Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов faster_log и async_println, содержащих вредоносный код. Пакеты были размещены в репозитории 25 мая и с тех пор были загружены 8424 раза...Подробнее: https://www.opennet.me/opennews/art.shtml?num=63944
В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?
Рофлишь? Конечно нет.
Раст же безопасный язык, разве на нём можно написать небезопасный код?
Безопасная вредоносная вставка. Это про ржавые пакеты из топика, а не про ржавый язык. Хотя.. Погодите-ка!..
Добрый вечер, а все эти личности, с которыми вы сейчас общаетесь они здесь вместе с нами в одной комнате?
Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил
> пакет на вредоносный"? Вот где люди реально проверяют.Почему "не было"?
https://www.opennet.me/opennews/art.shtml?num=63677
> Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
> 04.08.2025 22:08причем, не "перепутал", а включил осознанно.
> Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию..
Твой пример под описанную ситуацию совсем не подходит.
>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn.
> Твой пример под описанную ситуацию совсем не подходит.Ну да, аутотренинг еще никто не отменял ...
Ну да конечно, вы не понимаете это другое
Разумеется, не подходит - тут бекдорщик сам сопровождающий. Не нравится - сам сопровождай.
> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту.
Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.
> Нет, не проверяют, и были случаи малвари в дебиане.Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню.
А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают.
> А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.Явно видно, что вы не понимаете о чем речь.
А она о том что почти все пакеты дебиан имеют повторяемую сборку. Когда из пакета исходников собирается пакет ПОБАЙТОВО совподающий с тем, что на сервере.
> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git.
Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.
А иногда зависимости не коммитами, а тегами фиксируют. В некоторых дистрибутивах вообще не фиксируют зависимости и целиком полагаются на make автора программы. Такое вне debian-based и rhel-based наблюдается повсеместно. Что там качается при сброрке из интернета им по барабану.
Там самое смешное, что если код открытый и его можно прочитать, это не гарантирует тобой его понимания.
Поэтому благая идея опенсорса разбивается о невозможность знать всё.
> и тд – свалка непроверенных библиотекИ потом, к чему этот негатив если альтернатив нет в принципе никаких?
Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.
> если альтернатив нет в принципе никаких?Nixpkgs.
В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.
> В каком месте это альтернативаПакетов больше, чем в aur.
> и в каком месте это менее помойка?А я разве говорил обратное?
Но работающих пакетов меньше.
С чего бы?
NPM - да, помойка!
Aur - да, свалка!
Pypi - да, ещё одна помойка!
Rust-репозиторий - к чему этот негатив?
Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.
Дай лучше ссылку, где ты о других репозиториях писал "к чему этот негатив?".
>если альтернатив нет в принципе никаких?В принципе есть. Из бесплатных репозитариев - МосХаб, проверяет проекты на безопасность.
Из коммерческих - конвейеры безопасной разработки программных продуктов и сервисов https://www.tadviser.ru/index.php/Продукт:Ростелеком_и_ИСП_РАН:_Конвейеры_безопасной_разработки_программных_продуктов_и_сервисов
Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность
> Каждые полгода такие новости появляются.Назовите, пожалуйста, две за прошедший год?
Оно?1.В апреле 2025 года исследователи из ReversingLabs обнаружили две вредоносные Python-библиотеки — bitcoinlibdbfix и bitcoinlib-dev, которые маскировались под исправления популярной криптовалютной библиотеки bitcoinlib. Эти пакеты пытались украсть чувствительные данные, перезаписывая легитимную команду и пытаясь добыть конфиденциальные базы данных. Обе библиотеки были удалены из PyPI после обнаружения злоумышленных действий.
2. В сентябре 2025 года зафиксирована вспышка заражения более 500 популярных npm-библиотек вредоносным червём Shai-Hulud, который распространялся самостоятельно. Среди заражённых были библиотеки компании CrowdStrike и @ctrl/tinycolor, скачиваемая более 2 миллионов раз в неделю. Этот вредоносный код создавал угрозу утечки приватных репозиториев и исходного кода пользователей
И при чём здесь debian? Речь шла про его репозитории. Про pypi и схожие и так всё понятно.
Там выше про китайские словари-подстрочники можешь почитать.
Я выше просил два случая. А теперь вы откупаетесь одним случаем, который заметили сразу же, а не спустя месяцы.
Надо вводить ветки crate.io Stable, Testing, Experimental. То же самое для PyPI и NPM.
> Так все эти crates, pypi и тд – свалка непроверенных библиотек.
> дебиана
> Вот где люди реально проверяютИ что, сильно там в твоем дебиане напрверяли бэкдор в xz?
> Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1 [...] которые успели попасть в состав [...] Debian sid/unstable
https://www.opennet.me/opennews/art.shtml?num=60877
Ой, что-то плохо проверяли, получается. 😭
Вы в упор не видите о чём я? Перечитайте новость, подумайте ещё раз. А про бекдор в xz в курсе и без вас был.
> Вы в упор не видите о чём я?Вижу конечно: о "свалке непроверенных библиотек" и "в репе Дебиана проверяют". А теперь еще вижу и танцы "вы меня не так поняли 😭".
Вам расшифровать что такое Debian sid/unstable?Сюда вываливают для проверок. Проверили. Отловили проблему. В Debian это не попало. Кто еще так делает?
> Проверили. Отловили проблему. В Debian это не попало. Кто еще так делает?Не сочиняй. В Дебиане ничего не проверили и не отловили. Проблему выловил сотрудник Microsoft, который заметил странную нагрузку на CPU во время бенчмарков.
> Не сочиняй. В Дебиане ничего не проверили и не отловили. Проблему выловил сотрудник Microsoft, который заметил странную нагрузку на CPU во время бенчмарков.Ну и? В Debian попало?
Ты совсем тугой?> Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1 [...] которые успели попасть в состав [...] Debian sid/unstable
Что не ясно в словах "успели попасть в состав ... Debian sid" ?
Или Сид уже не Дебиан))?
Бино! До тебя долго доходит.Сид - это сид. Он и нужен для выявления проблем.
> Он и нужен для выявления проблем.Но проблему не выявили в Дебиане. Более того, бэкдор запрсто оказался бы в stable, если бы чел из МС обнаружил его до релиза.
Что непонятного? Ваше "crates и т.п. - помойки, а вот репа Дебиана - это другое" немного не соответствует действительности.
> Но проблему не выявили в Дебиане. Более того, бэкдор запрсто оказался бы в stable, если бы чел из МС обнаружил его до релиза.Если бы у бабушки были ....
> Что непонятного? Ваше "crates и т.п. - помойки, а вот репа Дебиана - это другое" немного не соответствует действительности.
Пока это только ваши фантазии. Реальность далека от них. Во всех помойках проблемы. Тот кто затачивает архитектуру разработки под помойки - будет иметь проблемы всегда.
Раст затачивает архитектуру разработки под помойку.
Емнип в debian этот xz бекдор не мог сработать из-за особенностей сборки.
> Емнип в debian этот xz бекдор не мог сработать из-за особенностей сборки.Лол. Как раз на дебиане тот чел из МС и заметил бекдор из-за загрузки CPU. Не знаю, была ли там "работа" в том виде, в котором задумывал автор бэкдора, но тем не менее.
Началось. Это скайнет создал Раст, чтобы загрузить туда вредоносные пакеты, чтобы поработить человечество.
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.Зачем мелочиться на пакеты, вредить/бэкдорить, - так корневом уровне :) Если забыли, то это про константный сид в генераторе случайности, который присутсвовал ну не простительно долго
Патаму , что нормальные языки программирования
1) Имеют международный стандарт.
2) Имеют несколько реализаций от различных организаций
3) Стандартную библиотеку пишут, либо разработчики транслятора, либо её нет вовсеУ Rust c первыми двумя пунктами пока все кисло, а по третьему стандартный сборочный инструментарий - скачивает из интернета вышеупомянутую малварь и надо прикладывать непрерывные усилия , чтобы от неё отвязаться, чтобы вот это все дерево зависимостей непрерывно проверять.
> Патаму , что нормальные языки программированияЭто какие?)
> 1) Имеют международный стандарт.
Зачем?
Разработчики копиляторов им просто подотрутся и/или реализуют только половину.> 2) Имеют несколько реализаций от различных организаций
Зачем?
Чтобы потом один и тот же код по разному работал в зависимости от вендора компилятора, версии, фазы луны?> 3) Стандартную библиотеку пишут, либо разработчики транслятора, либо её нет вовсе
Ага, а потом получаем парад велосипедов.
С крутыми багами "мы не сумели сделать сплит строки".> У Rust c первыми двумя пунктами пока все кисло,
Но я ядро линуск его добавили)
> а по третьему стандартный сборочный инструментарий - скачивает из интернета вышеупомянутую малварь
Ничем не отличается от скачивания какой-то дырявой жлибц или libwebpp прям с хранилища пакетов дистрибутива.
Вон дебилианы пропихнули спайварь в пакет и что?
>> Патаму , что нормальные языки программирования
> Это какие?)Очевидный Common Lisp, который тот аноним даже на картинках не видел.
>Чтобы потом один и тот же код по разному работал в зависимости от вендора компилятора, версии, фазы луны?
> вендора компилятора - вы писали программу вне соответствии стандарта языка и вы должны быть наказанны.
> версии - разработчики компиллятора выкатили незрелый продукт и все должны быть наказанны.
> фазы луны- значит вы где-то не инициализировал память. И должны быть наказанны. Но в rust такое ведь никогда не бывает , не так-ли ??
PS
Держу пари, что если появится компиллятор rust от другого вендора вылезет столько ошибок и в логике программ, и в реализации самого rust, что лучше бы ему не появлятся ,бгг
>Держу пари, что если появится компиллятор rust от другого вендора вылезет столько ошибок и в логике программ, и в реализации самого rust, что лучше бы ему не появлятсяВы его уже проиграли. Опыт фирм-разработчиков ПО с всемирной известностью доказал на практике (а не пустопорожней болтовней), что ошибок в ПО после перехода с Плюсов, Сей на Раст становится гораздо меньше.
> Вы его уже проиграли. Опыт фирм-разработчиков ПО с всемирной известностью доказал на практике (а не пустопорожней болтовней), что ошибок в ПО после перехода с Плюсов, Сей на Раст становится гораздо меньше.Вот только это бабушка надвое сказала.
Отчеты о пользе внедрения пишут люди которые сделали карьеру на внедрении. То есть заинтересованные. Причем с оговорками, типа, что понятно, что не все задачи подходят для решения на rust.
Что говорит о части проваленных проектах.
>Вот только это бабушка надвое сказала.Какая ещё бабушка? Что за бред? Есть целый технический директор Microsoft, который это говорит. От его решений напрямую зависит прибыль компании. Примет плохое решение - эффект может оказаться катастрофическим, в том числе для него самого.
Далее. В Гугл, Майкрософт, Клаудфлэр, Дискорде, Дропбокс, судя по вашим словам, сидят одни "бабушки"? Софтом этих фирм пользуются миллиарды людей планеты. Миллиарды!
>Причем с оговорками, типа, что понятно, что не все задачи подходят для решения на rust.
Ссылки будут на такие оговорки, или как обычно?
> Какая ещё бабушка? Что за бред? Есть целый технический директор Microsoft, который это говорит.Ну ты понял, надеюсь, да?
> От его решений напрямую зависит прибыль компании. Примет плохое решение - эффект может оказаться катастрофическим, в том числе для него самого.
Именно. Он уже должность занял благодаря внедрению. Если теперь отчитается о проблемах - могут быть проблемы.
> Далее. В Гугл, Майкрософт, Клаудфлэр, Дискорде, Дропбокс, судя по вашим словам, сидят одни "бабушки"? Софтом этих фирм пользуются миллиарды людей планеты. Миллиарды!
Ты понял! Понял! Ни одна большая корпорация не управляется нормально. В итоге места занимают технически неграмотные люди умеющие хорошо работать локтями. В разработку не умеют от слова совсем. Корпорации держатся только за счет патентной системы - системы бонусов крупному капиталу.
> Ссылки будут на такие оговорки, или как обычно?
Если ты просишь ссылки, то отчеты не читал.
Мне вспомнилось, как в одном местном НИИ пытались оптимизировать модель.Ну и в ходе экспериментов перешли с intel овского компиллятора на absoft. Результаты обсчета драматическим образом отличались. Расследование показало, что флаг компиллятора, который указывает подавлять оптимизации ведущие к возможным ошибкам округления, перекрывается другими флагами указывающими оптимизировать агрессивно. В общем, все что они считали последние 6 лет , - они считали неправильно.
Был бы у фортрана один компиллятор как у rust - люди бы травмы не получили, психические . Слава Rust !!
Работоспособность текущего компилятора Rust уже доказана во многих областях его применения. Да, баги тоже находятся. Здесь часто любят приводить один такой в качестве доказательства бага в архитектуре языка, тогда как это всего лишь баг компилятора. Но, как показывает практика внедрения, от этого никто ещё не получил никакой психологической травмы.По моим наблюдениям такие травмы получают только луддиты, которым или лень, или они просто не могут освоить ещё один язык программирования в силу слабых когнитивных способностей.
Работоспособность intel fortran тоже была доказанна как минимум где-то с 2002 года, а поди ж ты ....
Но вы продолжайте верить, как управление памятью спасет вас от всех логических ошибок, бгг
Код, написанный на Rust работает? Работает. Доказано на практике. И доказано не одним каким-то отдельно взятым НИИ, в котором тамошние "программисты" (скорее всего просто научные работники), понятия не имели, что такое профессиональная разработка, тестирование и прочие подобные активности. Можете теперь пояснить, причём здесь вера?Впрочем, если у вас единственный весомый аргумент это "бгг" в конце очередного вашего поста, то я уже не надеюсь услышать что-то вразумительное и членораздельное.
>> Работоспособность intel fortran тоже была доказанна как минимум где-то с 2002 года, а поди ж ты ....
> Код, написанный на Rust работает? Работает. Доказано на практике. И доказано не одним каким-то отдельно взятым НИИ, в котором тамошние "программисты" (скорее всего просто научные работники), понятия не имели, что такое профессиональная разработка,Э... Ты так rust'овиков тролишь? Отвечаешь на комментарий. Под которым ответом может быть то - на что ты отвечаешь.
У тебя желание подставить любителей rust?
>Но вы продолжайте верить, как управление памятью спасет вас от всех логических ошибокВ каком конкретно моём сообщении вы углядели признаки подобной веры?
В третий пункт надо добавить, что по желанию левой пятки могут в стандартную библиотеку перевести в ряд stable функции, а потом передумать и вернуть в unstable. Меняют синтаксис на ходу. Любители раста отвечают на это что рефакторить это каждый раз – благодать, это нормально.
Я бы ещё сказал, что системному ЯП не нужна скачивалка зависимостей, но та, что у го, вполне может сгодиться, пока не начнут подменять данные.Получается, программисты на го всё-таки умнее, они знают, что можно просто пульнуть пакет из гита.
>ментейнер дебиана перепутал и заменил пакет на вредоносный"ментейнер дебиана перепутал" и свёл до околонуля энтропию в openssl.
но ты тогда ещё в школу ходил, поэтому считай не было )
Энтропию он свел Ради Безопасной Работы С Памятью !(с)
Опередил свое время, так сказать ...
>Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"?Конечно репозитории дебиана безопасны, ведь в них почти ничего нет.
Потому что современный софт пишут всякие любители модных пакетников и сборочек с подтягиванием из интернета, без возможности собрать разделяемые библиотеки.
Любителям смузи невдомёк что такое побайтные повторяемые сборки и как обеспечиваются обновления безопасности.
Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.
эти придумают ещё более долбанутую нёх, можешь быть уверен
присоединяюсь. Уж у этих-то точно будет БЕЗОПАСТНО!(тем более их пользуемые от них уж точно никуда не денутся, если тебя нет в crates, тебя вообще нет. Жабаскриптерам-то не привыкать тянуть в рот всякую пакость прямо с шитхаба и шитляпа.)
> 12yoexpert
> нах
> присоединяюсьТрадиционно, перепись экспертов, не пишущих на Расте - но очень обеспокоеных всем, что с ним связано.
> Традиционно, перепись экспертов, не пишущих на Расте - но очень обеспокоеных всем, что с ним связано.Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
Некто обнаружил что если наступить, то пахнет плохо.
И теперь они говорят, ну мы же вам говорили, что это очень плохо пахнущее...
> Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...Типа ХЗ библиотеки?
Если бы не мелкомягкие, то тысячи глаз так бы и видели фигу.ps я уже молчу что на сайте кернела 2 года (ДЖВА года, Карл!) был бекдор.
> Типа ХЗ библиотеки?Типа использования зависимостей не из системы, а с непойми чего.
Нет ни одной помойки, где это бы не приводило к проблемам. И разработчики rust внедряют архитектуры разработки построенную на помойке.
> Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
> Некто обнаружил что если наступить, то пахнет плохо.а мы теперь - просто ржем. "Чуть не вляпался", ага-ага.
> а мы теперь - просто ржем.Ну так это единственное что вы можете)
> "Чуть не вляпался", ага-ага.
Ага, сидя по уши в том самом "не вляпался", получая ХЗ библиотеки из такой репо-помойки)
> Ага, сидя по уши в том самом "не вляпался", получая ХЗ библиотеки из такой репо-помойки)Забавно как пытаешься защищать свою точку зрения. Ничем не обосновывая. Приводя в пример библиотеку - контроль разработки которой захватил злоумышленнки и обломался. То есть опровергая сам себя.
Ты смешной!
От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда
> не быть дурачкомалё, речь про раст
> Надеюсь хоть эти-то не будут вводить ересьОни раст придумали...
Сейчас много подобных атак. Например, вредоносные NPM пакеты нацеленные на криптокошельки.
Для минимизации рисков в Rust рекомендуется:
◇ Использовать только известные и проверенные крейты.
◇ Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit.
◇ Фиксировать версии в Cargo.lock и избегать автоматических обновлений без ревью.
Что будете делать, если популярный crate использует такую зависимость?
Вам же написали: "Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit
Не спасёт, очевидно, от того, что в новости.
Если проверять тщательно - спасёт. Но справедливости ради - это не так уж просто в мире современного ПО.
😂 😂 🤪 Ужос! Как будта прачол рекомендации ФТЭК России.
Что там ужасного? Эти меры ведь не являются обязательными.
Деды не зря тарболы публиковали на своих сайтах.
XZ-бэкдор раздавался как раз в тарболе, в самом репозитории всё было чисто.
Но тарбол на сайте самого xz был чист. Github - очередной репозиторий.
> faster_log вместо fast_logа чего мелочиться. "superfastest_log" и все дела.
практически "ускоритель Интернета", ньюфаги не знают, олдфаги не помнят.
Забыл как эмпэтришки через флешгет качал?
> Забыл как эмпэтришки через флешгет качал?не занимался этой фигней никогда. для винды у меня был teleport копировал
статический сайт целиком. для OS/2 и винды - порты wget.
для FreeBSD - тот же wget и скрипт mirror.pl для перла 4 и перла 5,
кстати должен работать до сих пор (завидуйте молча петухонщики).
Две проблемы у проекта:
1. Уязвимость архитектуры (взято худшее от аналогов).
2. Проблемы с оплатой инфраструктуры - обсуждается введение оплаты.
Выводы каждый может сделать сам - нужно ли вкладывать ресурсы.
1. Не могли бы вы более детально раскрыть своё утверждение по поводу плохой архитектуры? Заодно приведите, пожалуйста, пример хорошей.
2. Ссылку можете дать на обсуждение (если оно, конечно, не приснилось вам)?
1. Все, использующие не контролируемые разработчиком репозитории для сборки проектов.
2. Модератор удалил ссылку на securitylab. Google Вам в помощь.
1. Это к архитектуре имеет опосредованное отношение. Вас никто не заставляет пользоваться публичными репозитариями, вполне можете создать свой собственный, находящийся только под вашим неусыпным контролем.Всё-таки, приведите пример хорошей архитектуры. Или вам просто нечего сказать?
2. Я не собираюсь искать вместо вас аргументы, подтверждающие вашу точку зрения. Потому что трудно найти чёрную кошку в тёмной комнате, особенно, когда её там нет.
> Это к архитектуре имеет опосредованное отношение. Вас никто не заставляет пользоваться публичными репозитариями, вполне можете создать свой собственный, находящийся только под вашим неусыпным контролем.Возможность не является путем по-умолчанию. То есть в культуру разработки внедрили использование помоек.
Культура разработки - это не сферический конь в вакууме. Поэтому я не стал бы обобщать подобным образом, проецируя ваши представления о реальности на всех программистов.Далее. Я не вижу большой разницы между каким-то сайтом, который распространяет вредоносный код, и централизованным хранилищем. Не буду настаивать, что разницы нет. Она есть. Но не принципиальная. Зато удобства от возможности сэкономить время на сборке проекта из централизованного хранилища просто огромные.
> Я не вижу большой разницыОчевидно когда вы это произносите - то все понимаете, но не хотите принимать во внимание.
Реакция фанатика - на противоречащие убеждению факты.
Вот потому все тулзы с репозиториями идут лесом. В Hyperbola не зря их запретили на корню.
Вам никто не запрещает использовать исключительно локальные репозитарии, закрыв доступ к публичным.
Даже если сделать так, после развертывания вредоносы прилетят с обновлениями. Вам уже три человека выше помимо самой новости доказали ущербность такой архитектуры, а Вы всё упорствуете, как будто вложились в сабж. Видимо, так и есть.
Само ничего никуда не летает. Не хочешь обновляться - не обновляйся. Автоматическое скачивание зависимостей - для тех, кто хочет обновляться, но не хочет руками каждый пакет качать.
> Автоматическое скачивание зависимостей - для тех, кто хочет обновляться, но не хочет руками каждый пакет качать.Архитектура задает культуру разработки. И тут она никакая.
Тут у вас есть выбор. Никакая архитектура - когда выбора нет и приходится самому рыться по куче сайтов, чтобы собрать что-то путное.
> Тут у вас есть выбор. Никакая архитектура - когда выбора нет и приходится самому рыться по куче сайтов, чтобы собрать что-то путное.А тут ложный выбор.
Его нет. Ты или пользуешься так же как и все или совсем не пользуешься.
И суть тут не в локальном репозитарии, а в том, что не используются репозитарии дистрибутивов linux.
В смысле ложный? Самый что ни на есть реальный. Ты или создаёшь своё хранилище для кода, или пользуешься готовым.>И суть тут не в локальном репозитарии, а в том, что не используются репозитарии дистрибутивов linux
1.Кто запрещает? У Rust есть возможность линковать код динамически. Пользуйтесь.
2. А если вам нужно, чтобы ваш код работал на разных дистрибутивах, что тогда будете делать? Вам же никто не гарантирует наличие нужной вам библиотеки везде.
> В смысле ложный? Самый что ни на есть реальный. Ты или создаёшь своё хранилище для кода, или пользуешься готовым.В самом прямом. Когда, практически все, пользуются - ты или все пишешь с нуля или пользуешься и так же как и они. Далее поясню.
> 1.Кто запрещает? У Rust есть возможность линковать код динамически. Пользуйтесь.
Вот только ABI не стабилизирован и в ближайшее время не будет.
> 2. А если вам нужно, чтобы ваш код работал на разных дистрибутивах, что тогда будете делать? Вам же никто не гарантирует наличие нужной вам библиотеки везде.
Вот именно этот вопрос и ставит все на видное место.
Использование разных версий одной и той же библиотеки (в разных дистрибутивах) или вообще разных библиотек - это культура разработки давно привитая в Си. В раст - собрал с одной конкретной версией - и всем раздал. Есть ли эта версия в дистрибутиве или нет - не важно. Качаем все с помоек.
>Вам уже три человека выше помимо самой новости доказали ущербность такой архитектурыНе заметил ни одного доказательства. Ещё раз. Вас никто не заставляет пользоваться публичными источниками. Хотите полный контроль над кодом - создаёте свой репозитарий и вливаете туда код руками после тщательной проверки.
> Хотите полный контроль над кодом - создаёте свой репозитарий и вливаете туда код руками после тщательной проверки.Какой свой? Зачем его создавать. Для дистрибутивов уже все есть. Зачем строить свои велосипеды нацеленные на один конкретный язык - а не на все?
вот бы там еще блютуз работал
И это толко начало! А то ли ещё будет…
Для чего было придумано, то и происходит..
Было придумано как демонстрация того что можно сделать центральное хранилище, а не то что можно доверять каждому встречному поперчному... Паспорт проверить сначала надо, а потом уже и скачивать егоный модуль. А то иш ты повадились на халяву деньги получать...
А чего там за код? Еще код посмотреть можно?
А то вирусы и прочее тоже надо посмотреть как писать на Rust.
Интеерсно же...
Пора писать альтернативную систему пакетов для особо одарённых языков. Чтобы хотя бы с указанием полного пути к репо.Особо одарённых много, работы от забора и до обеда.