Repositorios no oficiales / locales y en qué se diferencian de los PPA en Launchpad

8

Normalmente tiendo a usar los PPA (Archivos de paquetes personales) que se encuentran en launchpad.net, pero he notado cada vez más que se están creando algunos repositorios en otros lugares o en un sitio web que administra paquetes de una manera similar como launchpad.

Entonces mis preguntas son:

  • Qué es un repositorio oficial y uno no oficial (Repositorio local), incluidos los creados fuera de Launchpad.

  • ¿Cómo se comparan los repositorios creados fuera de Launchpad con los que se encuentran dentro de él en términos de seguridad, seguido de otras características que ambos ofrecen?

  • ¿Cómo difieren los repositorios de software oficiales de los creados por PPA de terceros en Launchpad o fuera de él?

Luis Alvarado
fuente
Usted mencionó la creación de repositorios en Dropbox. Los usuarios de DropBox no pueden crear un repositorio APT dropbox.comdebido a las limitaciones sobre cómo se nombran las URL accesibles externamente que apuntan al contenido del usuario. El dl.dropbox.comrepositorio es el propio repositorio de Dropbox , que proporciona el software de Dropbox.
Eliah Kagan

Respuestas:

6

Si vuelve a hervir esto en los términos más simples:

Qué es un repositorio oficial y uno no oficial (Repositorio local), incluidos los creados fuera de Launchpad.

Un repositorio oficial es uno publicado como parte de Ubuntu, administrado por Canonical y Ubuntu MOTU.

Actualmente consisten en principal, restringido, universo, multiverso, socio, extras y algunos existen en múltiples "estados" (-propuestos, -actualizaciones, -reportes, etc.).

Los nombres de los repositorios pueden cambiar con el tiempo, pero el punto es que estos son.

En los espejos: el contenido (hash MD5 de archivos, etc.) del repositorio está firmado con la clave de Ubuntu, por lo que incluso si extrae los archivos oficiales de un espejo no oficial, puede estar bastante seguro de que son los archivos originales .


¿Cómo se comparan los repositorios creados fuera de Launchpad con los que se encuentran dentro de él en términos de seguridad, seguido de otras características que ambos ofrecen?

No puede comparar implícitamente los niveles de seguridad entre un PPA de Launchpad y otro repositorio no oficial alojado en otro lugar. Todo se reduce a cuánto confías en la persona que dirige el repositorio.

La diferencia es que con un PPA de Launchpad, puede ver a la persona que empaca las cosas. La mayoría de las veces puedes ver la fuente. En otros repositorios (por ejemplo: dl.google.com o repo.steampowered.com) probablemente no conozca ninguno.

La confianza es algo extraño.

En cuanto a las características, un repositorio es solo una estructura particular de directorios y archivos, alojados en la web. Las únicas características especiales que he visto son la autenticación para permitir que solo las personas que hayan comprado software lo descarguen, pero esta seguridad muy básica del servidor web y apenas especial :)


¿Cómo difieren los repositorios de software oficiales de los creados por PPA de terceros en Launchpad o fuera de él?

Esta es quizás la mayor de las preguntas y probablemente se responda mejor (si es indirectamente) con otra pregunta: ¿Cómo ingresar mi software en Ubuntu?

Se supone que el software de repositorio oficial tiene un proceso de desarrollo detrás. Niveles de prueba que aseguran la calidad y una cantidad de revisión por pares. Los mantenedores de PPA pueden fomentar este tipo de proceso, pero no es algo que pueda asumir. Algunos son mejores que otros.

Oli
fuente
0

Solo archive.ubuntu.com y security.ubuntu.com (y sus espejos) son repositorios oficiales. Cualquier otra cosa, incluido PPA, no lo es. Cada PPA y repositorio de terceros es diferente, no puedes compararlos en general. Por ejemplo, tengo 2 PPA: uno que proporciona cosas que Ubuntu no ofrece y otro con paquetes en los que tomo decisiones de empaque diferentes que Ubuntu. No es comparable :)

Dennis Kaarsemaker
fuente
Esto es incorrecto (aunque podría editarse para que sea correcto). Réplicas oficiales son oficiales también, por ejemplo, us.archive.ubuntu.com, gb.archive.ubuntu.com, y así sucesivamente. La mayoría de las personas en realidad no lo usan archive.ubuntu.comporque es muy lento, y Ubuntu configura automáticamente un sistema para usar un espejo regional como parte de la instalación (por lo general, sin siquiera consultar al usuario o mencionar que lo está haciendo).
Eliah Kagan
Y los espejos no oficiales siguen siendo oficiales también. Todos los paquetes y listas están firmados. No importa de dónde consigas las cosas, pero no se instalarán fácilmente si no coinciden con sus firmas.
Oli
Has agregado el texto "(y sus espejos)", pero eso no se lo explica a nadie que aún no lo entienda. Una buena respuesta a esta pregunta debería explicar cómo averiguar si algo es un espejo de Ubuntu ... o al menos explicar cómo reconocer los espejos oficiales de Ubuntu más comúnmente nombrados.
Eliah Kagan
Agregaría eso si agregaría valor a la persona que hace la pregunta. Pero ya demuestra un buen conocimiento práctico de cómo funcionan los repositorios, por lo que sería superfluo.
Dennis Kaarsemaker
1
@DennisKaarsemaker Las preguntas no son solo para la persona que las hizo. ¡Es por eso que las respuestas son visibles públicamente! Entonces, incluso si Luis Alvarado no hubiera pedido esto deliberadamente en beneficio de otros , las respuestas deberían explicarse claramente. Pero Luis Alvarado, de hecho, pidió esto en beneficio de los demás: vea esta sala de chat (en la que Luis Alvarado estuvo presente mientras se llevó a cabo la discusión) y este mensaje en el que me dijo que lo había preguntado .
Eliah Kagan