<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>You have to make sure they keep their stuff updated. &nbsp;If there's a vulnerability or sometimes bug in the version redhat ships, they back port the fix from upstream into the older version they maintain. &nbsp;If you go with apache's version, you get to do this. &nbsp;</div><div><br></div><div>Where you start to get into problems is with the security compliance folks. &nbsp;The original post said 'Financial Application'. &nbsp;If its for a publicly traded company, now the box is probably now SOX. &nbsp;If its credit card, now its PCI in-scope. &nbsp;The latter requires that all security updates are applied within 30 days of vendor release. &nbsp;If you go with Red Hats tomcat, that's 30 days from when Red Hat releases an update. &nbsp;And, like I said before, because they back port, things will probably be just fine with the update. &nbsp;However, if you roll your own, you either have to do your own back porting (and be able to prove to an auditor that what you're doing is effective and proper) or grab the latest from <a href="http://apache.org">apache.org</a> because Apache is your 'vendor'. &nbsp;So when they stop maintaining a branch of tomcat, you have 30 days to get your machine using the latest version, complete with all the JVM, obsoleted ABI stuff, and other application things that may mean that your app doesn't work anymore.</div><div><br></div><div>If your application is for a non-public company or does not have any other type of security policy like PCI, STIG, HIPA requirements, you can do what you want, but it might not be a bad idea to follow a policy that *might* be appropriate at some time in the future as the only constant is change.</div><div><br></div><div>-Scott</div><div><br>On Aug 12, 2013, at 12:59 PM, leam hall &lt;<a href="mailto:leamhall@gmail.com">leamhall@gmail.com</a>&gt; wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div>Agreed. If there is a use case for compiled, then yee-haa. Otherwise, yum. The ideal is that if the Devs say they "must" have the latest then let them build the RPM for you to install.<br><br>
</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Aug 12, 2013 at 12:54 PM, Dennis Ruzeski <span dir="ltr">&lt;<a href="mailto:denniruz@gmail.com" target="_blank">denniruz@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">They are not crazy but you will be jumping through a bunch of hoops you don't need to. &nbsp;There's only a very few edge cases where you might need to compile-<div>
<br></div><div>Bottom line-- If you need a feature not in the packaged version, compile your own (I would still package it.)</div>


<div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote"><div><div class="h5">On Mon, Aug 12, 2013 at 12:40 PM, Neal Rhodes <span dir="ltr">&lt;<a href="mailto:neal@mnopltd.com" target="_blank">neal@mnopltd.com</a>&gt;</span> wrote:<br>


</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><u></u>


  
  

<div>
Trying to get back on A topic which relates to linux....<br>
<br>
If you were charged with putting up a secure internal Web Services framework on RedHat Enterprise Linux 6.4 for a financial application, would you:<br>
<blockquote>
    "yum install tomcat6"<br>
</blockquote>
or, <br>
<blockquote>
    go to <a href="http://Apache.org">Apache.org</a>, download the sources, compile, and pray. <br>
    <br>
    <br>
</blockquote>
No, this is not a trick question.&nbsp;&nbsp;&nbsp; I've always just used the tested supplied Redhat version which "just works".&nbsp; But there are apparently other opinions, just trying to figure out if they are crazy. <br><span><font color="#888888">
<br>
Neal Rhodes<br>
MNOP Ltd
</font></span></div>

<br></div></div>_______________________________________________<br>
Ale mailing list<br>
<a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a><br>
<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>
See JOBS, ANNOUNCE and SCHOOLS lists at<br>
<a href="http://mail.ale.org/mailman/listinfo" target="_blank">http://mail.ale.org/mailman/listinfo</a><br>
<br></blockquote></div><br></div>
<br>_______________________________________________<br>
Ale mailing list<br>
<a href="mailto:Ale@ale.org">Ale@ale.org</a><br>
<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>
See JOBS, ANNOUNCE and SCHOOLS lists at<br>
<a href="http://mail.ale.org/mailman/listinfo" target="_blank">http://mail.ale.org/mailman/listinfo</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div><a href="http://leamhall.blogspot.com/" target="_blank">Mind on a Mission</a></div>
</div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Ale mailing list</span><br><span><a href="mailto:Ale@ale.org">Ale@ale.org</a></span><br><span><a href="http://mail.ale.org/mailman/listinfo/ale">http://mail.ale.org/mailman/listinfo/ale</a></span><br><span>See JOBS, ANNOUNCE and SCHOOLS lists at</span><br><span><a href="http://mail.ale.org/mailman/listinfo">http://mail.ale.org/mailman/listinfo</a></span><br></div></blockquote></body></html>