主页 / ubuntu / 问题 / 1333214
Accepted
T.Todua
Asked: 2021-04-23 08:32:19 +0800 CST

我可以信任我不熟悉的 repo 来为我提供安全的 PHP 8.0 包吗?

  • 772

在整个互联网上,我只找到了添加ondrej/php存储库以升级到 PHP-8 的引用(在 Ubuntu 上,如果这很重要)。我不熟悉,或者是谁ondrej(抱歉,也许他就像“PHP 世界中的 Linus”,但我不是资深开发人员也不知道)并且想知道,安装 PHP 8 的安全方式和是官方仓库吗?

更新:原来有办法编译官方php(来自github)。

php

4 个回答

  1. ondrej/phpppa 安装 php 是安全的。

    我是谁?

    自 2000 年以来,我一直是 Debian 开发人员,自 PHP 5 以来我一直在为 Debian 打包 PHP。这意味着 Debian 和 Ubuntu 中的官方软件包要么是我的作品,要么是基于我的作品。我的 Ubuntu PPA 和 Debian DPA 中的 PHP 包与 Debian 中的官方包匹配。基本上我是说你不能再接近了。

    阿斯库班图:@oerdnj

    我是 ISC 的 DNS 工程总监,自 2000 年起担任 Debian 开发人员,自 2005 年起担任 Ubuntu 成员,自 2004 年起担任 Ubuntu Česká Republika 的创始成员。

    我(共同)维护 Apache2、PHP、MariaDB、Cyrus SASL、Cyrus IMAP、Berkeley DB 和 Debian 中的所有 DNS,并且还为这些软件包(PHP)提供了半官方的 PPA。我一直是 Debian GNOME GTK+ 打包团队的成员。(换句话说,我看到了你们人们不会相信的事情。:-))

    我是两个 apache 模块(mod-vhost-ldap 和 mod-log-spread2)的作者,我是 Knot DNS(一种快速的权威 DNS 服务器)的合著者,现在我在 BIND(最常用的 DNS 服务器)上工作在网上。

    我在路由、DNS、DNSSEC、Debian 打包等方面拥有专业知识,在这里列出更多内容:)。

    开发者正在准备一个新人包debsuryorg-archive-keyring来自动更新PGP密钥。

    apt-key list应该打印:

    pub   rsa1024 2009-01-26 [SC]
      14AA 40EC 0831 7567 56D7  F66C 4F4E A0AA E526 7A6C
uid           [ unknown] Launchpad PPA for Ondřej Surý

    推特:Ondřej Sury

    github: Ondřej苏里

    安装说明:

    sudo apt install software-properties-common
sudo add-apt-repository ppa:ondrej/php
sudo apt update
sudo apt install php8.0
    • 19
  2. Best Answer

    为了完整起见,我将把我的评论扩展为一个答案,让你决定。

    PPA是个人包裹档案。有人从其他来源获取源代码并将其打包,以便 Ubuntu 用户可以轻松安装它们。

    您对“信任”的问题归结为您担心什么?事实上,任何人都可以创建 PPA 并创建一个看起来很完美的发光主页。要记住的一件事是,制作 PPA 的人通常是志愿者,就像我们这些阅读 AskUbuntu 的人一样。所以,没有任何保证。事实上,你提到的那个在这些安装说明中有描述,然后参考这个PPA。在这个 PPA 上,他们诚实地说:

    Disclaimer: there's no guarantee of timely updates in case of security 
problems or other issues. If you want to use them in a security-or-
otherwise-critical environment (say, on a production server), you do 
so at your own risk.

    这样的事情是通过还是不通过您对信任的定义?似乎每个人都会对信任有不同的定义。事实上,如果我说“是的,您可以信任 PPA!”会怎样?——但你凭什么相信我?

    无论是 Ubuntu PPA 还是 Microsoft Windows 的某些安装可执行文件,我的经验法则是,如果我担心,我不应该下载它。在您的情况下,您当前的 PHP 版本应该足够了,我想知道您是否“需要”PHP-8 中的功能,或者您只是无缘无故地想要最新版本?

    如果您仍然需要 PHP-8,那么您可以下载并自行安装。这是 PHP所在的站点。此源的安装说明可在此处获得。这是你能得到的最值得信赖的...

    • 13

  3. 来自 CentOS 背景...

    例如,Ubuntu 20.04 的官方存储库有 PHP 7.4.3(带有向后移植的修复程序)。如果您想要比这更高的任何东西,则需要有人为您将其编译成一个包。我倾向于寻找建造者的知名度。在 RHEL/CentOS 世界中,那个人是Remi Collet(PHP 贡献者),他有一个用于构建的 repo

    同样,ondrej 也有一个网站。他不仅看起来很有名,他还与其他 Ubuntu 打包程序一起工作,而且他似乎是这个 GitHub 贡献者

    TL;DR 安全吗?

    它众所周知的事实意味着您不太可能遇到一些带有构建问题或恶意代码的角落构建。当然没有任何保证,但是没有公司可以保证您没有恶意委托,但是使用更知名的回购,它不太可能被忽视。

    • 7

  4. 正如 ray 指出的那样,“任何人都可以创建 PPA 并创建一个看起来很完美的发光主页”。

    因此,让我们尝试验证声明。

    我们可以通过查看 Debian 的网站来了解 Debian php 软件包的维护者。Ondřej Surý 确实被列为 Debian 中 php 包的维护者之一。https://tracker.debian.org/pkg/php-defaults

    Ondřej Surý 在 https://nm.debian.org/person/ondrej/ 上被列为 Debian 开发人员,其 gpg 密钥为 30B9 33D8 0FCE 3D98 1A2D 38FB 0C99 B70E F4FC BB07

    所以问题变成了在 Debian 中维护 php 包的 Ondřej Surý 是否与运行 deb.sury.org 的人是同一个人。

    我们可以查看的一件事是与 GPG 密钥关联的电子邮件地址。上面提到的 gpg 密钥上的主要电子邮件地址是“[email protected]”,对我来说,这强烈表明 sury.org 域由 ondrej sury 或至少是他的家人控制。

    启动板帐户和 sury.org 域也已经存在很长时间了。该域注册于 2002 年,启动板帐户创建于 2005 年。启动板帐户上的用户名与 Ondřej Surý 的 Debian 用户名匹配。

    总之,我非常相信 PPA 背后的人就是在 Debian 中维护 php 包的人。

    • 4

相关问题