Repositórios não oficiais / locais e como eles diferem dos PPAs no Launchpad

8

Normalmente, costumo usar os PPAs (Personal Package Archives) encontrados no launchpad.net, mas notei cada vez mais que alguns repositórios estão sendo criados em outros lugares ou em um site que gerencia pacotes de maneira semelhante à Launchpad.

Então, minhas perguntas são:

  • O que é um repositório oficial e não oficial (Repositório Local), incluindo os criados fora do Launchpad.

  • Como os repositórios criados fora do Launchpad se comparam aos encontrados dentro dele em termos de segurança primeiro, seguidos por outros recursos que os dois oferecem.

  • Como os repositórios oficiais de software diferem daqueles criados por PPAs de terceiros no Launchpad ou fora dele.

ppa  repository  official-repositories  localrepository 
Luis Alvarado
fonte
Você mencionou a criação de repositórios no Dropbox. Os usuários do DropBox não podem criar um repositório APT dropbox.comdevido a limitações de como os URLs acessíveis externamente que apontam para o conteúdo do usuário são nomeados. O dl.dropbox.comrepositório é o próprio repositório do Dropbox, que fornece o software Dropbox.
Eliah Kagan 28/03

Respostas:

6

Se você voltar aos termos mais simples:

O que é um repositório oficial e não oficial (Repositório Local), incluindo os criados fora do Launchpad.

Um repositório oficial é aquele publicado como parte do Ubuntu, gerenciado pela Canonical e Ubuntu MOTUs.

Atualmente, eles consistem em principal, restrito, universo, multiverso, parceiro, extras e alguns existem em vários "estados" (propostos, atualizações, relatórios, etc).

Os nomes dos acordos compromissados ​​podem mudar com o tempo, mas o ponto é que são.

Nos espelhos: o conteúdo (hashes de arquivos MD5, etc) do repositório é assinado com a tecla Ubuntu, portanto, mesmo se você estiver puxando os arquivos oficiais de um espelho não oficial, pode ter certeza de que eles são os arquivos originais .

Como os repositórios criados fora do Launchpad se comparam aos encontrados dentro dele em termos de segurança primeiro, seguidos por outros recursos que os dois oferecem.

Você não pode comparar implicitamente os níveis de segurança entre um PPA do Launchpad e outro repositório não oficial hospedado em outro lugar. Tudo se resume a quanto você confia na pessoa que está executando o repo.

A diferença é que, com um PPA do Launchpad, você pode ver a pessoa que está empacotando as coisas. Na maioria das vezes você pode ver a fonte. Em outros repositórios (por exemplo: dl.google.com ou repo.steampowered.com), você provavelmente também não conhece.

Confiança é uma coisa estranha.

Um repositório em termos de recursos é apenas uma estrutura específica de diretórios e arquivos, hospedados na web. Os únicos recursos especiais que eu já vi são autenticação para permitir que apenas pessoas que compraram software façam o download, mas essa segurança muito básica do servidor da Web e dificilmente especial :)

Como os repositórios oficiais de software diferem daqueles criados por PPAs de terceiros no Launchpad ou fora dele.

Esta é talvez a maior das perguntas e provavelmente é melhor respondida (se indiretamente) por outra pergunta: Como colocar meu software no Ubuntu?

O software oficial de recompra deve ter um processo de desenvolvimento por trás. Níveis de teste que garantem qualidade e uma quantidade de revisão por pares. Os mantenedores do PPA podem incentivar esse tipo de processo, mas não é algo que você possa assumir. Alguns são melhores que outros.

Oli
fonte
0

Somente archive.ubuntu.com e security.ubuntu.com (e seus espelhos) são repositórios oficiais. Qualquer outra coisa, incluindo PPA, não é. Cada PPA e repositório de terceiros é diferente, você não pode compará-los em geral. por exemplo, eu tenho 2 PPAs: um que fornece coisas que o Ubuntu não fornece e outro com pacotes nos quais tomo decisões de empacotamento diferentes do Ubuntu. Não é comparável :)

Dennis Kaarsemaker
fonte
Isso está incorreto (embora possa ser editado para estar correto). Espelhos oficiais são oficiais também, por exemplo, us.archive.ubuntu.com, gb.archive.ubuntu.come assim por diante. A maioria das pessoas não usa archive.ubuntu.comporque é muito lento, e o Ubuntu configura automaticamente um sistema para usar um espelho regional como parte da instalação (normalmente sem consultar o usuário ou mencionar que ele está fazendo isso).
Eliah Kagan 28/03/2013
E espelhos não oficiais ainda são oficiais também. Todos os pacotes e listas são assinados. Não importa de onde você tira as coisas, mas elas não serão instaladas prontamente se não corresponderem às assinaturas.
Oli
Você adicionou o texto "(e seus espelhos)", mas isso não explica a quem ainda não o entende. Uma boa resposta para essa pergunta deve explicar como descobrir se algo é um espelho do Ubuntu ... ou pelo menos explicar como reconhecer os espelhos oficiais do Ubuntu mais comumente nomeados.
Eliah Kagan 28/03
Eu acrescentaria que, se isso agregasse valor à pessoa que fez a pergunta. Mas ele já demonstra um bom conhecimento prático de como os repositórios funcionam, por isso seria supérfluo.
Dennis Kaarsemaker 28/03
1
@DennisKaarsemaker As perguntas não são apenas para a pessoa que as perguntou. É por isso que as respostas são visíveis publicamente! Portanto, mesmo que Luis Alvarado não tenha deliberadamente pedido isso em benefício de outros , as respostas devem ser claramente explicadas. Mas Luis Alvarado, de fato, pediu isso para o benefício de outras pessoas - veja esta sala de bate-papo (na qual Luis Alvarado estava presente durante a discussão) e esta mensagem em que ele me disse que pediu isso .
Eliah Kagan 28/03
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.