Normalerweise verwende ich die PPAs (Personal Package Archives) von launchpad.net, mir fällt jedoch zunehmend auf, dass an anderen Stellen oder auf einer Website, die Pakete auf ähnliche Weise wie Launchpad verwaltet, einige Repositories erstellt werden.
Meine Fragen sind also:
Was ist ein offizielles und was ein inoffizielles Repository (lokales Repository), einschließlich derjenigen, die außerhalb von Launchpad erstellt wurden.
Wie schneiden außerhalb von Launchpad erstellte Repositories im Vergleich zu den darin enthaltenen ab, und zwar zunächst in Bezug auf die Sicherheit und dann in Bezug auf weitere Funktionen, die beide bieten?
Wie unterscheiden sich offizielle Software-Repositorys von denen, die von PPAs von Drittanbietern in Launchpad oder außerhalb davon erstellt werden?
Antwort1
Um es auf das Einfachste zu reduzieren:
Was ist ein offizielles und was ein inoffizielles Repository (lokales Repository), einschließlich derjenigen, die außerhalb von Launchpad erstellt wurden.
Einoffizielles Archivist ein als Teil von Ubuntu veröffentlichtes, von Canonical und Ubuntu MOTUs verwaltetes.
Sie bestehen derzeit aus den Kategorien „Main“, „Restricted“, „Universe“, „Multiverse“, „Partner“, „Extras“ und einige existieren in mehreren „Zuständen“ (-proposed, -updates, -backports usw.).
Die Repo-Namen können sich mit der Zeit ändern, aber der Punkt ist, dass diese … sind.
Zu Spiegeln:Der Inhalt (MD5-Hashes von Dateien usw.) des Repository ist mit dem Ubuntu-Schlüssel signiert. Selbst wenn Sie also die offiziellen Dateien von einem nicht offiziellen Spiegel abrufen, können Sie ziemlich sicher sein, dass es sich um die Originaldateien handelt.
Wie schneiden außerhalb von Launchpad erstellte Repositories im Vergleich zu den darin enthaltenen ab, und zwar zunächst in Bezug auf die Sicherheit und dann in Bezug auf weitere Funktionen, die beide bieten?
Sie können die Sicherheitsstufen zwischen einem Launchpad-PPA und einem anderen, nicht offiziellen, woanders gehosteten Repo nicht implizit vergleichen.Es läuft alles darauf hinaus, wie sehr Sie der Person vertrauen, die das Repo betreibt.
Der Unterschied besteht darin, dass Sie bei einem Launchpad PPA die Person sehen können, die die Dinge verpackt. In den meisten Fällen können Sie die Quelle sehen. Bei anderen Repos (z. B. dl.google.com oder repo.steampowered.com) kennen Sie wahrscheinlich weder das eine noch das andere.
Vertrauen ist eine seltsame Sache.
In Bezug auf die Funktionen ist ein Repo nur eine bestimmte Struktur aus Verzeichnissen und Dateien, die im Web gehostet werden. Die einzigen besonderen Funktionen, die ich je gesehen habe, sind die Authentifizierung, die es nur Leuten erlaubt, die Software gekauft haben, diese herunterzuladen, aber das ist sehr grundlegende Webserver-Sicherheit und kaum etwas Besonderes :)
Wie unterscheiden sich offizielle Software-Repositorys von denen, die von PPAs von Drittanbietern in Launchpad oder außerhalb davon erstellt werden?
Dies ist vielleicht die größte dieser Fragen und lässt sich am besten (wenn auch indirekt) durch eine andere Frage beantworten:Wie bekomme ich meine Software in Ubuntu?
Offizielle Repo-Software istangeblicheinen Entwicklungsprozess dahinter zu haben. Teststufen, die Qualität sicherstellen, und ein gewisses Maß an Peer-Review. PPA-Betreuer können diese Art von Prozess fördern, aber man kann nicht davon ausgehen, dass dies der Fall ist. Einige sind besser als andere.
Antwort2
Nur archive.ubuntu.com und security.ubuntu.com (und deren Spiegel) sind offizielle Repositories. Alles andere, einschließlich PPA, ist es nicht. Jedes PPA und jedes Drittanbieter-Repo ist anders, man kann sie nicht generell vergleichen. Ich habe z. B. 2 PPAs: eines, das Dinge bereitstellt, die Ubuntu nicht bietet, und eines mit Paketen, bei denen ich andere Verpackungsentscheidungen treffe als Ubuntu. Nicht vergleichbar :)