Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей"	+1 +/–
Сообщение от opennews (??), 17-Окт-23, 09:06
Компания Sonatype, специализирующаяся на защите от атак, манипулирующих подменой программных компонентов и зависимостей (supply chain), опубликовала результаты... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59936
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Окт-23, 09:06	+8 +/–
Потому что любая зависимость это плохо, а старая, закоренелая зависимость это в двойне плохо. Избавляйтесь от зависимостей пацаны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #52, #62, #122

6. Сообщение от Tron is Whistling (?), 17-Окт-23, 09:41	–1 +/–
Хламокодинг с притаскиванием всех библиотек в тушку - это нонсенс. Библиотеки должны подключаться снаружи и иметь хотя бы более-менее стабильный API/ABI - берите пример с C.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #76, #98, #156

7. Сообщение от Tron is Whistling (?), 17-Окт-23, 09:42	+/–
(да, м@какинг уже не пройдёт - это чуть сложнее npm install, но зато библиотеки могут обновляться отдельно от проекта)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #11

9. Сообщение от Аноним (11), 17-Окт-23, 09:45	+1 +/–
> прекращено сопровождение каждого пятого проекта > только 11% продолжают активно сопровождаться Вполне перекликается с новостями про проблемы сопровождающих ядра, проблемы с LTS и тд. Люди внезапно заметили появившиеся проблемы и осознали, что тратить свое время на бесплатные проекты... не рационально.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

10. Сообщение от Аноним (10), 17-Окт-23, 09:46	+/–
Даешь единый blob, содержащий абсолютно всё!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

11. Сообщение от Аноним (11), 17-Окт-23, 09:48	–2 +/–
И хоба! Ты начинаешь зависеть от долбанутых мейнтейнеров. Вот когда они соизволят обновить уязвимую либу, вот тогда и уязвимость исправится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #12, #29

12. Сообщение от Tron is Whistling (?), 17-Окт-23, 09:50	+/–
Но в npm-то том же ты конечно же не зависишь, все уязвимости сами исправляются. (это уже не говоря про число брошенных лефтпадов)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #15, #17

13. Сообщение от Tron is Whistling (?), 17-Окт-23, 09:51	–2 +/–
Проблема в том, что хламокодинг позволяет каждому желающему васяну выкатить наколенную поделку, которую другой васян затянет к себе в свою наколенную поделку. То, что первый васян через неделю поделку бросит - никого не волнует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #16, #32, #87

14. Сообщение от Tron is Whistling (?), 17-Окт-23, 09:52	–2 +/–
Наоборот. Библиотеки без всяких репозитариев. Прежде чем делать проект - основательно думаешь и выбираешь, на что завязываться, а не тянешь в рот любой свежак с хламорепозитария. Впрочем, в серьёзных проектах так дело уже и обстоит, проблема по сути выеденного яйца не стоит и касается только однодневок от хламокодинга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #23, #104

15. Сообщение от Аноним (11), 17-Окт-23, 09:55	+1 +/–
В npm, как только есть фикс от разрабов, всё уже зависит от тебя - обновляй и сабмить. А тут разрабы фикс выкатили, а мейнтенеры деба еще зад чешут (хотя арч и убунта уже выкатили изменение). Получается часть юзеров (в теории) могут получить фикс, а остальные - без шансов. Плюс это нужно чтобы пользователь пошел в свой пакетник и обновился. Ты это никак не контролируешь. А в своей аппе - сам вывел окошко с обновлялкой, можно даже алерт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #18, #21

16. Сообщение от фнон (?), 17-Окт-23, 09:55	+1 +/–
Угу, а что скажешь про овнокод в ядре линуха? или дровах? Там тоже васяны? Наверное в этом и идея опенсорса?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #20, #150

17. Сообщение от Аноним (11), 17-Окт-23, 09:55	+/–
Если лефтпад брошен, то тебе и в виде либы фикс не прилетит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

18. Сообщение от Tron is Whistling (?), 17-Окт-23, 09:56	+1 +/–
Вообще из хламореп стоило бы выпиливать все уязвимые версии сразу после обнаружения проблемы. То, что у кого-то это в поделку не затянется - проблемы подельщика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #19, #67, #134

19. Сообщение от Tron is Whistling (?), 17-Окт-23, 09:56	+/–
(заодно популярность лефтпадного хламокодинга сразу поубавится)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

20. Сообщение от Tron is Whistling (?), 17-Окт-23, 09:57	+1 +/–
И много хлама из хламорепозитариев ядро внутрь затягивает? Ах да, туда же растишку добавили. К счастью, выключенную.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #22

21. Сообщение от Tron is Whistling (?), 17-Окт-23, 10:03	–1 +/–
Проблема именно в том - ниже правильно отметили - что никто тебе фикс не выкатит. А из репы этот брошенный хлам никто не выпилит - иначе у толп васянов поломается их хлам. Вот это и есть основная беда хламореп от хламокодинга. Если выпиливать - стимул поддерживать появится мгновенно, но весь хламокодинг посыпется, как карточный домик, потому что от хламоподобия хламобиблиотек за пару лет останется в лучшем случае 10% поддерживаемых. И это, надо сказать, хорошо, но не случится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #25

22. Сообщение от фнон (?), 17-Окт-23, 10:10	+/–
А разве ядро это не просто свалка уязвимого кода? https://www.opennet.me/opennews/art.shtml?num=59852
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #47

23. Сообщение от Аноним (23), 17-Окт-23, 10:13	+/–
Где rapid application development, там и куча зависимостей-однодневок. Зачем переизобретать велосипед? Интересно пилить свою идею, пока не взлетит. Если не взлетело то и ладно, не сильно то и хотелось. Если таки взлетело то зачем перепиливать - и так ведь работает. Так и получается в конце большой карточный домик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #27, #72

24. Сообщение от Аноним (24), 17-Окт-23, 10:15	+8 +/–
Переизобретайте strsplit() пацаны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #31, #33, #34, #39, #54

25. Сообщение от Аноним (11), 17-Окт-23, 10:17	+1 +/–
> А из репы этот брошенный хлам никто не выпилит Угу, а брошенную либу мейнтейнеры прям побежали выпиливать из реп?)) Про аппы вообще молчу - вот в деб стэйбл лежит заведомо уязвимый squid (5.7-2), дырявый по самое немогу, причем годами (даже новость про это была https://www.opennet.me/opennews/art.shtml?num=59915) И что? Его выпилили из репы? Нет! PS: что-то тебя конкретно клинит на "хламо"-чем-то... Может тебе таблеточки попить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #55, #138

26. Сообщение от Аноним (26), 17-Окт-23, 10:36	+/–
> 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостями, А нафига они предоставляются для скачивания? 404 отдавать. Кому ну очень нужно и в git сбегают.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #35

27. Сообщение от фнон (?), 17-Окт-23, 10:43	+/–
> Так и получается в конце большой карточный домик. Как-будто раньше было не так. В линуксе куча уязвимых либ, добавленных 20 лет назад, которые сейчас пишут не понятно кто. Просто при разработке бралась минимально подходящая либа найденная в интернете и, или использовалась как есть, или перепиливалась по свои нужды (тогда получался парад велосипедов как например SSL). А потом отказывалось что: - "Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux " https://www.opennet.me/opennews/art.shtml?num=59867 - Уязвимость в libcue https://www.opennet.me/opennews/art.shtml?num=59896 в блоге https://github.blog/2023-10-09-coordinated-disclosure-1-clic.../ автор кстати приводит ту самую картинку c "библиотекой чувака из небраски" которая держит весь современный софт))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

28. Сообщение от Аноним (11), 17-Окт-23, 10:57	+3 +/–
Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #45, #117

29. Сообщение от test (??), 17-Окт-23, 11:00	+/–
Вообще то на мантейнеров молиться нужно. Разрабам начихать на окружение, они пилят свою либу, вносят новые фичи, а тут хлоп баг, они это баг коммитят и выпускают НОВУЮ версию.  А вот эти самые фичи новой версии ломают окружение ... а ему начихать. И так же ему плевать что новые фичи лепят новые дыры ... А мантейнер тот все наоборот, вышла новая версия, он из нее выбирает патчи дыр, накладывает на текущую либу и ничего не сломано и дыра закрыта. P.S. Справедливости ради могу заметить, что есть разрабы подтерживающие старые ветки, на предмет дыр, но таких мало и только на крупных проектах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #38

31. Сообщение от Аноним (31), 17-Окт-23, 11:12	+1 +/–
Может использовать Маркировку? Если серьезные проекты всеже проверяют зависимости ручками, то они бы и могли делать пометки для используемой либы типа рекомендованая или нет. Арч например старые пакеты может выкинуть в АУР из основных реп. Как было с sulphid. Своего рода маркер, думается после этого кол-во установок оного уменьшилось всеже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #43

32. Сообщение от Аноним (32), 17-Окт-23, 11:13	–1 +/–
А это проблема? Как предлагаешь решать её, массовыми расстрелами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #48

33. Сообщение от Аноним (31), 17-Окт-23, 11:14	+/–
Добавлю к предидущему. А уже после очищать репы от мусора
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

34. Сообщение от Аноним (31), 17-Окт-23, 11:19	+/–
А может и не нужно этого. Нормальный прогер не заинтересован каки всякие использовать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

35. Сообщение от Аноним (11), 17-Окт-23, 11:28	+/–
А этот забагованый кусок, почему не выпилили из репы? https://packages.debian.org/stable/web/squid "Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены" По той же причине - начнут не собираться другие либы или прикладной софт. Хотя приостанавливать использование "до фикса всех известных критических проблем" имхо было бы адекватным решением. Но на такое никто не пойдет. Потому что есть нехилый шанс, что они никогда их не починят "Разработчики Squid были уведомлены о проблемах ещё два с половиной года назад, но так и не завершили работу по их устранению."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #36

36. Сообщение от pic (?), 17-Окт-23, 11:39	+/–
Действенное решение - брать на испуг - выбрасывать из репозитория вместе с соответствующими по зависимостям пакеты. Если эти не исправят, то другие в таком крупном дистрибутиве оперативно выпустят патчи с выкорчёвыванием зависимости от этой либы, либо их софта там не будет до следующего релиза. Есть второй вариант - к едрене фене - вытаскивать эти либы в отдельную репу с тем софтом и объявлять, что эта репа, скажем, non-official-critical.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #37, #42, #88, #112

37. Сообщение от pic (?), 17-Окт-23, 11:41	+/–
Дополнение: и Debian к этой халатности не имеет отношения - без претензий. Совсем уже обнаглели, и мейнтейнеры, и разработчики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

38. Сообщение от фнон (?), 17-Окт-23, 11:42	–1 +/–
> но таких мало и только на крупных проектах. Например в каких? Вон внизу скидывали ссылку на дырявые либы в Дебиане. не уверенНе уверен, что у остальных будет получше (может разве что RHEL, но не уверен)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #165

39. Сообщение от Аноним (39), 17-Окт-23, 11:46	+1 +/–
В PHP 8 какая-то бяка поменяла аргументы местами в функции join. Пришлось изобретать strjoin.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #41, #73, #96

40. Сообщение от Аноним (47), 17-Окт-23, 11:53	+/–
Компания сама атакует, а потом сама клепает отчёт. Безотходное производство.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

41. Сообщение от Аноним (24), 17-Окт-23, 11:54	+8 +/–
пыхерам в целом страдать не привыкать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

42. Сообщение от анонимусс (?), 17-Окт-23, 12:04	+/–
> выбрасывать из репозитория вместе с соответствующими по зависимостям пакеты Классное решение, но что делать если репа после этого не соберется? Как заменять либы, которым полных аналогов нет - тоже не ясно. Это опенсорс - тут никаких рычаго воздействия на разраба нету, да и обязательств у него тоже никаких нет. Вот так и живем (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #68, #69

43. Сообщение от voiceofreason (?), 17-Окт-23, 12:08	+/–
Приличные проекты с собой таскают нужные библиотеки нужных версий в исходниках, или подтягивают эти сорцы при попытке собрать. Хочешь зависимость поновее - не вопрос, но это не поддерживается и не проверяется, всё сам ручками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #49, #93

44. Сообщение от анонимусс (?), 17-Окт-23, 12:10	+/–
Атакует кого? Кодеров которые забили на свои проекты? Тех кто использует старые либы без проверки насколько они дырявые? То что сама фирма специализуется на пентестах, не значит, что отчет не правдивый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #46

45. Сообщение от Аноним (45), 17-Окт-23, 12:14	+/–
Для сборки таких заброшенных апп можно сделать ключ вроде --allow-archived-dependencies.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #81

46. Сообщение от Аноним (47), 17-Окт-23, 12:18	+/–
Да. Да. Я думаю там точность 100% я к тому что они хорошо устроились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #53

47. Сообщение от Аноним (47), 17-Окт-23, 12:21	+1 +/–
Так разрабы этот код сами туда положили, а не кто-то левый забил на свой проект или передал его кому-то или решил заработать и тебе залетел майнер, вместе с трояном для ботнета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #56, #59, #111

48. Сообщение от Аноним (47), 17-Окт-23, 12:23	+1 +/–
Создать СССР и в интернет пускать по карточкам. А программный код можно брать только из центрального репозитория министерства электронной промышленности СССР.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #50, #63

49. Сообщение от Аноним (49), 17-Окт-23, 12:23	+5 +/–
АгА, а потом в таскаемых библиотеках нужных версий найдётся уязвимость, а те и дальше продолжат их таскать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #51, #60

50. Сообщение от Аноним (49), 17-Окт-23, 12:30	+1 +/–
По партбилетам и комсомольским билетам. В инет позволяется ходить только идейнонадёжным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #130

51. Сообщение от Аноним (24), 17-Окт-23, 12:36	+2 +/–
Риски нужно взвешивать правильно. Библиотека уязвима? ОК. Если к ней имеет доступ кто-то недоверенный, срочно обновляем. А если нет — ну и бох с ней. Например: в webp выявлена уязвимость. Означает ли это, что срочно надо пересобирать корпоративное приложение на электроне? Нет. Почему? Потому что корпоративное приложение на электроне webp не показывает, и один пользователь другому пользователю этот webp не подсунет: нет такой возможности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #107

52. Сообщение от AntonAlekseevich (ok), 17-Окт-23, 12:46	+/–
Хочешь/требуют быстро сделать. Будешь пользоваться зависимостями. Не работает на новой используй те что есть. (И далее пофиг...)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

53. Сообщение от анонимусс (?), 17-Окт-23, 12:47	+/–
Уууууу! Заговор!!!1111 Это точно не ленивые разрабы, которые багованные либы не обновляют, а все корпорация зла виновата! Небось еще и мейнтейнерам доплачивает в конвертах, чтобы побольше CVE в код добавили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

54. Сообщение от Вы забыли заполнить поле Name (?), 17-Окт-23, 12:49	+1 +/–
> Переизобретайте strsplit() пацаны. Для современного кодера написать strsplit это проблема? Понимаю, вместо этого нужно подключить Модуль strsplit, который притянет модули abstract-split, split-by-str, split-by-re, better-re и пойти пить смузи. Данное решение несомненно более надежное и решит проблему с уязвимостями (нет).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #57

55. Сообщение от Аноним (55), 17-Окт-23, 12:49	+1 +/–
Если бы это был не сквид, наверняка бы выбросили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

56. Сообщение от анонимусс (?), 17-Окт-23, 13:01	+1 +/–
А разве репозиторий, емейл разраба, или его гит аккаунт нельзя перекупить/взломать/украсть ? Вот пример реальной пробелмы которая была в ядре https://lwn.net/Articles/57135/ И это то что заметили, а ведь другие могли не заметить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

57. Сообщение от Аноним (24), 17-Окт-23, 13:04	+/–
> Для современного кодера написать strsplit это проблема? Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux https://www.opennet.me/opennews/art.shtml?num=59867 > современного Уязвимости в библиотеках X.Org, две из которых присутствуют с 1988 года https://www.opennet.me/opennews/art.shtml?num=59906
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #85

58. Сообщение от Аноним (58), 17-Окт-23, 13:13	+/–
не понять мне шизофренков, "программирующих" на скриптах
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64, #89

59. Сообщение от анонимусс (?), 17-Окт-23, 13:15	+1 +/–
в догонку - взлом гитхаба Сanonical https://github.com/cncf/tag-security/blob/main/supply-chain-... взлом fosshub, пострадали Classic Shell и Audacity https://github.com/cncf/tag-security/blob/main/supply-chain-... взлом log4j - https://github.com/cncf/tag-security/blob/main/supply-chain-... получили дырку в апаче и других https://security.googleblog.com/2021/12/understanding-impact... взломали заброшенный пакет в АРЧе https://github.com/cncf/tag-security/blob/main/supply-chain-... дальше мне лениво перечислять)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

60. Сообщение от _kp (ok), 17-Окт-23, 13:16	+1 +/–
А когда устраняли одну проблему не добавляя две новых? Иначе параноидальные обновления давно бы прекратились. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

61. Сообщение от Аноним (61), 17-Окт-23, 13:17	+1 +/–
>>Компания Sonatype, специализирующаяся на защите от атак, манипулирующих подменой программных компонентов и зависимостей (supply chain) Себя не попиаришь, никто тебя и не заметит. А тут фигню выкатил и такой важный :-))). Всё это фигня собачья.  Данные в 99% утекают из-за недовальных админов, подкупленных админов, субподрядчиков рукопопых и т.п. человеческих факторофф. инфа соточка. А это всё бухтение для освоение "безопасных" бюджетов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80, #91

62. Сообщение от YetAnotherOnanym (ok), 17-Окт-23, 13:22	+7 +/–
> любая зависимость это плохо Гений. Просто гений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #74

63. Сообщение от Аноним (63), 17-Окт-23, 13:33	+/–
Как будто сейчас не так, только под властью капитала. Акк пппое, адрес, порт на оборудовании, договор с провом -- всё это колокольчик, повешеный буржуинами на шею коровам. Паситесь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

64. Сообщение от Аноним (-), 17-Окт-23, 13:41	–2 +/–
так это же мировая история, все великие достижения строились по такому принципу, оглянись это везде вокруг - есть люди просто исполняющие своё дело и руководители/провидцы, которые организовывали/использовали эти людские ресурсы. без тех или тех ничего бы не получилось, равно как и фейлы отдельных - упоротость диктаторов, либо предательство/некомпетентность исполнителей приводили к краху. также и этой сфере, по аналогии, как и везде. ты же сам себе дом не строил, условно, живёшь там и творишь иное, и страданёшь если он развалится из-за плохого качества строительства/отсутствия ДУКа проводящего капремонт. разделение труда уж скок веков на пользу раотает, со своими нюансами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #71, #126

66. Сообщение от Golangdev (?), 17-Окт-23, 13:46	+/–
> Многие проекты продолжают использовать уязвимые версии, например, 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостями а господа торговцы безопасностью не потрудятся также сообщить, сколько из этих "23%" реально можно взломать, используя "Log4j" ? я к тому, что наличие "уявзимой" библиотеки не равно возможности её использовать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #131, #135, #146

67. Сообщение от YetAnotherOnanym (ok), 17-Окт-23, 13:57	+/–
Вот, кстати, бешено плюсую. Нерадивые разрабы и беспечные потребители должны иногда получать щелбан по башке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

68. Сообщение от pic (?), 17-Окт-23, 14:02	+/–
Debian и так их выбрасывал пачками. Другое дело, что в последнее время этот процесс сильно растянулся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #176

69. Сообщение от pic (?), 17-Окт-23, 14:03	+/–
Поэтому предложенный мой второй вариант более актуален, чем пытаться разрешать ад зависимостей старыми версиями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

71. Сообщение от Аноним (71), 17-Окт-23, 14:06	+/–
в продолжение. не всегда же есть виновные, если при строительстве были ошибки в геодезии, либо технологии при строительстве были достаточно устаревшими - результат один. есть же организации, которые следят за аварийностью, расселяют и тп - вот не особо мы любим бюджетников, но и без этого никак так что ситуации, если смотреть по аналогии, схожи с сабжом. тратят выделеные бюджеты не обязательно исключительно на самопиар, также чётко обозначают эту проблему в опенсорсе если разрабы дистрибутивов линукса не введут подобную систему контроля, результат очевиден же. хоть и не любят майков/эпл/всё платное за многое, эту проблему иначе как достаточным финансированием зачастую трудно решать, либо темпы развития будут падать серьёзно, при условии обеспечения безопасности имхо такие проблемы нужно поднимать, как минимум уровень основных ментейнеров дистра, лучше на уровне ядра даже, чтобы не получалось бардака аля как с вейландом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #77

72. Сообщение от YetAnotherOnanym (ok), 17-Окт-23, 14:06	–1 +/–
> rapid application development Очередной Аноним, который печатает со скоростью 400 знаков в минуту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

73. Сообщение от Аноним (73), 17-Окт-23, 14:06	+1 +/–
Можно поподробнее? Сам похапешник и всю жизнь первым аргументом передавал разделитель, вторым - массив, который нужно соединить. После вашего сообщения удивился, зная любовь похапешников к сохранению обратной совместимости (из-за которой до сих пор приходится волочить трёхзвенныхе операторы сравнения === и !=== ). join всегда был алиасом к implode. Смотрим документацию по implode. php4 ( https://php-legacy-docs.zend.com/manual/php4/en/function.imp... ): string implode (string $glue, array $pieces) php8 ( https://www.php.net/manual/en/function.implode.php ): implode(string $separator, array $array): string
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #75

74. Сообщение от НяшМяш (ok), 17-Окт-23, 14:14	+4 +/–
Зависимость от еды, воды и воздуха это плохо. Ну вы поняли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #86

75. Сообщение от Аноним (24), 17-Окт-23, 14:15	–1 +/–
что нужно курить, чтоб назвать джойн имплодом?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #79, #109

76. Сообщение от Kuromi (ok), 17-Окт-23, 14:20	+/–
Вот только Мозилла именно вот этим занимается уже десятилетия. Все внешние либы тащутся с собой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

77. Сообщение от Аноним (-), 17-Окт-23, 14:20	+1 +/–
ну ведь объективно же, линус с командой так бегут вперёд, что, возможно, не замечают или не хотят как фундамент может треснуть. 6.6.6 пройдут, а до 7.7.7 могут и не дожить, в привычном понимании. коллективное письмо давайте писать, лол
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

79. Сообщение от Аноньимъ (ok), 17-Окт-23, 14:26	+/–
Там же в доках написано - $glue И название implode как бы референс к сжимаемущемуся кульку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #82

80. Сообщение от Аноньимъ (ok), 17-Окт-23, 14:38	+/–
Да нет давно никаких админов. Докер контейнер с докерхаба в дефолте прямо в жоблако, или в кубернутес какой если ты сурьёзный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #90

81. Сообщение от Ruslan22 (?), 17-Окт-23, 14:42	+2 +/–
Тогда такой ключ будет по умолчанию во всех проектах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #105

82. Сообщение от Аноним (24), 17-Окт-23, 14:53	–1 +/–
https://www.merriam-webster.com/dictionary/implode где ты здесь видишь "сжимающийся кулек"? и причем тут... клей? (может авторы вдохновлялись клей-моментом?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #84, #101

84. Сообщение от Аноньимъ (ok), 17-Окт-23, 15:17	+/–
> где ты здесь видишь "сжимающийся кулек"? и причем тут... клей? (может авторы > вдохновлялись клей-моментом?) Выше же написано: php4 ( https://php-legacy-docs.zend.com/manual/php4/en/function.imp... ): string implode (string $glue, array $pieces) Вот вам и клей. Я же говорю, отсылка. К употреблению клея через кулёк. Токсикоман когда вдыхает кулёк сжимается (implode).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

85. Сообщение от Вы забыли заполнить поле Name (?), 17-Окт-23, 15:24	+2 +/–
>> Для современного кодера написать strsplit это проблема? > Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux > https://www.opennet.me/opennews/art.shtml?num=59867 А тесты на тамошний strsplit есть? Или как обычно компилится значит работает? >> современного > Уязвимости в библиотеках X.Org, две из которых присутствуют с 1988 года https://www.opennet.me/opennews/art.shtml?num=59906 А причем тут strsplit? Мозг совсем высох? Ну ты ставь модули на каждый чих, не забывай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #100

86. Сообщение от Вы забыли заполнить поле Name (?), 17-Окт-23, 15:25	+/–
> Зависимость от еды, воды и воздуха это плохо. Ну вы поняли. А зависимость от опеннета?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

87. Сообщение от Менеджер Антона Алексеевича (?), 17-Окт-23, 16:37	+2 +/–
Почему у тебя вызывает такую бурную реакцию то, чем какие-то абстрактные васяны занимаются друг с другом? Ну-ка покажи на этой кукле, в какие места тебе васяны хламокодили. Опенсорс вообще-то именно про использование чужих наработок, чтобы не пилить свой велосипед каждый раз. Права и обязанности в лицензии прописаны, а дальше никто никому ничего не должен. Ни один васян пилить либу, ни второй её использовать. Поэтому все жалобы про наколенные поделки можешь отправлять в спортлото. Не нравится — перепиши как нравится, заодно посмотрим какой ты молодец. А пока что ты только ноешь на опеннете про то, как тебя васяны обидели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #141

88. Сообщение от Менеджер Антона Алексеевича (?), 17-Окт-23, 16:54	+/–
Ну выброси какой-нибудь OpenSSL или glibc. И патчи для выкорчёвывания этих зависимостей не забудь оперативно выпустить. Опеннетчиков через одного хлебом не корми, дай только что-нибудь повыкидывать и позапрещать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #119

89. Сообщение от Аноним (89), 17-Окт-23, 16:57	+/–
Зато мне очень легко понять представителей интеллектуального большинства, которым не хватает мозгов и уверенности, чтобы писать программы на динамических языках. Без ритуальных перепроверок по 10 раз и попыток сконстролить проверку типов. С которыми все становится медленно и громоздко. Кодогенерация ИИ понятно лучше будет работать на статических. Для людей (не квадратноголовых, понятное дело) динамические удобнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #92, #114

90. Сообщение от Аноним (90), 17-Окт-23, 17:05	+1 +/–
Он имел ввиду девляпсов которые это все админят. А подкуп оных явление довольно частое, особенно в этой стране.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #115, #120

91. Сообщение от Аноним (90), 17-Окт-23, 17:10	+1 +/–
+1 Хакеры которые корчуют код давно остались в прошлом, все современные «взломы» это подкуп, саботаж или социальная инженерия. Достаточно зайти в даркнет, там тебе и дубликат симки на любой номер сделают, и паспорт любой страны выдадут с официальным оформлением и прогоном по всем базам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #118, #128

92. Сообщение от Аноним (92), 17-Окт-23, 17:53	+1 +/–
А эти твои динамические языки на чем написаны?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

93. Сообщение от Деаноним (?), 17-Окт-23, 18:45	–1 +/–
Что за чушь. Таскать библиотеку другого проекта в своём проекте это моветон. Не должно быть в проекте ничего лишнего. Разве что какой-нибудь гит сабмодуль. Скачиванием либ при попытке билда занимаются компании которым начхать на всех (вроде гугла). Опционально это не является чем-то плохим, но добровольно-принудительно это варварство. Не делайте так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #148

96. Сообщение от Аноним (96), 17-Окт-23, 18:56	+5 +/–
Из документации к PHP 4: implode() can, for historical reasons, accept its parameters in either order. То есть, ещё 20 лет назад в документации был задокументирован порядок аргументов "разделитель, массив" и было примечание, что обратный порядок аргументов тоже работает по историческим причинам (но официально не поддерживается). Через 20 лет костыль выпилили. И тут кто-то проснулся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

98. Сообщение от лютый арчешкольник... (?), 17-Окт-23, 19:24	+/–
>Библиотеки должны подключаться снаружи и иметь хотя бы более-менее стабильный API/ABI си это боль для мазомазо.... а то что ты написал, в жабе и так присутствует. даже если в fatJar всё собираешь, очень легко управлять зависимостями, менять/убирать итд а с тестами сразу видно всё ли работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #142

100. Сообщение от Аноним (24), 17-Окт-23, 19:36	–1 +/–
> А тесты на тамошний strsplit есть? Или как обычно компилится значит работает? Настоящий сишник не пишет тесты. Он уверен в своих силах. Он не какой-то там npm leftpad-чик. Он напишет свой strsplit. И не покроет его тестами. Тесты для слабаков. >>> современного >> присутствуют с 1988 года > А причем тут strsplit? А причем тут "современного"? Видать ты считаешь, что современный кодер — это фигня, а вот ДИДЫ — это наше всё. ДИДЫ не ошибаются. А я показал, что это не так. ДИДЫ, кстати, ошибались не только на уровне кода, но и в самих стандартах. Один лишь клиртекст DNS чего стоит — сиди прослушивай, кто где сидит. Или например иксовая концепция "каждое приложение может заскриншотить содержимое окна любого другого приложения". Это натуральный MS-DOS — тотальное отсутствие изоляции, сиди кейлоггерь sudo. Ну или например приколюха ДИДОВ под названием ICMP redirects. Нужно сидеть и вычитывать каждый sysctl, чтобы понаотключать все свиньи, заботливо подложенные ДИДАМИ. Или например такой прикол: оказывается написание IPv4-адреса не обязано быть в десятичной системе счисления. Тоже привело к уязвимостям, когда одна либа ожидает там разделенные через точку десятичные числа, а другая либа пытается следовать тому, что там понасочиняли в RFC ДИДЫ. Казалось бы — кто в здравом уме будет писать айпишники не в десятичной системе? А вот ДИДАМ такая мысль показалась прикольной (научный термин — смузиприколюха хиппанутых смузиДИДОВ). Так что да, современный кодер гораздо лучше ДИДОВ. Кодер, который не умеет ничего, кроме npm install leftpad, лучше, чем ДИД, который из прошлого продолжает нам гадить из своих невнятных RFC, которые читаешь-читаешь — и все равно найдешь сразу несколько одновременно истинных и одновременно противоречащих друг другу толкований того, что есть URL, что URI, а что еще черт знает что. Спасибо за внимание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #125

101. Сообщение от Аноним (73), 17-Окт-23, 19:38	+/–
> где ты здесь видишь "сжимающийся кулек"? Вот тут: > to burst INWARD > to COLLAPSE INWARD as if from external pressure Плюс, сделано как антоним слову explode() - название функции, наоборот, разбивающей строку на несколько.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

103. Сообщение от Аноним (105), 17-Окт-23, 20:43	+/–
Почему же, говоря о уязвимостях, никогда не вспоминают, что в обновлении - иногда больше нет прежней функциональности, - иногда приходят проблемы для нужного функционала. Обновления безопасности иногда ломают нужный функционал. И тогда обновление - зло. Зачем неуязвимый софт, если софт не делает нужного.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #113, #132, #158

104. Сообщение от Аноним (104), 17-Окт-23, 20:45	+1 +/–
> Прежде чем делать проект - основательно думаешь и выбираешь А потом пишешь с первого раза без ошибок идеальный код, который никогда не надо будет править. Ох уж эти опеннетные фантазии! Ох уж жти опеннетные фантазёры. А в реале без итераций и фидбека пишут только хеллоу ворлд. Пока ты думал, соседний стартап выпустил 300 версий, разобрался что нужно пользакам и вышел в кэш. Или не вышел. Но у них продукт был, а ты лишь основательно подумал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #116

105. Сообщение от Аноним (105), 17-Окт-23, 20:46	+/–
И просто поднимут свой отдельный репо сами. И в нём будут все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

107. Сообщение от User (??), 17-Окт-23, 21:10	+1 +/–
А вот это, в общем-то, нуждается в доказательствах. Подчас - весьма и весьма нетривиальных. Ей-ей, пересборка проще будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #163

109. Сообщение от Аноним (109), 17-Окт-23, 21:13	+1 +/–
> что нужно курить, чтоб назвать джойн имплодом? Английский?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #149

111. Сообщение от User (??), 17-Окт-23, 21:28	–1 +/–
Ну, мы поняли - это ДРУГОЕ. Лет через 20 дiдовскую сортировку пузырьком выпилят - но ты туда не смотри, там селедку заворачивали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #123

112. Сообщение от User (??), 17-Окт-23, 21:32	+/–
Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи ногами проголосуют, ага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #121

113. Сообщение от Аноним (113), 17-Окт-23, 22:06	+/–
Кто ничего не делает - тот ошибок не совершает. Отсюда вывод: нихрена делать не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

114. Сообщение от Аноним (114), 17-Окт-23, 22:09	+1 +/–
Писал и пишу и на тех, и на тех языках. Ну, под каждую задачу найдётся своё. > чтобы писать программы на динамических языках С нестрогой типизацией? Если да, то ну вот донесите, пожалуйста, в чём прикол, кроме вороха трудноуловимых проблем в _рантайме_?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

115. Сообщение от Аноньимъ (ok), 17-Окт-23, 22:34	+/–
В большой оутсорс конторе это должно быть легче чем легко конечно. Вспоминается, в нулевых, просили нас сделать аудит сервера, где всякая телефония тоже весела, было подозрение что админ пишет и сливает переговоры конкурентам. Но потом у них проблема похоже исчезла, видимо решилось всё само собой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

116. Сообщение от Tron is Whistling (?), 17-Окт-23, 22:46	+/–
Каждый брошенный лефтпад вышел в кеш, инфа 146%
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #175

117. Сообщение от Tron is Whistling (?), 17-Окт-23, 22:47	+/–
> Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость. И это ОЧЕНЬ хорошо. Нет мейнтейнера - давай, до свидания.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

118. Сообщение от Tron is Whistling (?), 17-Окт-23, 22:52	–2 +/–
И швабру с бутылкой шампанского - на выбор - в подарок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

119. Сообщение от pic (?), 17-Окт-23, 23:12	+/–
> Ну выброси какой-нибудь OpenSSL или glibc. И патчи для выкорчёвывания этих зависимостей > не забудь оперативно выпустить. > Опеннетчиков через одного хлебом не корми, дай только что-нибудь повыкидывать и позапрещать. А что сразу не ядро выкинуть? Юношеский максимализм. А Debian выкидывал такое тухлое и раньше, непонятно почему они сейчас стали так тормозить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #153

120. Сообщение от хрю (?), 17-Окт-23, 23:15	+/–
Это обычное явление в любой стране. Самый треш по разгильдяйству, покупке тонн ненужного софта и пускания кого попало на свои сервера, который я видел, был в амерском подразделении bp.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #124

121. Сообщение от pic (?), 17-Окт-23, 23:16	+/–
> Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи > ногами проголосуют, ага. Пользователям никто ничего не должен, это opensource. Либо Вы клепаете как есть, вместе с дырами и не несёте ответственность, либо адекватно реагируете на такое, если у Вас профессиональный продакшн, и Вам предъявят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #137

122. Сообщение от Аноним. (?), 17-Окт-23, 23:21	+/–
Пошел TLS переписывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

123. Сообщение от анонимусс (?), 18-Окт-23, 00:06	+/–
Ты на пузирок не наезжай! Отличная сортировка при мелких массивах. Делает просто, на неответственных частях проги сойдет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

124. Сообщение от Аноним (90), 18-Окт-23, 00:17	+1 +/–
Но торгуют персональными данными почему-то только у нас. Недавно вот зарегался в программе лояльности крупного сетевого маркетплейса, так на второй день попёрли тонны смс начиная от кaзино, заканчивая пpoститyтками и крипто-скамом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #159

125. Сообщение от Тот_ещё_аноним (ok), 18-Окт-23, 01:33	+2 +/–
>> современный кодер гораздо лучше... чем ДИД, который из прошлого продолжает нам гадить >> который не умеет ничего, кроме npm install leftpad Вот бесполезный кусок того самого Полезней тот, кто может поправить кривой RFC и потом либы под него Признаюсь, я не могу(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #143

126. Сообщение от Аноним (-), 18-Окт-23, 02:22	+/–
во я орнул, если честно, за предъяву как веб-манки, которая не в состоянии расписать своё существование, ещё и наминусовали, лол вы, вообще сами-то в курсе, что вся нынешняя цивилизация построена на этом - труде одних и руковдстве других, с применением спиженных/адаптированных/лицензированных технологий третьих, со всякими нюансы и вариациями? куда не плюнь - жильё, вкусная еда, безопасность, ваши устройства, этот форум и вся сеть целиком построена по этому принципу есть один схожий момент во всём этом, на ряду с прочими, что оказывает влияние на многие важные составляющие - это система контроля качества, назовём так. сабж новости лишь указывает на недостаточность оного в конкретной сфере опенсорс_софта/*никсах. ваш дом не развалился, еда не вызывает отравления, вы в спокойствии и безопасности пишите сюда лишь, в том числе, благодаря её существованию. а обсуждаемая сфера может трещать начать, без должного внимания к данной проблеме, вот и всё я не вижу проблемы в использовании благ цивилизации, труда других людей. благодарен судьбе за возможность использовать чужие наработки и, возможно, талант использовать их с толком. а вот надменность мне претит зы. по вашей логике, грубо говоря, вот изобрели колесо - и катайся на нём, ну на повозке в крайнем случае. да что там - брёвна лучше подкладывай, да кати. сами-то на машинах ездиете? нет претензий к агенствам, которые контролируют соответствие транспорта необходимым требованиям, том числе и безопасности?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #127

127. Сообщение от Аноним (-), 18-Окт-23, 02:26	+/–
ну хз, не пробовал я ещё в поле сидеть по крайней нужде, от волков оглядываясь, размышляя что та ведьма, скорее всего, сама те ягоды отравила, чтоб попиариться, лол а линус, ко всему прочему, гит же сделал, который похлеще самого линукса разошёлся. дай там кто-нить свыше, что ещё что-то по контролю сабжа придумает, если должным образом внимание его привлечёт, авось и поделки майков/эплов подтянутся тоже, если у них там свои должным образом ещё не отработаны, принцип-то один я думаю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

128. Сообщение от Аноним (-), 18-Окт-23, 03:02	+/–
как туда зайти-то? лампочку выключил, тёмную тему поставил - сижу жду дальнейших указаний
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

130. Сообщение от ПГМ (?), 18-Окт-23, 03:29	+/–
Юмор зачетный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

131. Сообщение от Аноним (-), 18-Окт-23, 03:29	–1 +/–
ну слушай, инфа же _официальная, а значит и описание уязвимости, как и статистика использования, получена, наверняка, из открытых источников. хочешь парсер по этим данным запусти, хочешь зависимости конкретных проектов изучи, смотря в чём _необходимость появится, остальное - дело техники, как говорится а так да, сишка дырявая, но не факт что всё дырявое на ней. и постоянно выявляемые уязвимости лишь подтверждают это. что не всё дырявое на ней. пока точно не всё хД
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

132. Сообщение от Аноним (-), 18-Окт-23, 03:32	+/–
> Зачем неуязвимый софт, если софт не делает нужного. неуязвимый софт нужен не для того, что бы не делал нужного, а для того, чтобы не делал ненужного))) ахах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

134. Сообщение от penetrator (?), 18-Окт-23, 04:03	+/–
а что делать с уже установленными? вообще-то это главная проблема, потому что то кто когда то будет установлено не отражает текущую картину уязвимостей
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #139

135. Сообщение от Аноним (109), 18-Окт-23, 05:13	+/–
Не мешай пиариться и продавать сейфы для солонок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #145

137. Сообщение от User (??), 18-Окт-23, 07:52	+/–
>> Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи >> ногами проголосуют, ага. > Пользователям никто ничего не должен, это opensource. Либо Вы клепаете как есть, > вместе с дырами и не несёте ответственность, либо адекватно реагируете на > такое, если у Вас профессиональный продакшн, и Вам предъявят. Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто примерно все и нихрена не работает интересует примерно "никого", openBSD у нас уже есть, делать еще одну в парадигме "только хуже" - спасибо, нинада.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #147

138. Сообщение от Аноним (138), 18-Окт-23, 09:11	+1 +/–
Если на неисправности есть готовые патчи - мейнтейнеры реп дистрибутивов их докладывают. И ругаются, если затем долгое время их не принимает основной проект. И выкидывают на мороз, когда патчи наклываются (начинают неразрешимо конфликтовать друг с другом).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #140

139. Сообщение от Tron is Whistling (?), 18-Окт-23, 09:17	+/–
> а что делать с уже установленными? Да ничего, проблемы установивших.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

140. Сообщение от Tron is Whistling (?), 18-Окт-23, 09:19	+/–
Да. Именно в этом и заключается отличие дистровых и прочих монореп от хламовников типа npm.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

141. Сообщение от Tron is Whistling (?), 18-Окт-23, 09:21	+/–
Ну вообще да, примерно так и делаем - ни в одном проекте нет ни одного автоматического стягивания чего-либо откуда-либо. Поэтому все эти проблемы васянов меня не волнуют - можно хоть так оставить и ничего с этим не делать вообще, пусть наслаждаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #154

142. Сообщение от Tron is Whistling (?), 18-Окт-23, 09:26	+/–
Java-дистрибуция - это один из самых первых отличных примеров того, как делать не надо. Когда все сторонние библиотеки фиксированных версий тащатся вместе с проектом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

143. Сообщение от Анонин (?), 18-Окт-23, 12:08	+/–
Это шутка такая? Поправить RFC? Да в 100% раз легче протолкнуть новый, чем исправлять старый... Потому что это ЛОМАЮЩИЕ ИЗМЕНЕНИЯ!!!111 Нужно тянуть это гно вечно! Тебя же сразу проклянут все пользователи некрософта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

144. Сообщение от InuYasha (??), 18-Окт-23, 12:21	+/–
Хотел пожаловаться что в опрос не позвали... > Java, JavaScript, Python и .NET, Смех сквозь слёзы. Просто сяду почитать, чем страдает этот гадюшник.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #167

145. Сообщение от ыы (?), 18-Окт-23, 12:24	+/–
Если солонка при попытке посолить- взрывается - то такие солонки нужно держать не просто в сейфе, а и сейф такой где нибудь подальше..от людей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135

146. Сообщение от ыы (?), 18-Окт-23, 12:26	+/–
эта уязвимость хорошо описана. проверьтесь дял началу у себя...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

147. Сообщение от pic (?), 18-Окт-23, 14:09	+/–
> Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем > устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто > примерно все и нихрена не работает интересует примерно "никого", openBSD у > нас уже есть, делать еще одну в парадигме "только хуже" - > спасибо, нинада. С этой точки зрения Debian непригоден для продакшена, даже после форка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137 Ответы: #151

148. Сообщение от Аноним (-), 18-Окт-23, 14:34	+/–
я слышал о, почившем на волне очередного хайпа, гениальном конструкторе, который затерялся где-то в вечности, изобретая очередное колесо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

149. Сообщение от Аноним (-), 18-Окт-23, 14:35	+1 +/–
голландский!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

150. Сообщение от AKTEON (?), 18-Окт-23, 15:26	+/–
Конечно. Я всегда удивлялся, что на macos стоит  микроядро, а в linux монолит. Хотя казалось бы , оттестировать несколько десятков возможных аппаратных конфигураций  mac легко и должен быть монолит из соображений производительности, а для десятков миллионов возможных для  linux - поневоле приходится использовать микроядерную архитектуру. Но люди - по натуре своей - извращенцы и сделали строго наоборот, так что говнокод в гиперраспухшем ядре - неизбежен. Разве что AI когда-нибудь перепишет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

151. Сообщение от User (??), 18-Окт-23, 15:45	+/–
>> Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем >> устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто >> примерно все и нихрена не работает интересует примерно "никого", openBSD у >> нас уже есть, делать еще одну в парадигме "только хуже" - >> спасибо, нинада. > С этой точки зрения Debian непригоден для продакшена, даже после форка. Наличие\отсутствие дыр, критических ошибок и т.д. на готовность к production'у влияет не то, чтобы "никак" - но весьма и весьма ограничено на самом деле. Софт - гумно и все ИС проектируются исходя из этой парадигмы путем добавления автоперезапускаторов-анализаторов-наложенных-средств-защиты и прочих костылей-и-подпорок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147

153. Сообщение от Менеджер Антона Алексеевича (?), 18-Окт-23, 16:40	+/–
> А что сразу не ядро выкинуть? Отличная мысль, но немного рановато: GNU/Hurd ещё не совсем готов. > Юношеский максимализм. А «брать на испуг» и «выбрасывать из репозитория» — это не юношеский максимализм? Или это другое и надо понимать? > А Debian выкидывал такое тухлое и раньше, непонятно почему они сейчас стали так тормозить. Да как раз вполне понятно почему. Но если ты считаешь, что надо иначе — добро пожаловать в список рассылки Дебиана. По опыту могу сказать, что если идея ценная, то её с радостью примут. Удачи!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

154. Сообщение от Менеджер Антона Алексеевича (?), 18-Окт-23, 16:44	+/–
> ни в одном проекте нет ни одного автоматического стягивания чего-либо откуда-либо И все исходники всех либ тщательно вычитываются, да? Охотно верю! > все эти проблемы васянов меня не волнуют Так не волнуют, что захламил комментариями тред. Не даром ты мой любимый персонаж опеннета, после пох.а.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

156. Сообщение от Neon (??), 18-Окт-23, 17:08	+/–
А потом ваша прекрасная либа-1.2.3.1234 не подходит, требуется либа1.2.3.1234-костыль-2.5
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #157

157. Сообщение от Tron is Whistling (?), 18-Окт-23, 17:40	+/–
Не подходит - апдейть до подходящей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156

158. Сообщение от Tron is Whistling (?), 18-Окт-23, 17:41	+/–
Потому что вся функциональность - пшик, если твой локалхост внезапно превращается в майнер для любого васи из 10Б.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

159. Сообщение от Серб (ok), 18-Окт-23, 17:43	+/–
> Но торгуют персональными данными почему-то только у нас. С чего ты так решил? Из-за того, что не можешь оплатить суммы которые просят за информацию забугорных корпораций?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #177

163. Сообщение от Аноним (163), 19-Окт-23, 09:40	+/–
Конечно, пересборка проще. Доказывать, что новая версия не вызовет проблем, не надо. Достаточно сказать "у меня на виртуалке всё работает!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #164

164. Сообщение от User (??), 19-Окт-23, 09:51	+/–
> Конечно, пересборка проще. Доказывать, что новая версия не вызовет проблем, не надо. > Достаточно сказать "у меня на виртуалке всё работает!" Тесты - автоматизированы в пайплайне, semver в наличии, чейнджлог версии с фиксом как правило есть - а вот _нормальный_ разбор потенциальных возможностей этот самый webp куда-нибудь нетривиальным образом присунуть - штука изрядно головоемкая. Но да, если ограничить этот разбор "Мамой клянус! копку "крутить webp" я не делаль!" - то с пересборкой и правда можно не возиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163 Ответы: #168

165. Сообщение от test (??), 19-Окт-23, 09:55	+/–
К примеру Python, выпустили ветку 3.12.0, так же вышла сразу 3.11.х, 3.10.x и т.д. некоторое время тащут старые версии ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #174

167. Сообщение от Аноним (167), 19-Окт-23, 16:45	+/–
99% коммерческого ПО под это тоже подпадает, кстати. А думал, там всюду паскаль? Паскаль остался в 90х, с тех пор на нём только легаси тех лет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

168. Сообщение от Аноним (163), 20-Окт-23, 06:38	+/–
Тест не является доказательством корректности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164 Ответы: #169

169. Сообщение от User (??), 20-Окт-23, 07:00	+/–
> Тест не является доказательством корректности. Оттож. И даже "группа тестов", включая и ручные функциональные и интеграционные - не является. Более того, "видимая работоспособность" приложения "в моменте" - тоже нифига ничего не доказывает, обновляй-не-обновляй - сейчас работает, через две минуты "ой, поломалося", ктожзнал-то, что можно строку на 10 мегабайт в поле ввода сунуть? С "доказательствами" тут вообще все не очень, ага. Но good enough результат в автоматизированном режиме вполне себе можно получать и получить "задешево".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168 Ответы: #170

170. Сообщение от Аноним (163), 20-Окт-23, 13:22	+/–
Тянет на теорему Эскобара.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169 Ответы: #171

171. Сообщение от User (??), 20-Окт-23, 13:30	+/–
> Тянет на теорему Эскобара. Не, ну можешь и дальше ничего не делать - "инцидент ИБ" он то ли будет, то ли нет, а если и будет - то это враги его благородию... - делов-то? Даже не уволят, скорее всего ).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #170 Ответы: #172

172. Сообщение от Аноним (163), 20-Окт-23, 13:54	+/–
Почему ты так озадачился мной и моим увольнением? Я всего лишь намекал, что выбор варианта зависит от продукта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171 Ответы: #173

173. Сообщение от User (??), 20-Окт-23, 15:10	+/–
> Почему ты так озадачился мной и моим увольнением? Я всего лишь намекал, > что выбор варианта зависит от продукта. Эм. Ну, я н-ннадеюсь, что я тебя не нанимал - и не мне тебя увольнять, всего лишь намекал, что подход "И так сойдет!" хорошо-б не "сходил"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172

174. Сообщение от Аноним (174), 20-Окт-23, 18:18	+/–
так фанатов же собирают - интеграций что ли насмотрелся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165

175. Сообщение от Аноним (174), 20-Окт-23, 18:20	+/–
огород копать доходнее?))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #179

176. Сообщение от Аноним (174), 20-Окт-23, 18:21	+/–
есть время разбрасывать камни, есть время камни собирать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

177. Сообщение от Аноним (174), 20-Окт-23, 18:23	+/–
языка не знает..)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159

179. Сообщение от Tron is Whistling (?), 20-Окт-23, 21:50	+/–
> огород копать доходнее?)) Не пробовал, но пользы точно больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема