीवन CentOS / RedHat प्रशासकों से प्रतिक्रिया की बहुत सराहना की जाएगी।

अग्रिम में धन्यवाद

centos  redhat  repository 
निकी
स्रोत
1
मैं ध्यान दूंगा कि ट्रस्ट के कम से कम दो अलग-अलग स्तर हैं: एक डेवलपर के रूप में, मैं मुख्य रूप से देखभाल करता हूं अगर पैकेज साफ हैं (दुर्भावनापूर्ण रूप से नहीं बदला गया है) और यथोचित रूप से अद्यतित हैं। यह एक sysadmin के रूप में है कि मैं लंबे समय तक समर्थन, और अनुरक्षकों की दीर्घायु के बारे में बहुत परवाह करता हूं।
झूमिनल
सही बात। यहाँ मैं sysadmin के रूप में पूछता हूं, सर्वर ओएस बदल रहा हूं / केवल हर 5 या अधिक वर्षों में सिखाता हूं
Niki
सिस्टम एडमिन और डेवलपर दोनों के रूप में बिल्ड के सभ्य स्रोतों का उपयोग करना महत्वपूर्ण है। अन्यथा आपको ऐसी समस्याएं पैदा होने का खतरा होगा जैसे खराब बिल्ड, बग्स या फीचर सेट में सीमाएं आदि। एक खराब स्रोत -O2 जैसी चीज़ों के बिना पैकेज वितरित कर सकता है और आप इसके अनुसार कुल अव्यक्त होंगे।
jgmjgm

जवाबों:

5

जब मैंने पहली बार लिनक्स एडमिन के रूप में 8 साल पहले शुरुआत की थी तो मैंने अपने LAMP स्टैक को अपग्रेड करने के लिए एक लोकप्रिय थर्ड पार्टी रिपॉजिटरी का उपयोग किया था। यह एक एकल व्यक्ति द्वारा चलाया गया था। प्राथमिक कारणों में से एक यह था कि डेवलपर्स मुझे PHP के एक नए संस्करण के लिए दबाव डाल रहा था जो आरएचईएल 5 के साथ आया था। इसने मुझे काट दिया।

व्यक्ति ने रिपॉजिटरी को छोड़ दिया इसलिए मुझे अब सुरक्षा अपडेट नहीं मिल रहा था, लेकिन मैं भी सभी नए पैकेजों को नहीं निकाल सका और आरएचईएल के संस्करण पीएचएचएल संस्करण के बहुत पुराने होने के कारण आरएचईएल पैकेजों में वापस चला गया। उस रिपॉजिटरी के LAMP स्टैक पर जाने से कम से कम आधा दर्जन पैकेज या उससे अधिक का स्पर्श हुआ। इसलिए, उन पैकेजों को बनाए रखना और समय-समय पर उन सभी को फिर से तैयार करना एक प्रमुख पीटीए होगा।

आप यह निर्धारित करने के लिए कि क्या आपका सिस्टम उन पैकेजों के लिए किसी विशेष कारनामे के प्रति संवेदनशील नहीं है या नहीं, CVE भेद्यता के संबंध में OS विक्रेता की सुरक्षा सलाह का उपयोग करने की क्षमता खो देता है। यह मेरे लिए वर्षों बाद एक बड़ी समस्या साबित हुई, भले ही उस समय मैंने कभी अनुमान नहीं लगाया था।

इसलिए, अनुरक्षकों की अखंडता और तकनीकी कौशल में विश्वास रखने के अलावा, आपको खुद से पूछना होगा कि क्या आप उन पर भरोसा करते हैं कि आप एक नई नौकरी पर न जाएं, जो उन्हें भंडार को बनाए रखने की अनुमति नहीं देते हैं, या शादी नहीं करते हैं और बच्चे और अब नहीं हैं समय है, आदि ...।

तब से मैं किसी भी तीसरे पक्ष के रिपॉजिटरी का उपयोग करने के बारे में बहुत चिंतित हूं, विशेष रूप से उन है कि केवल एक व्यक्ति उन्हें चला रहा है।

digitaladdictions
स्रोत
धन्यवाद! ये सभी प्रश्न हैं जो मैं पहले से ही अपने आप से पूछ रहा हूँ, हालाँकि आपका अनुभव आंशिक रूप से मेरे मुख्य प्रश्न का उत्तर है। अब मुझे उम्मीद है कि विशेष रूप से वेबटैटो रेपो के बारे में कुछ और विशिष्ट प्रतिक्रिया मिल सकती है, अन्यथा मुझे लगता है कि आपकी सलाह का पालन किया जाएगा, जो कि मेरी आंत की भावना भी है और मैंने हमेशा अब तक क्या किया। (आप की तरह, इसके PHP संस्करण के बारे में ...)
Niki
4

सवाल यह नहीं है कि अगर हम एंडी पर भरोसा करते हैं, यह वैसा ही है जैसे आप एंडी पर भरोसा करते हैं।

मैं रिपॉजिटरी से परिचित नहीं हूं लेकिन दान बटन एक व्यक्तिगत प्रयास का सुझाव देता है। यदि आपके पास इसका मूल्य है, तो योगदान करने के लिए स्वतंत्र महसूस करें।

पैकेजों पर हस्ताक्षर किए जाने वाले GnuPG दिखते हैं, इसलिए कुछ निश्चितता के साथ सत्यापित करना संभव है कि पैकेज प्रामाणिक हैं। आप यह भी देख सकते हैं कि वह ट्रस्ट के वेब पर है या नहीं।

गुणवत्ता या सुरक्षा के बारे में, इसका सबसे अच्छा अगर किसी और पर एक नज़र है कि रिपॉजिटरी कैसे कर रही है। ये आप हो सकते है। अपस्ट्रीम सुरक्षा सलाहकारों की सदस्यता लें और जांचें कि क्या वे प्रभावित हैं। फेडोरा के लिए एक समीक्षक के रूप में संकुल का मूल्यांकन करें।

यदि इन पैकेजों की निरंतरता आपके लिए महत्वपूर्ण है, तो समान कौशल प्राप्त करें। पैकेजिंग सीखें या किसी को किराए पर लें।

जॉन महोवाल्ड
स्रोत
1

रेमी आरएचईएल के लिए PHP के नवीनतम बिल्ड के लिए मानक है। वह RPM पैकेजों के लिए एक लंबे समय से स्थापित और विश्वसनीय स्रोत है जिसे सक्रिय रूप से बनाए रखा जा रहा है और इसमें यथासंभव प्रासंगिक पैकेज शामिल हैं।

वेबटैटिक स्रोत अज्ञात और अविश्वसनीय है। इसका उपयोग बिल्कुल नहीं किया जाना चाहिए।

मैंने इसे एक विरासत प्रणाली पर चलता पाया। इसमें एक गंभीर स्मृति रिसाव था। मैंने इसे रेमी के साथ बदल दिया, बिल्कुल वही PHP संस्करण और अचानक सब कुछ आसानी से चल रहा है। मुझे नहीं लगता कि यह एक स्थिर संकलन भी है।

jgmjgm
स्रोत
0

सामान्य तौर पर, जब तक आप नहीं जानते कि कोई ऐसी सुविधा है जिसकी आपको वास्तव में गंभीरता से आवश्यकता है और वास्तव में बिना नहीं रह सकते हैं (जैसा कि बहुत से लोग मानेंगे कि वे नहीं कर सकते .. जब तक कि यह 'पुराने' या कुछ नहीं के बीच एक विकल्प हो) तब तक विक्रेता पैकेज के साथ रहें।

अपने वेबदेवों को सिखाएं कि एक शाखा एक स्थिर स्नैपशॉट क्यों नहीं है, और उन्हें दिखाएं - PHP इसके लिए एक बढ़िया है - ऊपर की ओर रिबासिंग कहीं अधिक बग में लाता है; और कितने मामलों में एक सुरक्षा मुद्दे के आसपास एक बैकपोर्ट के लिए प्रतिक्रिया समय वास्तव में तेजी से और अधिक मज़बूती से अपने बनाए रखा शाखा में एक distro द्वारा दिया जाता है (क्योंकि यह किसी की प्राथमिकता और नौकरी है) अपस्ट्रीम OEM संस्करण की तुलना में।

आप वह हो सकते हैं जो वास्तव में सफल होता है, और आप इसे हम में से बाकी लोगों को देने की कोशिश करते हैं;;

user2066657
स्रोत
PHP इसके लिए एक बहुत ही खराब उदाहरण है: हमें लगभग हमेशा बगफिक्स के लिए बिंदु रिलीज की आवश्यकता होती है, लेकिन डिस्ट्रोस उन्हें प्रदान नहीं करते हैं। उनके पास अच्छा कारण है, बिल्कुल। लेकिन रिपॉजिट उपलब्ध होने से जहां हम पॉइंट रिलीज में बगफिक्स प्राप्त कर सकते हैं, वह बेहद मददगार है।
माइकल हैम्पटन
हम विभिन्न डिस्ट्रोस का उपयोग करते हैं, मुझे संदेह है। मैंने PHP में बगफिक्स और सुरक्षा अपडेट की कमी नहीं देखी है, भले ही डिस्ट्रो एक निश्चित अपस्ट्रीम संस्करण पर ब्रांच्ड हो गया हो और वर्जन आम आदमी के लिए लॉक हो गया हो। rpm -q php --changelog बगफिक्स और सुरक्षा अपडेट के साथ साप्ताहिक अपडेट दिखाता है। क्षमा करें, यदि आपको एक ही लाभ नहीं मिल रहा है :-(
user2066657
निश्चित रूप से अलग distros। मुझे नहीं लगता कि PHP में RHEL 7.5 या CentOS 7.5 पर। फेडोरा ने हालांकि PHP संकुल को अद्यतन किया है, और आमतौर पर यह समस्या नहीं है। सौभाग्य से रेमी कोलेट, रेड हैट कर्मचारी जो आरएचईएल के PHP पैकेज बनाता है, वह भी PHP पॉइंट रिलीज़ के साथ रिपोज़ को बनाए रखता है। जिस कारण से Red Hat ने उसे काम पर रखा है।
माइकल हैम्पटन
हम्म। मैं आरएच / सेंटोस वालों को देख रहा था। मैं यह नहीं समझा सकता कि आप वही क्यों नहीं देख रहे हैं -चैन्जेलॉग मैं हूं, और मुझे यह देखकर खेद है। काश रेमी SCL को थोड़ा और अपडेट करते। मैं वहाँ मंदी देख रहा हूँ (7.1.8 और अद्यतन करने के लिए पैकेज रिलीज़ भी नहीं)। मैं वास्तव में ज्यादातर आश्वस्त था कि वह आज सुबह चलेगा। यदि केवल फेडोरा एक मेवेदल नहीं था।
user2066657 20
वास्तव में? मुझे नहीं पता कि आप क्या पैकेज देख रहे हैं, लेकिन मुझे php-5.4.16-45.el7 के बाद से कोई अपडेट नहीं दिख रहा है। शायद आप एक सॉफ्टवेयर संग्रह से कुछ देख रहे हैं? जिस पर बोलते हुए, एससीएल थोड़ी धीमी गति से हैं। यदि आप वास्तव में PHP रिलीज करना चाहते हैं, तो वे rpms.remirepo.net पर
माइकल हैम्पटन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.