谁是背后的Webtatic存储库，您信任它吗

Webtatic资料库有许多对CentOS和RedHat有用的软件包。但是，该存储库非常不透明，我很难找到谁在其中背后的信息。

他提供所有这些有用的软件包似乎做得很好。我需要在实时公司服务器上使用存储库，而使用非官方存储库会立即触发警报。

• 它是单人资料库吗？
• 有公司支持吗？
• 它似乎已经存在了几年，但是明天呢？（除了可以消灭我们所有人的巨型小行星之外）
• 它有多安全？我不想在旁边yum update下载木马。
• 提供的软件包的安全修补程序有多快部署？....

现实生活中的CentOS / RedHat管理员的反馈将不胜感激。

提前致谢

八年前，当我刚开始作为Linux管理员时，我曾经使用一个流行的第三方存储库来升级我的LAMP堆栈。它是由一个人经营的。主要原因之一是开发人员向我施加了比RHEL 5附带的PHP更新版本的压力。

该人员放弃了存储库，因此我不再获得安全更新，但是由于PHP的RHEL版本太旧了，我也无法删除所有较新的软件包并返回RHEL软件包。转移到该存储库的LAMP堆栈至少要涉及六个软件包或更多。因此，维护这些软件包并不时手动重新编译它们将是主要的PITA。

您还将失去使用操作系统供应商有关CVE漏洞的安全公告来确定您的系统是否容易受到针对这些软件包的某种利用的攻击的能力。多年后，这对我来说是一个主要问题，即使我当时从未想到过。

因此，除了信任维护者的完整性和技术技能外，您还必须问自己是否信任他们不要继续从事不允许他们维护资料库的新工作，或者结婚生子而不再有时间等...

从那时起，我一直对使用任何第三方存储库（尤其是只有一个人运行它们的存储库）非常不屑一顾。

问题不是我们是否信任安迪，而是您是否信任安迪。

我不熟悉存储库，但是捐赠按钮表明了个人的努力。如果对您有价值，请随时贡献。

程序包看起来是经过GnuPG签名的，因此可以确定地确定程序包是真实的。您还可以检查他是否在信任网络上。

关于质量或安全性，最好是其他人看看存储库的运行情况。可能是你 订阅上游安全公告，并检查它们是否受到影响。像Fedora的审阅者一样评估软件包。

如果这些软件包的连续性对您很重要，请掌握类似的技能。学习包装或雇用可以的人。

Remi是用于RHEL的最新PHP版本的标准。他是RPM软件包的长期建立且可靠的来源，正在积极维护RPM软件包，并包括尽可能多的相关软件包。

网络资源是未知且不受信任的。完全不应该使用它。

我发现它在旧系统上运行。它有严重的内存泄漏。我用Remi（完全相同的PHP版本）替换了它，然后突然一切运行顺利。我认为它甚至不是稳定的编译。

通常，除非您知道确实需要一个功能，否则实际上就无法生存（因为许多人会认为他们无法……直到在“旧”或“无”之间做出选择）然后坚持使用供应商软件包。

教您的Webdev为何分支不是停滞快照，并向他们展示-PHP是一个很好的解决方案-上游重新部署会带来更多错误；以及与上游OEM版本相比，发行版在其维护分支中的分发版（因为这是某人的优先事项和工作）实际上在许多情况下对发行版的安全问题进行响应的响应时间实际上更快，更可靠。

您可能是真正成功的人，您应该归功于我们其他人；-)