Webtatic存储库为CentOS和RedHat提供了许多有用的软件包。 然而,这个存储库是非常不透明的,我很难find关于它的背后的信息,在这里被称作Andy的“Andrew Thompson”。
他似乎在提供所有这些有用的软件包方面做得很好。 我需要使用公司服务器上的存储库,并使用非官方的仓库触发立即报警。
yum update下载木马。 来自现实生活CentOS / RedHatpipe理员的反馈将不胜感激。
提前致谢
问题不是我们相信安迪,而是相信安迪。
我对存储库不熟悉,但是捐赠button暗示了一个人的努力。 如果对您有价值,请随时投稿。
软件包看起来是GnuPG签名的,所以有可能确定软件包是真实的。 你也可以检查他是否在信任的networking上。
关于质量或安全性,如果其他人看看存储库是如何做的,那么最好。 这可能是你。 订阅上游安全build议并检查是否受到影响。 评估软件包,作为Fedora的审阅者。
如果这些软件包的连续性对你很重要,可以获得类似的技能。 学习包装或聘请谁可以。
当我第一次开始作为一个Linuxpipe理员8年前,我使用一个stream行的第三方存储库来升级我的LAMP堆栈。 它是由一个人运行的。其中一个主要原因是开发人员向我推荐了一个比RHEL 5更新版本的PHP。它最终使我感到困扰。
这个人放弃了软件仓库,所以我不再去获取安全更新,但是由于RHEL版本太旧,我也无法删除所有新的软件包并返回到RHEL软件包。 搬到那个仓库LAMP堆栈碰到至less六打包或更多。 因此,维护这些软件包并不时手工重新编译它们将成为主要的PITA。
您也失去了使用操作系统供应商安全公告有关CVE漏洞的能力,以确定您的系统是否受到这些软件包的某个漏洞的攻击。 事实certificate,这是我几年后的一个主要问题,尽pipe我当时从未预料过。
所以,除了相信维护者的正直和技术技能以外,你还要问问自己,如果你相信他们不要让一个新的工作不能让他们维护知识库,结婚,生孩子,不再有时间….
从那时起,我一直对使用任何第三方存储库非常敏感,特别是那些只有一个人在运行的存储库。