Inoffizielle / lokale Repositorys und wie unterscheiden sie sich von PPAs in Launchpad?


8

Normalerweise verwende ich die PPAs (Personal Package Archives) in launchpad.net, aber ich habe immer mehr festgestellt, dass einige Repositorys an anderen Orten erstellt werden oder eine Website, die Pakete auf ähnliche Weise wie Launchpad verwaltet.

Meine Fragen sind also:

  • Was ist ein offizielles und ein inoffizielles Repository (lokales Repository), einschließlich der außerhalb von Launchpad erstellten.

  • Wie lassen sich außerhalb von Launchpad erstellte Repositorys im Vergleich zu den darin enthaltenen Repositorys hinsichtlich der Sicherheit und der anderen Funktionen, die beide bieten, vergleichen?

  • Inwiefern unterscheiden sich offizielle Software-Repositorys von denen, die von PPAs von Drittanbietern in Launchpad oder außerhalb von Launchpad erstellt wurden?


Sie haben das Erstellen von Repositorys in Dropbox erwähnt. DropBox-Benutzer können kein APT-Repository erstellen, dropbox.comda die Benennung von extern zugänglichen URLs, die auf Benutzerinhalte verweisen, eingeschränkt ist. Das dl.dropbox.comRepository ist das Dropbox- eigene Repository, das die Dropbox-Software bereitstellt.
Eliah Kagan

Antworten:


6

Wenn Sie dies auf die einfachsten Begriffe zurückführen:

Was ist ein offizielles und ein inoffizielles Repository (lokales Repository), einschließlich der außerhalb von Launchpad erstellten.

Ein offizielles Repository ist eines, das als Teil von Ubuntu veröffentlicht wird und von Canonical und Ubuntu MOTUs verwaltet wird.

Sie bestehen derzeit aus Haupt-, eingeschränkten, Universums-, Multiversum-, Partner-, Extras und einige existieren in mehreren "Zuständen" (-vorgeschlagen, -aktualisiert, -backports usw.).

Die Repo-Namen können sich mit der Zeit ändern, aber der Punkt ist, dass dies der Fall ist.

Auf Spiegeln: Der Inhalt (MD5-Hashes von Dateien usw.) des Repositorys wird mit dem Ubuntu-Schlüssel signiert. Selbst wenn Sie die offiziellen Dateien von einem nicht offiziellen Spiegel abrufen, können Sie ziemlich sicher sein, dass es sich um die Originaldateien handelt .


Wie lassen sich außerhalb von Launchpad erstellte Repositorys im Vergleich zu den darin enthaltenen Repositorys hinsichtlich der Sicherheit und der anderen Funktionen, die beide bieten, vergleichen?

Sie können die Sicherheitsstufen nicht implizit zwischen einem Launchpad-PPA und einem anderen nicht offiziellen Repo vergleichen, das an anderer Stelle gehostet wird. Es läuft alles darauf hinaus, wie sehr Sie der Person vertrauen, die das Repo leitet.

Der Unterschied besteht darin, dass Sie mit einem Launchpad-PPA die Person sehen können, die die Dinge verpackt. Meistens können Sie die Quelle sehen. In anderen Repos (z. B. dl.google.com oder repo.steampowered.com) kennen Sie wahrscheinlich keine.

Vertrauen ist eine seltsame Sache.

In Bezug auf Funktionen ist ein Repo nur eine bestimmte Struktur von Verzeichnissen und Dateien, die im Web gehostet werden. Die einzigen Besonderheiten, die ich je gesehen habe, sind die Authentifizierung, mit der nur Personen, die Software gekauft haben, diese herunterladen können, aber diese grundlegende Webserver-Sicherheit und kaum besondere :)


Inwiefern unterscheiden sich offizielle Software-Repositorys von denen, die von PPAs von Drittanbietern in Launchpad oder außerhalb von Launchpad erstellt wurden?

Dies ist vielleicht die größte der Fragen und wird wahrscheinlich am besten (wenn auch indirekt) durch eine andere Frage beantwortet: Wie bekomme ich meine Software in Ubuntu?

Offizielle Repo-Software soll einen Entwicklungsprozess hinter sich haben. Teststufen, die Qualität und eine Menge Peer Review sicherstellen. PPA-Betreuer können diese Art von Prozess fördern, aber Sie können nicht davon ausgehen. Einige sind besser als andere.


0

Nur archive.ubuntu.com und security.ubuntu.com (und seine Spiegel) sind offizielle Repositories. Alles andere, einschließlich PPA, ist es nicht. Jedes PPA- und Drittanbieter-Repo ist anders. Sie können sie im Allgemeinen nicht vergleichen. zB habe ich 2 PPAs: eine, die Dinge bereitstellt, die Ubuntu nicht bietet, und eine mit Paketen, bei denen ich andere Verpackungsentscheidungen als Ubuntu treffe. Nicht vergleichbar :)


Dies ist falsch (obwohl es bearbeitet werden könnte, um korrekt zu sein). Offizieller Spiegel ist auch offiziell, zum Beispiel us.archive.ubuntu.com, gb.archive.ubuntu.comund so weiter. Die meisten Leute verwenden es nicht, archive.ubuntu.comweil es so langsam ist, und Ubuntu konfiguriert ein System automatisch so, dass es im Rahmen der Installation einen regionalen Spiegel verwendet (normalerweise ohne den Benutzer zu konsultieren oder zu erwähnen, dass dies der Fall ist).
Eliah Kagan

Und auch nicht offizielle Spiegel sind immer noch offiziell. Alle Pakete und Listen sind signiert. Es spielt keine Rolle, woher Sie die Dinge beziehen, aber sie werden nicht ohne weiteres installiert, wenn sie nicht mit ihren Signaturen übereinstimmen.
Oli

Sie haben den Text "(und seine Spiegel)" hinzugefügt, aber das erklärt ihn niemandem, der ihn noch nicht versteht. Eine gute Antwort auf diese Frage sollte erklären, wie man herausfindet, ob es sich um einen Ubuntu-Spiegel handelt ... oder zumindest, wie man die am häufigsten genannten offiziellen Ubuntu-Spiegel erkennt.
Eliah Kagan

Ich würde das hinzufügen, wenn es der Person, die die Frage stellt, einen Mehrwert bringen würde. Aber er zeigt bereits gute Kenntnisse darüber, wie Repositories funktionieren, so dass es überflüssig wäre.
Dennis Kaarsemaker

1
@ TennisKaarsemaker Fragen sind nicht nur für die Person, die sie gestellt hat. Deshalb sind Antworten öffentlich sichtbar! Selbst wenn Luis Alvarado dies nicht absichtlich zum Nutzen anderer angefordert hätte, sollten die Antworten klar erklärt werden. Aber Luis Alvarado hat dies tatsächlich zum Nutzen anderer angefragt - siehe diesen Chatraum (in dem Luis Alvarado während der Diskussion anwesend war) und diese Nachricht, in der er mir sagte, dass er dies gefragt hat .
Eliah Kagan
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.