Компания Canonical официально прокомментировала (https://blog.ubuntu.com/2018/05/15/trust-and-security-in-the...) недавний инцидент (https://www.opennet.me/opennews/art.shtml?num=48592), связанный с выявлением в Ubuntu Snap Store двух вредоносных пакетов, осуществляющих скрытый майнинг криптовалюты. В заявлении Canonical утверждается, что майнинг в приложениях в Snap Store явно не запрещён и не относится к числу незаконных операций, поэтому проблема формально сводится к появлению приложений со скрытой функциональностью и к введению пользователей в заблуждение.Одним из сложных аспектов в поддержании репозиториев является предоставление гарантий, что опубликованная программа выполняет только те действия, что от неё ожидают. В классическом репозитории включение закладок исключается благодаря организации сборки в собственной заслуживающей доверия инфраструктуре на основании исходных текстов проектов, полученных из первых рук. Минусом репозитория является достаточно долгий процесс доведения новых программ до пользователей. Snap решает данную проблему и позволяет разработчикам напрямую доставлять свои программы до пользователей разных дистрибутивов с обеспечением безопасности путём изоляции приложения от остальной системы.
Как и в других магазинах-каталогах в Snap Store применяются два основных шага при проверке: автоматизированное тестирование пакетов перед их приёмом в каталог и ручное рецензирование в случае выявления определённых подозрений. В силу сложности ПО невозможно в большом репозитории принимать программы после детального ручного рецензирования каждого файла. Независимо от того, есть исходные тексты или нет, ни один каталог не может позволить себе ежедневно просматривать сотни тысяч строк нового кода, поэтому наиболее успешной является модель на основе установки доверия к источнику поступления ПО, а не на основе анализа содержимого.
Тем не менее, случившийся инцидент был неприятным событием, но ожидаемым, так как любому популярному каталогу приложений следует быть готовым к появлению злоупотреблений. Canonical серьезно относится к подобным инцидентам и будет продолжать серьёзно следить за содержимым каталога и повышать безопасность платформы.
Из планов на будущее отмечается продолжение работы по реализации интересных возможностей, связанных с обеспечением безопасности, как системы в целом, так и способов изолированного развёртывания приложений. Рассматривается возможность добавления в Snap Store градации по степени доверия - верифицированные авторы пакетов будут помечаться специальной меткой, что даст возможность пользователям легко идентифицировать продукты от проверенных людей и организаций. В планах также многочисленные изменения под капотом, такие как продвижение патчей AppArmor в основной состав ядра Linux.
URL: https://blog.ubuntu.com/2018/05/15/trust-and-security-in-the...
Новость: https://www.opennet.me/opennews/art.shtml?num=48605
Как-то не очень обнадеживает...
вредоносный код даже на pip в Python модулях находят:)
Потому что такая же свалка
Есть лучшие предложения?И они вам ничего не должны. Скажите вообще спасибо, что в принципе реагируют.
А какого хрена сами разработчики не публикуются в МАГАЗИНЕ ПРИЛОЖЕНИЙ? Зачем это позволять уличным Васянам?
Особенно глупо выходит, когда deb файлом или личный ppa есть, а снапа нет
Скажу как разработчик.
Я пишу для себя и выкладываю потому что мне не жалко.
Бегать по всяким репозиториям и прочим неизвестным злачным местам мне не упало, я этими вашими линуксами в количестве 100500 форков не пользуюсь, и маком не пользуюсь и из всех разновидностей BSD только одной пользуюсь.
Зачем мне тратить своё время на весь этот зоопарк?
Валите на гитхуб и сами собирайте.
> Зачем мне тратить своё время на весь этот зоопарк?+
Скажу как разработчик.
Во-первых, какой зоопарк? Поддерживать и тестировать имеет смысл _максимум_ несколько основных дистров.Во-вторых, выложить публично = выложить в стор. Как Андроид и Google Play. Ещё и деньги за это платят, ага. Было бы очень глупо посылать пользователя собирать апк, не правда ли?
В случае же с современным десктопным Линуксом, достаточно собрать архив с бинарями и snap для Ubuntu Store (дополнительно можно AppImage/flatpak).
Посылать же пользователя на гитхаб в 2018 - свинство, даже для проекта "для себя" (если это не либа/средство для разработчиков, конечно).
Для вас борются с проблемой зоопарка, делают дефолт сторы, не просят за это деньги, просто пользуйтесь и получайте удовольствие.
> Для вас борются с проблемой зоопарка, делают дефолт сторы, не просят за
> это деньги, просто пользуйтесь и получайте удовольствие.вообще-то это *мне* должны платить, чтобы я озадачивался сборкой под очередной гуаномагазин. всё равно полезного выхлопа в виде хотя бы нормальных багрепортов от пользователей этих «магазинов» в районе статистической погрешности.
>> Для вас борются с проблемой зоопарка, делают дефолт сторы, не просят за
>> это деньги, просто пользуйтесь и получайте удовольствие.
> вообще-то это *мне* должны платить, чтобы я озадачивался сборкой под очередной гуаномагазин.
> всё равно полезного выхлопа в виде хотя бы нормальных багрепортов от
> пользователей этих «магазинов» в районе статистической погрешности.А вы сами много заплатили за то чем пользуетесь? К примеру за то что что б этот форум работал и кто-то переводил статьи, что б вы почитали? Вы не понимаете смысл опенсорса - ты делаешь для людей и пользуешься тем что сделали другие люди и все без "*мне* должны платить"...
Ха-ха. Какой наивный мальчик (или девочка). Форум кто-то делает - это его дело. Кто-то хочет, чтобы люди его читают. Вот и читают. На улице тоже музыканты играют - бери и слушай бесплатно. Тут то же самое.Далее. Разработчик прав. Куда-либо публиковаться под 100500 овнодистрибутивов - тратить свое время. Время - деньги, ресурсы, усилия. А смысл?
С тобой уже поделились - бери и пользуйся. Включай мозги, собирай из исходников. ТЕБЕ надо, а не разработчику. Скажи спасибо и захлопни хлебало.
> Ха-ха. Какой наивный мальчик (или девочка). Форум кто-то делает - это его
> дело. Кто-то хочет, чтобы люди его читают. Вот и читают. На
> улице тоже музыканты играют - бери и слушай бесплатно. Тут то
> же самое.еще там гадят, кидают окурки..., производимое вполне сопоставимо
если человек приложил усилия, опубликовал для части из 100500 - значит он действительно хотел, чтобы его трудом воспользовались и оценили, а если нет - нахеготруд нужен мне> Далее. Разработчик прав. Куда-либо публиковаться под 100500 овнодистрибутивов - тратить
> свое время. Время - деньги, ресурсы, усилия. А смысл?я пользователь одного из дистрибутивов... и мне не упало заявление от какого-то разработчика о том что он что-то отложил, для какой-то не интересующей меня ОС
> С тобой уже поделились - бери и пользуйся. Включай мозги, собирай из
> исходников. ТЕБЕ надо, а не разработчику. Скажи спасибо и захлопни хлебало.я не хочу пользоваться "чем попало" для какой попало системы...
вот кто в этом варианте должен что-то захлопнуть?
Заплати денюжку разработчику - он сделает пакетик прямо для тебя, а ты его выкладывай куда душа пожелает.
В таких случаях лучше принять не деньги а пулрегвест к системе сборки, чтобы она сама начала пакеты собирать.
>> Для вас борются с проблемой зоопарка, делают дефолт сторы, не просят за
>> это деньги, просто пользуйтесь и получайте удовольствие.
> вообще-то это *мне* должны платить, чтобы я озадачивался сборкой под очередной гуаномагазин.
> всё равно полезного выхлопа в виде хотя бы нормальных багрепортов от
> пользователей этих «магазинов» в районе статистической погрешности.Но в случае аппла заплатишь ты. Забавно, правда? :)
> Но в случае аппла заплатишь ты. Забавно, правда? :)Как и в Google, и в Microsoft Store.
Тут же вопрос кто кому больше нужен. Совсем новый "магазин" само собой не может вот просто так назначить билет на вход для разработчиков, а то же совсем не полетит.
> Но в случае аппла заплатишь ты. Забавно, правда? :)В их случае они сделали то, что никто не сделал до них годами. И платишь им за аудиторию, а они как некий модератор и стабилизатор выступают.
Худо-бедно, но в их каталоге навалом софта, самого разного. Не хочешь к ним (читай - не нужна аудитория ios), так и пойди мимо, проблема-то.
Дома вода из крана тоже за деньги льется, хотя в речке бесплатно. Бери ведро, сходи за водой - некто не заставляет платить за водопровод, так?
> Во-вторых, выложить публично = выложить в стор. Как Андроид и Google Play.
> Ещё и деньги за это платят, ага.
> Было бы очень глупо посылать пользователя собирать апк, не правда ли?Вы что-то путаете, за выкладывание APK в Google Play никто не платит.
Более того, вас ещё и дерьмом засыпают, от того, что ваше приложение не умеет "очень важную функцию, без которой ваше приложение го вно", или от того что оно падает на чёрти каком устройстве по непонятной причине.
> Вы что-то путаете, за выкладывание APK в Google Play никто не платит.Ложь
Он про то, что разработчику за факт выкладывания в плейстор никто не платит. А даже наоборот разработчику надо заплатить гуглу.
Чёто я не понимаю логики: паши на халяву, пихай свои поделия по каким то сторам и причём тут удовольствие?А в чём удовольствие/профит от организации и содержания билдфермы под всякие ОС которыми не пользуешься?
И в моём случае собрать из гитхуба это наименьшая из проблем (ибо копипаста в консоль на 5 строчек), там для использования требуется ещё и настраивать и/или иметь знания из области.
Впрочем, для себя я делаю порты под фрю.
> Впрочем, для себя я делаю порты под фрю.Так кому чем приятнее платить. Кто-то временем, кто-то деньгами, т.к. времени пилить порт просто нет.
Если есть силы и ответственность - выложи порт и поддерживайте его. Но тоже не все готовы не только потратить время на порт для себя, а раз в 5 побольше, чтобы для других его привести в порядок.
Тут такая штука, что гораздо проще сделать порт для софтины, чем "побыстрому скомпилять", исключение пожалуй какой то одиночный .c файл без мейка на побыстрому глянуть/заюзать и потом забыть об нём.
А сама система портов во фре простая, там сделать плохо нужно особый талант иметь, ну ил по крайней мере мне делать нормально и делать хоть как то - разницы нет.
> Скажу как разработчик.
> Во-первых, какой зоопарк? Поддерживать и тестировать имеет смысл _максимум_ несколько
> основных дистров.Вот кому из перепончатых надо – милости просим портировать на свой любимый дистр из 100500.
Вон, пятые кеды во фре только-только появились в официальной репе, зато при обратной ситуации начинаются возмущения "да как вы смеете не собирать пакет под мой любимый арчик, сузю, дебианчик, убунту, минт, манжару, солус, эндлес, паррот?!"> Для вас борются с проблемой зоопарка, делают дефолт сторы, не просят за это деньги, просто пользуйтесь и получайте удовольствие.
Для нас, чисто из альтруистических, а не из шкурно-карманных побуждений? Да ну!
Могу тогда посоветовать обратить внимание на всякие радужные движения! Ведь альтернативная ориентировка на самом деле борьба с перенаселением Земли! Так что можно просто влеться в ряды и получать удовольстия!
> Для вас борются с проблемой зоопарка, делают дефолт сторыЭто называется увеличение зоопарка, а не борьба с ним. И что-то не видно даже, чтобы сам каноникл закрыл свои репозитории в пользу snap-стора.
гитхаб:) snap store для того и создали
Уважаемый, осмелюсь спросить, а что вы забыли на этом форуме тогда? Фан-клуб Гейтса в другом месте... Зачем вам тратить время на то что вам чуждо? За это время столько всего для себя можно наг*внокодить под мастдайчик и собственное ЧСВ поднять еще выше... Зачем вы тут? Ответьте...
Не разработчик, но отвечу. Каждый должен заниматься своим делом. Разработчик - разрабатывать, мэйнтейнер - мэйнтейнить. Вот вызвали вы в свой дом зимой электрика - должен ли он расчищать двухметровые сугробы?
Мейнтейнеры - странный пережиток линукс-зоопарка
Думаешь в максторе много софта, который выкладывает не разработчик, а васян?
> Мейнтейнеры - странный пережиток линукс-зоопарка
> Думаешь в максторе много софта, который выкладывает не разработчик, а васян?К сожалению, современный разработчик чаще даже больший "васян", чем среднестатистический мейнтейнер. Я бы не доверил такому паковать ПО под мой дистр.
> К сожалению, современный разработчик чаще даже больший "васян", чем среднестатистический
> мейнтейнер. Я бы не доверил такому паковать ПО под мой дистр.So true. До сих пор постоянно пересобираю refind под федору, поскольку официальный rpm пакет от разраба зачем-то каждый раз пытается криво написанным скриптом на тысячу строк покопаться в загрузочной конфигурации моей системы во время postinstall-е, что, вообще-то, политикой дистрибутива запрещено, и не зря.
> Мейнтейнеры - странный пережиток линукс-зоопаркаА анонимный глупый комментатор -- странный пережиток опеннета.
В том то и дело что современный разработчик в большинстве случаев ничего толковее выключалки пк на делфи написать не в силах, а ЧСВ столько, как будто он строит адронный коллайдер на луне. То что каждый должен заниматься своим делом - тоже верно, автор то явно указал что он кодит что то под винду и ничего другого в глаза не видел. Зачем он что-то пишет на ресурс не связанным с ОС с которой он работает? Разработчик - разрабатывать, а не высокомерно рассуждать о том чего до конца так и не понял...
> В том то и дело что современный разработчик в большинстве случаев ничего толковее выключалки пк на делфи написать не в силах, а ЧСВ столько, как будто он строит адронный коллайдер на луне.Вылезайте уже из криокамеры. В современных реалиях вашу фразу нужно модифицировать вот так:
> современный разработчик в большинстве случаев ничего толковее текстового редактора на электроне написать не в силах, а ЧСВ столько, как будто он строит аж целую выключалку ПК.
"из всех разновидностей BSD только одной пользуюсь" - это называется кодить под венду?)))За последние лет 5 под венду написал всего две проги: утилиту для восстановления покорёженой базы от Miranda NG и утилиту для настройки NFS3 (игрушка 20 лет давности), чтобы там разные русификации накатывать не руками и параметры крутить не по файлам разным.
Ну да, ещё патчил эту самую Miranda NG чтобы под вайном работала, и вайн патчил чтобы он на фре не падал когда со звуком работаешь.
Читать внимательнее надо было, я на фре сижу.
> Читать внимательнее надо было, я на фре сижу.Да знаем мы, на чем бзшники на самом деле сидят.
Уже года 3-4 как не на венде и дико этому рад, читая новости об очередных нововведениях десятки и как семёрка не работает с новым железом потому что кривая или дров нет.
Мои приключения с запатчить то одно то другое на фоне этого сплошное удовольствие и позитив.
Вот с этого и надо было начинать )))
Ну да. Купи какой-нибудь coffee-lake и поставь на него любой любимый стабильный (не роллинг) дистрибутив с ядром по умолчанию <4.15 (ядра на системах сборки от васянов не считаются, да и там можно нахватать проблем с совместимостью программ) и попробуй поработать на интеграшке без танцев с бубном. Очень удивишься. А если ещё захочется свежую видеокарту поставить - тут тебе сразу целый букет граблей
Я на райзен 2700х сижу, ноль проблем.
amdtemp для себя сам допилил чтобы погоду на проце показывал.На райзен 2200g тоже пробовал.
Ты удивишься, но даже фря там работает без проблем.
Драйвер видео - FB.
Оно конечно без ускорения, без opengl, но 1080p кина идут почти без проблем, только иногда немного теаринг заметно на динамических сценах, и то всего один небольшой разрыв посредине. Может и это можно пофиксить, не пробовал.
Игры конечно никакие не пойдут, кроме совсем 2д/не юзающих аппаратное ускорение.Но это вполне жилая конфигурация.
Вроде тоже самое на i5-6500, только там я и видео то смотреть давно не пробовал, помню год назад теаринг был даже при перемещении окон, сейчас всё в порядке вроде.
> Я на райзен 2700х сижу, ноль проблем.
> amdtemp для себя сам допилил чтобы погоду на проце показывал.Я бы поставил АМД, но в моём кейсе он никак не подходит из-за того, что в 6-8 ядерниках нет встройки. А на ITX только один слот под ГПУ. Пришлось брать Интел. Оброс костылями.
Но linux-compat, или как он там теперь называется -- поставлен-таки, да? :))
Нет, только модуль ядра собран, исключительно ради дров nvidia.
Нет у меня бинарников линуха которые мне нужны.
> Нет, только модуль ядра собран, исключительно ради дров nvidia.
> Нет у меня бинарников линуха которые мне нужны."...которые не нужны", очевидно.
Значит, профиль занятий позволяет. :)
Мне вот когда-то надоело содержать "две системы за цену одной", да ещё с неполной совместимостью.
По началу держал в виртуалбоксе венду, иногда туда лазал за привычным софтом.
>> и из всех разновидностей BSD только одной пользуюсь.
> Уважаемый, осмелюсь спросить, а что вы забыли на этом форуме тогда? Фан-клуб Гейтса в другом месте... Зачем вам тратить время на то что вам чуждо? За это время столько всего для себя можно наг*внокодить под мастдайчик и собственное ЧСВ поднять еще выше...Прально! Как он смеет не пользоваться пингвином и даже не нахваливать его?! Однозначно, вантузятник и фанат Билла!
Его ЧСВ хоть есть еще куда расти. В отличие от некоторых особо перепончатых.
> Уважаемый, осмелюсь спросить, а что вы забыли на этом форуме тогда? Фан-клуб
> Гейтса в другом месте... Зачем вам тратить время на то что
> вам чуждо? За это время столько всего для себя можно наг*внокодить
> под мастдайчик и собственное ЧСВ поднять еще выше... Зачем вы тут?
> Ответьте...А вы не забыли, что здесь открытый код обсуждают? Не юникс системы, а именно опен-сорс.
Если я напишу что-то опен-сорсное под Винду (отличную систему, если что; никсы когда ее ещё догонят в отдельных вещах, хотя в другой уже перегнали, конечно), то это будет явно не хуже, что иные не сильно-сильно открытые поделия под никсы обсуждать.
"Случаи бывают разные!"
Зачем мне гитхуб. Пиши программы, делай пакеты и не вы*бывайся
Это он так ненавязчиво, исподволь, написал нам, что сам он пакеты мастерить не осилил, билдсервисами пользоваться не осилил, да и никому, кто осилил, его Программы не нужны.
Зачем мне всё это?
Мне нужны багрепорты и коммитеры, а не юзеры которые только из магазина пакетов могут поставить.
Другое дело когда речь идёт о всяких проектах которые имеют монетизацию через саппорт или как то ещё.
Ответь мне, пакетоложец, почему скомпилированая автором программа для винды и скаченая, например с гита, надо всего лишь: скачать->распаковать->запустить?а на БСДях и никсах требуется свистопляска с пакетами и репами?
хммм ... а что в BSD
pkg install <пакет>
это свистопляска ?
Нет, там даже качать как правило не надо самому :)
Одна команда/клик и оно само качается и ставится.
При этом, в отличии от венды софт не загаживает систему, и после удаления следов не остаётся.
Виндовые же постоянно гадят везде, даже если это какой то портабле софт и то следы в реестре остаются почти всегда. Криминалисты дико рады.
какая разница, где обидает post-remove скрипт, внутри виндового инсталлятора или *никсового пакета? если там в скрипте написано подчистить за собой временные файлы и т.п. -- он подчистит ихединственный значимый плюс, что в некоторых дистрах можно выбрать удалять ли конфиги вместе с пакетом или нет, а на винде это может быть реализовано только в самом ан-инсталлере
про удаление самих файлов пакета я даже и не говорю: почти любой виндовый анинсталлер это делает автоматом на основе того, какие файлы были изначально установлены.
т.е. в теории ты где-то и прав, но на практике разница не столько существенна
Во фре что то не видел в портах скриптов для удаления, там у кадолго порта есть список файлов и их хэши, пкг знает куда и что он положил.
Удаляет только знакомое.
Когда я снёс вообще 700+ портов у меня и десятка файлов не набралось, и то почти все которые я же сам и правил когда то.В венде такого не бывает.
Там штатный задроченый msi постоянно спотыкается на ровном месте, а уж оставить после удаления тонны мусора - так это каждый первый.
Есть конечно исключения, но авторов которым не наплевать исчезающе мало под вендой.
Кажется нулсофтовский инсталер часто оставлял приятные впечатления и пользовались им часто авторы правильных программ.
Но если покопатся в реестре то всё равно там тонны следов от каждой проги, и куча мёртвых зарегестрированных компонентов и прочего счастья.Как там в линухах и маках - хз.
Просто под виндой так привычно (хотя и глупо) - все равно что курить, идя по улице, и не задумываясь, что другие нюхать дым не хотят.С другой стороны, если машина для работы, тотты ставишь то, что надо, и работаешь. Ставить-удалять постоянно не всегда актуально.
Тут я могу вспомнить злосчатный WSUS.
Эта гадасть бывает что то поставится то удалится не может, приходится или тратить х3 времени/сил на копание в логах инсталятора или х1 на переустановку системы.Венда это грустная история, с кучей неразрешимых проблем.
Если тут меня что то не устраивает я хоть могу за вменяемое время что то сделать, или найти авторов и поплакатся им, фактически огромные шансы на решение проблемы, или хотя бы костыль сделать чтобы не больно было.
С вендой надо или быть гуру дизасма или бухать с топами мс или быть жирным заказчиком чтобы тебя персональные манагеры вылизывали в интимные места и тогда у тебя будет шоколадно. Есть ещё вариант с веществами и забить. Короче, простым людям счастье не светит, хомяки забивают и прогибаются, админы жрут вещества и ищут костыли в гугле.
>> При этом, в отличии от венды софт не загаживает систему, и после удаления следов не остаётся.Это в теории... а на практике при удалении тупо отрабатывает скрипт из пакета... Если мейнтейнер не поленился и написал, то удаляет, а если поленился - нихера он не удаляет.
Эээ а ты не путаешь это со сборочной системой и make deinstall ?
> Ответь мне, пакетоложец, почему скомпилированая автором программа для винды и скаченая,
> например с гита, надо всего лишь: скачать->распаковать->запустить?Вантузятник хранит ехешники в репозитории исходников — это всё, что вам нужно знать об этих существах.
> Это он так ненавязчиво, исподволь, написал нам, что сам он пакеты мастерить не осилил, билдсервисами пользоваться не осилил, да и никому, кто осилил, его Программы не нужны.Эк ты некрасиво о разработчиках KDE. Ведь только-только пятые кеды на фряхе появились в официальном порядке.
Или ты о Великом Рыжем с его “never finished, never complete, but tracking progress of technology”?
> Скажу как разработчик. Я пишу для себя и выкладываю потому что мне не жалко. Бегать по всяким репозиториям и прочим неизвестным злачным местам мне не упало1) "скажу как разрабтчик" и "я пишу для себя" - несовместимые понятия
2) вообще фраза как-то прям намекает на "Зачем мне тратить своё время на весь этот зоопарк? я буду писать только под увындовс"
Очень просто.Вам удалось решить какую-то прикладную задачу элегантным способом. Вы поделились решением с миром.
А-ри-ви-де-рчи, бейба! Теперь уже сами. Бисер рассыпали. Пережевывать прошу самим.
> Вам удалось решить какую-то прикладную задачу элегантным способом. Вы поделились решением с миром.Разработчик и кодер - это разные вещи
>> Вам удалось решить какую-то прикладную задачу элегантным способом. Вы поделились решением с миром.
> Разработчик и кодер - это разные вещипервый термин подразумевает некую исследовательскую работу (разработку предметной области), а второй только реализацию кода для уже проанализированной задачи
как это относится к дистрибуции, билдам и что-ты-там-еще-придумал?
и оба они не то чтобы напрямую связаны с опакечиванием софта или публикацией в сторы...
> Очень просто.
> Вам удалось решить какую-то прикладную задачу элегантным способом. Вы поделились решением
> с миром.вот только по словам оратора-ивана, его программа никому не нужна.
Я пишу под фрю, но всё что моё на гитхубе лежит работает и под линухом, я иногда там собираю и даже тестирую.
> Я пишу под фрю, но всё что моё на гитхубе лежит работает
> и под линухом, я иногда там собираю и даже тестирую.Это похвально, но в данное время есть системы автоматического тестирования и сборки пакетов, которые для опенсорса в большинстве случаев бесплатно, которые настраиваются достаточно просто. И это позволит не только хвастаться с неким ЧСВ (как было в посте выше), но и повысить свои знания и навыки касательно полного цикла разработки. Также это позволит вам стать частью опенсорса.
>> Я пишу под фрю, но всё что моё на гитхубе лежит работает
>> и под линухом, я иногда там собираю и даже тестирую.
> Это похвально, но в данное время есть системы автоматического тестирования и сборки
> пакетов, которые для опенсорса в большинстве случаев бесплатно, которые настраиваются
> достаточно просто. И это позволит не только хвастаться с неким ЧСВ
> (как было в посте выше), но и повысить свои знания и
> навыки касательно полного цикла разработки. Также это позволит вам стать частью
> опенсорса.Не собирать под фрю для пингинятчика нормально и само-собой разумеется, а вот если наоборот, то это свидетельствует об излишнем ЧСВ, неполном цикле разработки и неопенсорсности.
В общем, двойные стандарты и снобизм, все как всегда ))
Про навыки я согласен.
У вас какой то странный опенсорц, ибо для меня это выложенные исходники и может лицензия типа BSD/GPL/апачи.
Чота вы хрень какую-то несете...
>> Также это позволит вам стать частью опенсорса.А просто написать код, присобачить к нему свободную лицензию и предоставить возможность использования более другими людьми - уже недостаточно? Я что-то упустил?
Человек, например, написал программу для своего конкретного кейса, увидел, что она может быть полезна кому-то еще, и стал раздавать всем желающим БЕЗД-ВОЗД-МЕЗД-НО...
"Философия" опенсорса, ЕМНИП, была такова: внеси вклад, прими ответный, вместе мы сила. Вот вклад уже есть. Дальше решается судьба проекта. Если он НУЖЕН сообществу, уже оно в ответ вполне может пул-реквест сделать с билд-скриптами, например. А оно, в вашем лице, кричит "да ты должен", "да ты лох", "да ты ничего не понимаешь"...>> и повысить свои знания и навыки касательно полного цикла разработки.
Вы про "разделение труда" слышали? Возьмите любого core-разработчика ядра Linux, например, и заясните ему, что он должен сам опакетить ядрышко для вашего конкретного дистрибутива... Он вас на йух пошлет и будет прав.
РАЗРАБОТЧИКА, как правило, все эти пакетные менеджеры, флатпаки и снапы не колышат, и колыхать не должны. МЕЙНТЕЙНЕР с опытом, например, соберет пакет и лучше, и быстрее. Зачем разраб должен тратить время на неэффективное времяпрепровождение. За то время, пока он разберется, как нормальный deb-пакет собирается, он может еще 2-3 библиотеки написать и в опенсорц положить.>> Это похвально, но в данное время есть системы автоматического тестирования и сборки пакетов, которые для опенсорса в большинстве случаев бесплатно, которые настраиваются достаточно просто.
покажите мне бесплатную CI/CD систему, простую в настройке, пригодную для сборки модулей ядра... Вот ткните пальцем...
К чему грубости-то? Именно так всё и задумано! Вы выкладываете сырцы, а "кому надо" соберёт и спакетирует для себя и других. (А если повезёт, то научит неумёху, как правильно писать ПО кроссплатформенно - пригодится, когда дядя Билл выкинет своих ручных зоопаркофобов на мороз).
Так и скажи, что нечего собирать. Вот пальцы гнешь
или можно автоматизировать, например. Т.е сверять хеши с официальным источником (а в идеале оттуда и брать. Емнип так войд обновляется).
На третий день Зоркий Глаз заметил что песочницы майнерам не помеха...
Песочницы защищают не от майнеров, хотя можно отключить интернетовский интерфейс от снапов.
Кажись майнинг не так и сложно отловить перед тем как выкладывать в магазин.. Было бы желание делать такое по.Если конечно разраб не сделает дату с которой можно начинать майнить..
Ну вот. Сам предложил - сам опроверг как глупую идею. Ещё варианты?Возможно, устанавливать какие-либо нормы адекватной работы и похищения процессора (простая игруля не может жрать много, а если может и там жрать нечему, то не позволять находиться в сторе и удалять с компьютеров пользователей), анализировать работу приложений на самом компьютере, на серверах каноникал и предупреждать в случае чего?
А потом ноете про телеметрию.
Главное, чтобы это не вызывало когнитивного диссонанса. Поругать за отсутствие контроля и тут же обозвать зондами всё, где он имеется - это очень в духе опнеточек.
В точку
Так на машине пользователя и не надо запускать. Надо на внутреннем сервере тестировать. Вы ж не отдаете(я надеюсь) дебаг сборки конечным пользователям и тут также.
Судя по заявлению Canonical, майнер запаковать всё-таки можно. Нельзя только скрывать о нём. Ну что же, делаем так, про майнер пишем в readme. Всё равно никто даже не узнает, что где-то в /opt/appname/ лежит какой-то reamde! Однако на него можно будет сослаться впоследствие.Запускаем софт при этом не 24/7, а как скринсейвер, и с проверкой "а не работает ли комп от батареи?". Не знаю как реализовать второе, а первое реализуется просто: https://www.opennet.me/openforum/vsluhforumID3/65100.html#61 А ещё желательно сделать проверку "если проц и GPU заняты больше чем на 35% - не стартовать!", - как это сделано в boinc-client.
Также пишем в readme "с вероятностью 99% вы за этот софт не платили и не донатили - ведь открытого ПО 25000 (в репозиториях Debian) - всем не задонатишь! Поэтому наш майнер это плата за этот софт. Мы будем отправлять некоторый процент добытого авторам софта, честно-честно!".
В результате, майнер будет работать не у всех и не всегда, поэтому его вряд ли кто-нибудь заметит. А от каноникала можно будет отвязаться пунктом в readme.
Честно говоря, я в таком подходе криминала вообще не вижу. Хотите всякие снапы вместо репозиториев - кушайте. Не хотите - репы или самосбор - свой или чей-то, кому доверяете.
Я не знаю, что такое Snap Store, так же, как и не знаю, что такое Ubuntu, но почему-то ржал)) Имхо все совершенно логично и закономерно, как и должно быть. В смысле, такое должно (и обязательно будет) случаться с убунтоидами, или пользователями Хрома, а скоро ждите и Фоксе с его web extensions.
Пишет нам могучий гентуборг или гордый слаковран. Правильно. Нужно презирать не только "глупых вундузятнегов", но и вообще всё окружение своего осклизлого болотца. ОпенСорс презирает всех! Даже сам себя!
Не, а так всегда и случается, когда глупость сначала начинают оправдывать, потом называть "удобством пользователя", а потом холить и лелеять. А опенсорс или нет тут вообще перпендикулярно.
Не скажите, с опенсорсом гораздо комичнее выходит
> Пишет нам могучий гентуборг или гордый слаковран. Правильно. Нужно презирать не только
> "глупых вундузятнегов", но и вообще всё окружение своего осклизлого болотца. ОпенСорс
> презирает всех! Даже сам себя!Опенсорс как раз за сборку из исходников. Это каноникал за свой снап получает.
Все исходники своей ОС пересмотрели?
>Опенсорс как раз за сборку из исходников. Это каноникал за свой снап получает.Сколько у Вас на это уходило времени и на какой ОС?
Какой теперь козырь у противоположного лагеря. Они же будут хохотать. "Линуксойды боятся зловредов как и мы и теперь тратят уйму времени на сборку приложений из исходников".Очевидно пришло время создать новый код и новое направление в операц. системах.
По изучайте высказывания и поступки - Билла Г., Стива Джо и персон из Kрacных шaпoк.KрaснaяШaпкa. Даже здесь есть скрытый смысл.
>> Пишет нам могучий гентуборг или гордый слаковран. Правильно. Нужно презирать не только
>> "глупых вундузятнегов", но и вообще всё окружение своего осклизлого болотца. ОпенСорс
>> презирает всех! Даже сам себя!
> Опенсорс как раз за сборку из исходников. Это каноникал за свой снап
> получает.Сборка из исходников всего лишь означает что вы за свой счет отапливаете мировое пространство.
Вы же аудит кода не делаете перед сборкой.
Глупее трудно что-то себе представить - радоваться что вы собираете сами из исходников и верить что это вас как-то обезопасит, но при этом совершенно игнорировать тот факт что вы _АБСОЛЮТНО_ не контролируете ситуацию...
Есть такое понятие, как доверие к источнику. Я доверяю ментейнерам моего дистрибутива, которые пишут ебилды, которые берут исходники "из первых рук". Если же я добавляю левый оверлей - тут уже именно я должен проверить, какие исходники он берет и какие патчи накладывает. Сами исходники при этом смотреть необязательно, если я доверяю разработчику продукта.В данном же случае - некто залил пропатченный бинарь. Никакой возможности проверить, кто это был и на основании какого когда он этот бинарь сделал - нет. Нет даже информации о том, доверяют ли "ментейнеры" этого стора человеку/компании, который этот бинарь залил...
Но как по мне, предлагаемое решение - полумера. Разработчиков много, и всех не проверишь. Чувствую, будет как в винде - окошко с предупреждением при установке 90% софта, которое никто не читает и все сразу соглашаются. Бороться с зоопарком нужно другим способом - переходить на единый пакетный менеджер. И тут, как по мне, лучший вариант - portage. Он умеет не только в исходники, но и в бинари. Пилите свои бинарники, предоставляйте свои оверлеи, и все будут довольны. Для смены дистра достаточно будет переключить оверлей и запустить обновление.... Жаль, что это никогда не произойдет.
> Но как по мне, предлагаемое решение - полумера. Разработчиков много, и всех
> не проверишь. Чувствую, будет как в винде - окошко с предупреждением
> при установке 90% софта, которое никто не читает и все сразу
> соглашаются. Бороться с зоопарком нужно другим способом - переходить на единый
> пакетный менеджер.и на единый репозиторий который будут мантейнить все мантейнеры, которые мантейнят свои болотца
+ в формате допускающем легкую автоматическую пересборку с исходников из пакета сорцов (для непроприетари) с применением указанных патчей
+ лёгкое автоматическое преобразование в нужные конечные форматы пакетов
т.о. мы плавно переходим от портажа к никс/гуикс...
>> Но как по мне, предлагаемое решение - полумера. Разработчиков много, и всех
>> не проверишь. Чувствую, будет как в винде - окошко с предупреждением
>> при установке 90% софта, которое никто не читает и все сразу
>> соглашаются. Бороться с зоопарком нужно другим способом - переходить на единый
>> пакетный менеджер.
> и на единый репозиторий который будут мантейнить все мантейнеры, которые мантейнят свои
> болотца
> + в формате допускающем легкую автоматическую пересборку с исходников из пакета сорцов
> (для непроприетари) с применением указанных патчей
> + лёгкое автоматическое преобразование в нужные конечные форматы пакетов1. проблема "легкой автоматической пересборки из исходников" нерешаема в принципе.
2. как оно в сочетании с "для непроприетари" сможет решить проблему майнера в приложении?
3. А зачем преобразовывать, если там чуть выше решили один ПМ оставить?
> Бороться с зоопарком нужно другим способом - переходить на единый
> пакетный менеджер. И тут, как по мне, лучший вариант - portage.
> Он умеет не только в исходники, но и в бинари. Пилите
> свои бинарники, предоставляйте свои оверлеи, и все будут довольны. Для смены
> дистра достаточно будет переключить оверлей и запустить обновление.... Жаль, что это
> никогда не произойдет.Счастье, что это никогда не произойдет.
> Пишет нам могучий гентуборг или гордый слаковран. Правильно. Нужно презирать не только
> "глупых вундузятнегов", но и вообще всё окружение своего осклизлого болотца. ОпенСорс
> презирает всех! Даже сам себя!"Слаковран" -- неплохо, потешно. Но характеристика "слаковранов" какая-то забористая.
> скоро ждите и Фоксе с его web extensions.Да было уже в Фоксе и без всяких web extensions (причём тут они).
Я на дебиане и тоже не интересуюсь существованием виндовс-толстопакетовХоть krita и ставлю из appimage. И хоть это и не отменяет того, что скажем весь KDE я бы в дебиане упаковал в 3 пакета: kde, dev и dbg. А то все равно же ставишь одну konsole, а тебе полкде приезжает.
И изоляция тоже нужна... но снап пакеты это вантузятство.
> И изоляция тоже нужна... но снап пакеты это вантузятство.Снап - это chroot-на-стероидах. Рантайм+песочница, а также средство доставки пакетов на миллиард разных дистрибов.
Нормально, нужно, благой цели служит.
> Тем не менее, случившийся инцидент был неприятным событием, но ожидаемым, так как
> любому популярному каталогу приложений следует быть готовым к появлению злоупотреблений.немношк орнул от популярности обсуждаемого сервиса
>Минусом репозитория является достаточно долгий процесс доведения новых программ до пользователей.Это не так. Это недостаток не самих репозиториев, а их политики и/или процесса сборки. Если политика "stable", тогда долго. Если сборка не автоматизированна - тогда долго. Если сборка идёт автоматически из vcs, тогда быстро, но есть некоторые проблемы с безопасностью: можно вредоносный код и в vcs положить. В любом случае всё сводится к доверию кому-то, либо разрабу дистра, проверяющему код на бэкдоры, либо разрабу программы, либо самому себе, что ты будешь смотреть исходник перед установкой, хотя бы диффы. Короче - нужна система репутации пакетов и разрабов с голосованием.
> Короче - нужна система репутации пакетов и разрабов с голосованием.Ну да, сделаем соцсеть из репозитория, и все проблемы сразу решатся...
"Долгий процесс доведения новых программ до пользователей" - именно репозиториепроблема. Сначала разраб раскачивается и пишет новый релиз. Потом мейнтенер раскачивается ЭТО собрать. Потом контроль качества раскачивается это проверить. Потом опять мейнтейнер, временами с переадресацией к разрабу, а оттуда взад к мейнтейнеру и т.д. и т.п.
Как ни крути, репозиторий - вполне себе бюрократический паттерн.
> майнинг в приложениях в Snap Store явно не запрещён и не относится к числу незаконных операций- Мужчина! Здесь купаться запрещено! А, вы тонете? Тонуть можно!
>Компания Canonical официально прокомментировала
>майнинг в приложениях в Snap Store явно не запрещёнГнать этого официального комментатора без выходного пособия.
>Независимо от того, есть исходные тексты или нет, ни один каталог не может позволить себе ежедневно просматривать сотни тысяч строк нового кода, поэтому наиболее успешной является модель на основе установки доверия к источнику поступления ПО, а не на основе анализа содержимого.
Не соответствует нынешней ситуации в Snap Store. Если я выложу туда CoolReader, то Вадима Лопатина об этом даже не оповестят.
> Не соответствует нынешней ситуации в Snap Store. Если я выложу туда CoolReader, то Вадима Лопатина об этом даже не оповестят.Ну да. Написано же
> Рассматривается возможность добавления в Snap Store градации по степени доверия - верифицированные авторы пакетов будут помечаться специальной меткой, что даст возможность пользователям легко идентифицировать продукты от проверенных людей и организаций.
>> Рассматривается возможность добавления в Snap Store градации по степени доверия - верифицированные авторы пакетов будут помечаться специальной меткой, что даст возможность пользователям легко идентифицировать продукты от проверенных людей и организаций.Метка - полумера, никто ее высматривать не будет.
А выкинуть всех с неподтвержденной личностью/авторством - никому этот стор не будет нужен.
Короче, опять нараскоряку. "Ну не могу же я ВСЕХ выгнать!"
>>Компания Canonical официально прокомментировала
>>майнинг в приложениях в Snap Store явно не запрещён
> Гнать этого официального комментатора без выходного пособия.Ну зачем? Все он верно говорит, это вы неверно понимаете контекст. Перевожу:
- Наши юристы приобокакались, и забыли запретить майнинг. А поэтому, дорогие пользователи, простите нас, у нас нет юридического инструмента "запинать козла ногами". Единственное, что мы можем предъявить - "ваша программа делает не то, что описано в readme". На это у нас в соглашении пункт есть.>>Независимо от того, есть исходные тексты или нет, ни один каталог не может позволить себе ежедневно просматривать сотни тысяч строк нового кода, поэтому наиболее успешной является модель на основе установки доверия к источнику поступления ПО, а не на основе анализа содержимого.
Показательные порки, казни и массовые сожжения на костре - единственный варик.
> Не соответствует нынешней ситуации в Snap Store. Если я выложу туда CoolReader,
> то Вадима Лопатина об этом даже не оповестят.Юридическое преследование по факту выявления должно постепенно выправить ситуацию.
Какая замечательная позиция у Каноникла (нет). "Ну да, нам сообщили, что в магазине нашли майнер, но чо пользователи разнылись-то! Нормально же сидели!"
Теперь еще больше поводов обходить этих товарищей стороной.
> Какая замечательная позиция у Каноникла (нет). "Ну да, нам сообщили, что в
> магазине нашли майнер, но чо пользователи разнылись-то! Нормально же сидели!"
> Теперь еще больше поводов обходить этих товарищей стороной.Да не такая же позиция. Позиция такая "простите, но в соответствии с пользовательским соглашением и текущим законодательством ничего сделать не можем. Думаем, что делать: править пользовательское соглашение, или менять законодательство."
Надо в правилах Ubuntu Snap Store написать, чтобы при размещении майнингового ПО писали предупреждение про майнинг на видном месте крупными буквами.
Тоже самое можно написать - "В этом snap лежат непропатченные либы."Не проще ли тогда сделать два отдельных snap-репозитория, за один мы отвечаем, за второй нет, и что там неизвестно (без регистрации, без смс).
> Тоже самое можно написать - "В этом snap лежат непропатченные либы."
> Не проще ли тогда сделать два отдельных snap-репозитория, за один мы отвечаем,
> за второй нет, и что там неизвестно (без регистрации, без смс).Правильней сделать так:
1. Официальный репозиторий/стор - один.
2. Если кому нужен отдельный репозиторий - велкам вам, вот инструмент, поднимайте, содержите, не забудьте revenue поделиться.
> Надо в правилах Ubuntu Snap Store написать, чтобы при размещении майнингового ПО
> писали предупреждение про майнинг на видном месте крупными буквами.Там просто надо поработать грамотным юристам... Думаю, это не единственный подводный камень.
Snap Store как и Google Play, мусор, но это не противоречит здравому смыслу. Какой смысл в изоляции, если ПО само такое, изоляция в защите, а не в установке слива или дыры.
Значит Ubuntu рассматривает возможным полностью перейти на snap? Флаг в руки, на десктопе нормального оно больше не появится, и тут уже последней буквой Z в кодовом имени не отделаешься.
Чтоб увеличить число пакетов нужны мейнтейнеры, даже если вы переходите на самодостаточный пакеты в связи с версионностью и обновлением, всё равно нужно этот пакет проверять перед сборкой, а так как он больше обычного, то и времени на проверку уйдёт ещё больше.
Вывод - не плюйте в свой колодец.
> Snap Store как и Google Play, мусор, но это не противоречит здравому
> смыслу.Собственно, Snap Store обречен. Google Play - набрали клиентскую базу, теперь чистят. Мусора там все меньше. Snap не сможет набрать критическую базу пользователей, достаточную, чтобы "прогнуть" разработчиков. Т.е. гнуться будет store, а значит "здравствуй, помойка, ты с нами надолго!"
> Какой смысл в изоляции, если ПО само такое, изоляция в
> защите, а не в установке слива или дыры.Да нету его, ПО этого. Нету в снапе ничего, не доступного в пакетах...
> Значит Ubuntu рассматривает возможным полностью перейти на snap? Флаг в руки, на
> десктопе нормального оно больше не появится, и тут уже последней буквой
> Z в кодовом имени не отделаешься.Для пользовательских гуеприложух - норм. Шанс заиметь на линуксе фотошопы эти ваши, и прочее профессиональное ПО. Хотя, нет... Без снапа/флатпака приходится портовать отдельно для 0,3%, 0,5%, 0,7% пользователей. Со снапом - один раз заради 1,5% пользователей... Не будет никто приседать для 1,5%...
> Чтоб увеличить число пакетов нужны мейнтейнеры, даже если вы переходите на самодостаточный
> пакеты в связи с версионностью и обновлением, всё равно нужно этот
> пакет проверять перед сборкой, а так как он больше обычного, то
> и времени на проверку уйдёт ещё больше.А с чего это он "больше обычного"? Примерно +- монопенисуально же.
Собственно, снап - это иммутабельный рантайм-слой + собственно само приложение. Вся задумка, как раз, в сокращении трудозатрат на поддержку пакетов. Мейнтейнеры в таком случае мейнтейнят рантайм, а разработчик под этот рантайм разрабатывает. Такая связка таки работает - посмотрите на UWP, android и прочее.
> Google Play - набрали клиентскую базу, теперь чистятГуглплею осенью десять лет стукнет, а чистить только начали. Снапстору осенью будет только 2 года.
в соседней новости полно альтернатив, арч, сьюс, федора...дебиан...