| 1.1, Аноним (1), 09:06, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
Потому что любая зависимость это плохо, а старая, закоренелая зависимость это в двойне плохо. Избавляйтесь от зависимостей пацаны.
| | |
| |
| |
| 3.31, Аноним (31), 11:12, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Может использовать Маркировку? Если серьезные проекты всеже проверяют зависимости ручками, то они бы и могли делать пометки для используемой либы типа рекомендованая или нет.
Арч например старые пакеты может выкинуть в АУР из основных реп. Как было с sulphid. Своего рода маркер, думается после этого кол-во установок оного уменьшилось всеже.
| | |
| |
| 4.43, voiceofreason (?), 12:08, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Приличные проекты с собой таскают нужные библиотеки нужных версий в исходниках, или подтягивают эти сорцы при попытке собрать. Хочешь зависимость поновее - не вопрос, но это не поддерживается и не проверяется, всё сам ручками.
| | |
| |
| 5.49, Аноним (49), 12:23, 17/10/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
АгА, а потом в таскаемых библиотеках нужных версий найдётся уязвимость, а те и дальше продолжат их таскать.
| | |
| |
| 6.51, Аноним (24), 12:36, 17/10/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Риски нужно взвешивать правильно. Библиотека уязвима? ОК. Если к ней имеет доступ кто-то недоверенный, срочно обновляем. А если нет — ну и бох с ней. Например: в webp выявлена уязвимость. Означает ли это, что срочно надо пересобирать корпоративное приложение на электроне? Нет. Почему? Потому что корпоративное приложение на электроне webp не показывает, и один пользователь другому пользователю этот webp не подсунет: нет такой возможности.
| | |
| |
| 7.107, User (??), 21:10, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
А вот это, в общем-то, нуждается в доказательствах. Подчас - весьма и весьма нетривиальных. Ей-ей, пересборка проще будет.
| | |
| |
| |
| 9.164, User (??), 09:51, 19/10/2023 [^] [^^] [^^^] [ответить] | +/– | Тесты - автоматизированы в пайплайне, semver в наличии, чейнджлог версии с фиксо... текст свёрнут, показать | | |
| |
| |
| 11.169, User (??), 07:00, 20/10/2023 [^] [^^] [^^^] [ответить] | +/– | Оттож И даже группа тестов , включая и ручные функциональные и интеграционные ... текст свёрнут, показать | | |
| |
| |
| 13.171, User (??), 13:30, 20/10/2023 [^] [^^] [^^^] [ответить] | +/– | Не, ну можешь и дальше ничего не делать - инцидент ИБ он то ли будет, то ли не... текст свёрнут, показать | | |
| |
| |
| 15.173, User (??), 15:10, 20/10/2023 [^] [^^] [^^^] [ответить] | +/– | Эм Ну, я н-ннадеюсь, что я тебя не нанимал - и не мне тебя увольнять, всего лиш... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 6.60, _kp (ok), 13:16, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А когда устраняли одну проблему не добавляя две новых?
Иначе параноидальные обновления давно бы прекратились. :)
| | |
|
| 5.93, Деаноним (?), 18:45, 17/10/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Что за чушь.
Таскать библиотеку другого проекта в своём проекте это моветон.
Не должно быть в проекте ничего лишнего. Разве что какой-нибудь гит сабмодуль.
Скачиванием либ при попытке билда занимаются компании которым начхать на всех (вроде гугла). Опционально это не является чем-то плохим, но добровольно-принудительно это варварство. Не делайте так.
| | |
| |
| 6.148, Аноним (-), 14:34, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
я слышал о, почившем на волне очередного хайпа, гениальном конструкторе, который затерялся где-то в вечности, изобретая очередное колесо
| | |
|
|
|
| 3.34, Аноним (31), 11:19, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
А может и не нужно этого. Нормальный прогер не заинтересован каки всякие использовать
| | |
| 3.39, Аноним (39), 11:46, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
В PHP 8 какая-то бяка поменяла аргументы местами в функции join. Пришлось изобретать strjoin.
| | |
| |
| |
| |
| 6.79, Аноньимъ (ok), 14:26, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Там же в доках написано - $glue
И название implode как бы референс к сжимаемущемуся кульку.
| | |
|
|
| 4.96, Аноним (96), 18:56, 17/10/2023 [^] [^^] [^^^] [ответить]
| +5 +/– | |
Из документации к PHP 4:
implode() can, for historical reasons, accept its parameters in either order.
То есть, ещё 20 лет назад в документации был задокументирован порядок аргументов "разделитель, массив" и было примечание, что обратный порядок аргументов тоже работает по историческим причинам (но официально не поддерживается).
Через 20 лет костыль выпилили. И тут кто-то проснулся.
| | |
|
| 3.54, Вы забыли заполнить поле Name (?), 12:49, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Переизобретайте strsplit() пацаны.
Для современного кодера написать strsplit это проблема? Понимаю, вместо этого нужно подключить Модуль strsplit, который притянет модули abstract-split, split-by-str, split-by-re, better-re и пойти пить смузи. Данное решение несомненно более надежное и решит проблему с уязвимостями (нет).
| | |
| |
| |
| |
| 6.100, Аноним (24), 19:36, 17/10/2023 [^] [^^] [^^^] [ответить] | –1 +/– | Настоящий сишник не пишет тесты Он уверен в своих силах Он не какой-то там npm... большой текст свёрнут, показать | | |
| |
| 7.125, Тот_ещё_аноним (ok), 01:33, 18/10/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
 >> современный кодер гораздо лучше... чем ДИД, который из прошлого продолжает нам гадить
>> который не умеет ничего, кроме npm install leftpad
Вот бесполезный кусок того самого
Полезней тот, кто может поправить кривой RFC и потом либы под него
Признаюсь, я не могу(
| | |
|
|
|
|
|
| 2.52, AntonAlekseevich (ok), 12:46, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Хочешь/требуют быстро сделать. Будешь пользоваться зависимостями. Не работает на новой используй те что есть. (И далее пофиг...)
| | |
|
| 1.6, Tron is Whistling (?), 09:41, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Хламокодинг с притаскиванием всех библиотек в тушку - это нонсенс.
Библиотеки должны подключаться снаружи и иметь хотя бы более-менее стабильный API/ABI - берите пример с C.
| | |
| |
| 2.7, Tron is Whistling (?), 09:42, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
(да, м@какинг уже не пройдёт - это чуть сложнее npm install, но зато библиотеки могут обновляться отдельно от проекта)
| | |
| |
| 3.11, Аноним (11), 09:48, 17/10/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
И хоба! Ты начинаешь зависеть от долбанутых мейнтейнеров.
Вот когда они соизволят обновить уязвимую либу, вот тогда и уязвимость исправится.
| | |
| |
| 4.12, Tron is Whistling (?), 09:50, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Но в npm-то том же ты конечно же не зависишь, все уязвимости сами исправляются.
(это уже не говоря про число брошенных лефтпадов)
| | |
| |
| 5.15, Аноним (11), 09:55, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
В npm, как только есть фикс от разрабов, всё уже зависит от тебя - обновляй и сабмить.
А тут разрабы фикс выкатили, а мейнтенеры деба еще зад чешут (хотя арч и убунта уже выкатили изменение).
Получается часть юзеров (в теории) могут получить фикс, а остальные - без шансов.
Плюс это нужно чтобы пользователь пошел в свой пакетник и обновился. Ты это никак не контролируешь.
А в своей аппе - сам вывел окошко с обновлялкой, можно даже алерт.
| | |
| |
| 6.18, Tron is Whistling (?), 09:56, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вообще из хламореп стоило бы выпиливать все уязвимые версии сразу после обнаружения проблемы.
То, что у кого-то это в поделку не затянется - проблемы подельщика.
| | |
| |
| 7.67, YetAnotherOnanym (ok), 13:57, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Вот, кстати, бешено плюсую. Нерадивые разрабы и беспечные потребители должны иногда получать щелбан по башке.
| | |
| 7.134, penetrator (?), 04:03, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
а что делать с уже установленными?
вообще-то это главная проблема, потому что то кто когда то будет установлено не отражает текущую картину уязвимостей
| | |
|
| 6.21, Tron is Whistling (?), 10:03, 17/10/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Проблема именно в том - ниже правильно отметили - что никто тебе фикс не выкатит.
А из репы этот брошенный хлам никто не выпилит - иначе у толп васянов поломается их хлам.
Вот это и есть основная беда хламореп от хламокодинга.
Если выпиливать - стимул поддерживать появится мгновенно, но весь хламокодинг посыпется, как карточный домик, потому что от хламоподобия хламобиблиотек за пару лет останется в лучшем случае 10% поддерживаемых. И это, надо сказать, хорошо, но не случится.
| | |
| |
| 7.25, Аноним (11), 10:17, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А из репы этот брошенный хлам никто не выпилит
Угу, а брошенную либу мейнтейнеры прям побежали выпиливать из реп?))
Про аппы вообще молчу - вот в деб стэйбл лежит заведомо уязвимый squid (5.7-2), дырявый по самое немогу, причем годами (даже новость про это была https://www.opennet.ru/opennews/art.shtml?num=59915)
И что? Его выпилили из репы? Нет!
PS: что-то тебя конкретно клинит на "хламо"-чем-то... Может тебе таблеточки попить?
| | |
| |
| 8.138, Аноним (138), 09:11, 18/10/2023 [^] [^^] [^^^] [ответить] | +1 +/– | Если на неисправности есть готовые патчи - мейнтейнеры реп дистрибутивов их докл... текст свёрнут, показать | | |
|
|
|
|
| 4.29, test (??), 11:00, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Вообще то на мантейнеров молиться нужно. Разрабам начихать на окружение, они пилят свою либу, вносят новые фичи, а тут хлоп баг, они это баг коммитят и выпускают НОВУЮ версию. А вот эти самые фичи новой версии ломают окружение ... а ему начихать. И так же ему плевать что новые фичи лепят новые дыры ...
А мантейнер тот все наоборот, вышла новая версия, он из нее выбирает патчи дыр, накладывает на текущую либу и ничего не сломано и дыра закрыта.
P.S. Справедливости ради могу заметить, что есть разрабы подтерживающие старые ветки, на предмет дыр, но таких мало и только на крупных проектах.
| | |
| |
| 5.38, фнон (?), 11:42, 17/10/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> но таких мало и только на крупных проектах.
Например в каких?
Вон внизу скидывали ссылку на дырявые либы в Дебиане.
не уверенНе уверен, что у остальных будет получше (может разве что RHEL, но не уверен)
| | |
| |
| 6.165, test (??), 09:55, 19/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
К примеру Python, выпустили ветку 3.12.0, так же вышла сразу 3.11.х, 3.10.x и т.д. некоторое время тащут старые версии ...
| | |
|
|
|
|
| 2.76, Kuromi (ok), 14:20, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Вот только Мозилла именно вот этим занимается уже десятилетия. Все внешние либы тащутся с собой.
| | |
| 2.98, лютый арчешкольник... (?), 19:24, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>Библиотеки должны подключаться снаружи и иметь хотя бы более-менее стабильный API/ABI
си это боль для мазомазо.... а то что ты написал, в жабе и так присутствует. даже если в fatJar всё собираешь, очень легко управлять зависимостями, менять/убирать итд а с тестами сразу видно всё ли работает
| | |
| |
| 3.142, Tron is Whistling (?), 09:26, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Java-дистрибуция - это один из самых первых отличных примеров того, как делать не надо. Когда все сторонние библиотеки фиксированных версий тащатся вместе с проектом.
| | |
|
| 2.156, Neon (??), 17:08, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
А потом ваша прекрасная либа-1.2.3.1234 не подходит, требуется либа1.2.3.1234-костыль-2.5
| | |
|
| 1.9, Аноним (11), 09:45, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> прекращено сопровождение каждого пятого проекта
> только 11% продолжают активно сопровождаться
Вполне перекликается с новостями про проблемы сопровождающих ядра, проблемы с LTS и тд.
Люди внезапно заметили появившиеся проблемы и осознали, что тратить свое время на бесплатные проекты... не рационально.
| | |
| |
| 2.13, Tron is Whistling (?), 09:51, 17/10/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Проблема в том, что хламокодинг позволяет каждому желающему васяну выкатить наколенную поделку, которую другой васян затянет к себе в свою наколенную поделку. То, что первый васян через неделю поделку бросит - никого не волнует.
| | |
| |
| 3.16, фнон (?), 09:55, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Угу, а что скажешь про овнокод в ядре линуха? или дровах?
Там тоже васяны?
Наверное в этом и идея опенсорса?
| | |
| |
| 4.20, Tron is Whistling (?), 09:57, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
И много хлама из хламорепозитариев ядро внутрь затягивает?
Ах да, туда же растишку добавили. К счастью, выключенную.
| | |
| |
| |
| 6.47, Аноним (47), 12:21, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так разрабы этот код сами туда положили, а не кто-то левый забил на свой проект или передал его кому-то или решил заработать и тебе залетел майнер, вместе с трояном для ботнета.
| | |
| |
| 7.56, анонимусс (?), 13:01, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А разве репозиторий, емейл разраба, или его гит аккаунт нельзя перекупить/взломать/украсть ?
Вот пример реальной пробелмы которая была в ядре https://lwn.net/Articles/57135/
И это то что заметили, а ведь другие могли не заметить.
| | |
| 7.111, User (??), 21:28, 17/10/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну, мы поняли - это ДРУГОЕ. Лет через 20 дiдовскую сортировку пузырьком выпилят - но ты туда не смотри, там селедку заворачивали.
| | |
|
|
|
| 4.150, AKTEON (?), 15:26, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Конечно. Я всегда удивлялся, что на macos стоит микроядро, а в linux монолит. Хотя казалось бы , оттестировать несколько десятков возможных аппаратных конфигураций mac легко и должен быть монолит из соображений производительности, а для десятков миллионов возможных для linux - поневоле приходится использовать микроядерную архитектуру. Но люди - по натуре своей - извращенцы и сделали строго наоборот, так что говнокод в гиперраспухшем ядре - неизбежен. Разве что AI когда-нибудь перепишет.
| | |
|
| 3.32, Аноним (32), 11:13, 17/10/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
А это проблема? Как предлагаешь решать её, массовыми расстрелами?
| | |
| |
| 4.48, Аноним (47), 12:23, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Создать СССР и в интернет пускать по карточкам. А программный код можно брать только из центрального репозитория министерства электронной промышленности СССР.
| | |
| |
| 5.50, Аноним (49), 12:30, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
По партбилетам и комсомольским билетам. В инет позволяется ходить только идейнонадёжным.
| | |
| 5.63, Аноним (63), 13:33, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Как будто сейчас не так, только под властью капитала. Акк пппое, адрес, порт на оборудовании, договор с провом -- всё это колокольчик, повешеный буржуинами на шею коровам. Паситесь!
| | |
|
|
| 3.87, Менеджер Антона Алексеевича (?), 16:37, 17/10/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Почему у тебя вызывает такую бурную реакцию то, чем какие-то абстрактные васяны занимаются друг с другом? Ну-ка покажи на этой кукле, в какие места тебе васяны хламокодили.
Опенсорс вообще-то именно про использование чужих наработок, чтобы не пилить свой велосипед каждый раз. Права и обязанности в лицензии прописаны, а дальше никто никому ничего не должен. Ни один васян пилить либу, ни второй её использовать. Поэтому все жалобы про наколенные поделки можешь отправлять в спортлото. Не нравится — перепиши как нравится, заодно посмотрим какой ты молодец. А пока что ты только ноешь на опеннете про то, как тебя васяны обидели.
| | |
| |
| 4.141, Tron is Whistling (?), 09:21, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ну вообще да, примерно так и делаем - ни в одном проекте нет ни одного автоматического стягивания чего-либо откуда-либо. Поэтому все эти проблемы васянов меня не волнуют - можно хоть так оставить и ничего с этим не делать вообще, пусть наслаждаются.
| | |
| |
| 5.154, Менеджер Антона Алексеевича (?), 16:44, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> ни в одном проекте нет ни одного автоматического стягивания чего-либо откуда-либо
И все исходники всех либ тщательно вычитываются, да? Охотно верю!
> все эти проблемы васянов меня не волнуют
Так не волнуют, что захламил комментариями тред. Не даром ты мой любимый персонаж опеннета, после пох.а.
| | |
|
|
|
|
| |
| 2.14, Tron is Whistling (?), 09:52, 17/10/2023 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Наоборот. Библиотеки без всяких репозитариев. Прежде чем делать проект - основательно думаешь и выбираешь, на что завязываться, а не тянешь в рот любой свежак с хламорепозитария.
Впрочем, в серьёзных проектах так дело уже и обстоит, проблема по сути выеденного яйца не стоит и касается только однодневок от хламокодинга.
| | |
| |
| 3.23, Аноним (23), 10:13, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Где rapid application development, там и куча зависимостей-однодневок. Зачем переизобретать велосипед? Интересно пилить свою идею, пока не взлетит. Если не взлетело то и ладно, не сильно то и хотелось. Если таки взлетело то зачем перепиливать - и так ведь работает. Так и получается в конце большой карточный домик.
| | |
| |
| 4.27, фнон (?), 10:43, 17/10/2023 [^] [^^] [^^^] [ответить] | +/– | Как-будто раньше было не так В линуксе куча уязвимых либ, добавленных 20 лет на... большой текст свёрнут, показать | | |
| 4.72, YetAnotherOnanym (ok), 14:06, 17/10/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> rapid application development
Очередной Аноним, который печатает со скоростью 400 знаков в минуту.
| | |
|
| 3.104, Аноним (104), 20:45, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Прежде чем делать проект - основательно думаешь и выбираешь
А потом пишешь с первого раза без ошибок идеальный код, который никогда не надо будет править. Ох уж эти опеннетные фантазии! Ох уж жти опеннетные фантазёры. А в реале без итераций и фидбека пишут только хеллоу ворлд. Пока ты думал, соседний стартап выпустил 300 версий, разобрался что нужно пользакам и вышел в кэш. Или не вышел. Но у них продукт был, а ты лишь основательно подумал.
| | |
|
|
| 1.26, Аноним (26), 10:36, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостями,
А нафига они предоставляются для скачивания? 404 отдавать. Кому ну очень нужно и в git сбегают.
| | |
| |
| 2.28, Аноним (11), 10:57, 17/10/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость.
| | |
| |
| 3.45, Аноним (45), 12:14, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Для сборки таких заброшенных апп можно сделать ключ вроде --allow-archived-dependencies.
| | |
| 3.117, Tron is Whistling (?), 22:47, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость.
И это ОЧЕНЬ хорошо.
Нет мейнтейнера - давай, до свидания.
| | |
|
| 2.35, Аноним (11), 11:28, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
А этот забагованый кусок, почему не выпилили из репы? https://packages.debian.org/stable/web/squid
"Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены"
По той же причине - начнут не собираться другие либы или прикладной софт.
Хотя приостанавливать использование "до фикса всех известных критических проблем" имхо было бы адекватным решением.
Но на такое никто не пойдет.
Потому что есть нехилый шанс, что они никогда их не починят "Разработчики Squid были уведомлены о проблемах ещё два с половиной года назад, но так и не завершили работу по их устранению."
| | |
| |
| 3.36, pic (?), 11:39, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Действенное решение - брать на испуг - выбрасывать из репозитория вместе с соответствующими по зависимостям пакеты.
Если эти не исправят, то другие в таком крупном дистрибутиве оперативно выпустят патчи с выкорчёвыванием зависимости от этой либы, либо их софта там не будет до следующего релиза.
Есть второй вариант - к едрене фене - вытаскивать эти либы в отдельную репу с тем софтом и объявлять, что эта репа, скажем, non-official-critical.
| | |
| |
| 4.37, pic (?), 11:41, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Дополнение:
и Debian к этой халатности не имеет отношения - без претензий.
Совсем уже обнаглели, и мейнтейнеры, и разработчики.
| | |
| 4.42, анонимусс (?), 12:04, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> выбрасывать из репозитория вместе с соответствующими по зависимостям пакеты
Классное решение, но что делать если репа после этого не соберется?
Как заменять либы, которым полных аналогов нет - тоже не ясно.
Это опенсорс - тут никаких рычаго воздействия на разраба нету, да и обязательств у него тоже никаких нет.
Вот так и живем (с)
| | |
| |
| 5.68, pic (?), 14:02, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Debian и так их выбрасывал пачками. Другое дело, что в последнее время этот процесс сильно растянулся.
| | |
| 5.69, pic (?), 14:03, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Поэтому предложенный мой второй вариант более актуален, чем пытаться разрешать ад зависимостей старыми версиями.
| | |
|
| 4.88, Менеджер Антона Алексеевича (?), 16:54, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Ну выброси какой-нибудь OpenSSL или glibc. И патчи для выкорчёвывания этих зависимостей не забудь оперативно выпустить.
Опеннетчиков через одного хлебом не корми, дай только что-нибудь повыкидывать и позапрещать.
| | |
| |
| 5.119, pic (?), 23:12, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Ну выброси какой-нибудь OpenSSL или glibc. И патчи для выкорчёвывания этих зависимостей
> не забудь оперативно выпустить.
> Опеннетчиков через одного хлебом не корми, дай только что-нибудь повыкидывать и позапрещать.
А что сразу не ядро выкинуть? Юношеский максимализм.
А Debian выкидывал такое тухлое и раньше, непонятно почему они сейчас стали так тормозить.
| | |
| |
| 6.153, Менеджер Антона Алексеевича (?), 16:40, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> А что сразу не ядро выкинуть?
Отличная мысль, но немного рановато: GNU/Hurd ещё не совсем готов.
> Юношеский максимализм.
А «брать на испуг» и «выбрасывать из репозитория» — это не юношеский максимализм? Или это другое и надо понимать?
> А Debian выкидывал такое тухлое и раньше, непонятно почему они сейчас стали так тормозить.
Да как раз вполне понятно почему. Но если ты считаешь, что надо иначе — добро пожаловать в список рассылки Дебиана. По опыту могу сказать, что если идея ценная, то её с радостью примут. Удачи!
| | |
|
|
| 4.112, User (??), 21:32, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи ногами проголосуют, ага.
| | |
| |
| 5.121, pic (?), 23:16, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи
> ногами проголосуют, ага.
Пользователям никто ничего не должен, это opensource. Либо Вы клепаете как есть, вместе с дырами и не несёте ответственность, либо адекватно реагируете на такое, если у Вас профессиональный продакшн, и Вам предъявят.
| | |
| |
| 6.137, User (??), 07:52, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи
>> ногами проголосуют, ага.
> Пользователям никто ничего не должен, это opensource. Либо Вы клепаете как есть,
> вместе с дырами и не несёте ответственность, либо адекватно реагируете на
> такое, если у Вас профессиональный продакшн, и Вам предъявят.
Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто примерно все и нихрена не работает интересует примерно "никого", openBSD у нас уже есть, делать еще одну в парадигме "только хуже" - спасибо, нинада.
| | |
| |
| 7.147, pic (?), 14:09, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем
> устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто
> примерно все и нихрена не работает интересует примерно "никого", openBSD у
> нас уже есть, делать еще одну в парадигме "только хуже" -
> спасибо, нинада.
С этой точки зрения Debian непригоден для продакшена, даже после форка.
| | |
| |
| 8.151, User (??), 15:45, 18/10/2023 [^] [^^] [^^^] [ответить] | +/– | Наличие отсутствие дыр, критических ошибок и т д на готовность к production у в... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.40, Аноним (47), 11:53, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Компания сама атакует, а потом сама клепает отчёт. Безотходное производство.
| | |
| |
| 2.44, анонимусс (?), 12:10, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Атакует кого?
Кодеров которые забили на свои проекты?
Тех кто использует старые либы без проверки насколько они дырявые?
То что сама фирма специализуется на пентестах, не значит, что отчет не правдивый.
| | |
| |
| 3.46, Аноним (47), 12:18, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Да. Да. Я думаю там точность 100% я к тому что они хорошо устроились.
| | |
| |
| 4.53, анонимусс (?), 12:47, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Уууууу! Заговор!!!1111
Это точно не ленивые разрабы, которые багованные либы не обновляют, а все корпорация зла виновата!
Небось еще и мейнтейнерам доплачивает в конвертах, чтобы побольше CVE в код добавили.
| | |
|
|
|
| |
| 2.64, Аноним (-), 13:41, 17/10/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
так это же мировая история, все великие достижения строились по такому принципу, оглянись это везде вокруг - есть люди просто исполняющие своё дело и руководители/провидцы, которые организовывали/использовали эти людские ресурсы. без тех или тех ничего бы не получилось, равно как и фейлы отдельных - упоротость диктаторов, либо предательство/некомпетентность исполнителей приводили к краху. также и этой сфере, по аналогии, как и везде. ты же сам себе дом не строил, условно, живёшь там и творишь иное, и страданёшь если он развалится из-за плохого качества строительства/отсутствия ДУКа проводящего капремонт. разделение труда уж скок веков на пользу раотает, со своими нюансами.
| | |
| |
| 3.71, Аноним (71), 14:06, 17/10/2023 [^] [^^] [^^^] [ответить] | +/– | в продолжение не всегда же есть виновные, если при строительстве были ошибки в ... большой текст свёрнут, показать | | |
| |
| 4.77, Аноним (-), 14:20, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
ну ведь объективно же, линус с командой так бегут вперёд, что, возможно, не замечают или не хотят как фундамент может треснуть. 6.6.6 пройдут, а до 7.7.7 могут и не дожить, в привычном понимании. коллективное письмо давайте писать, лол
| | |
|
| 3.126, Аноним (-), 02:22, 18/10/2023 [^] [^^] [^^^] [ответить] | +/– | во я орнул, если честно, за предъяву как веб-манки, которая не в состоянии распи... большой текст свёрнут, показать | | |
| |
| 4.127, Аноним (-), 02:26, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
ну хз, не пробовал я ещё в поле сидеть по крайней нужде, от волков оглядываясь, размышляя что та ведьма, скорее всего, сама те ягоды отравила, чтоб попиариться, лол
а линус, ко всему прочему, гит же сделал, который похлеще самого линукса разошёлся. дай там кто-нить свыше, что ещё что-то по контролю сабжа придумает, если должным образом внимание его привлечёт, авось и поделки майков/эплов подтянутся тоже, если у них там свои должным образом ещё не отработаны, принцип-то один я думаю
| | |
|
|
| 2.89, Аноним (89), 16:57, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Зато мне очень легко понять представителей интеллектуального большинства, которым не хватает мозгов и уверенности, чтобы писать программы на динамических языках. Без ритуальных перепроверок по 10 раз и попыток сконстролить проверку типов. С которыми все становится медленно и громоздко.
Кодогенерация ИИ понятно лучше будет работать на статических. Для людей (не квадратноголовых, понятное дело) динамические удобнее.
| | |
| |
| 3.114, Аноним (114), 22:09, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Писал и пишу и на тех, и на тех языках. Ну, под каждую задачу найдётся своё.
> чтобы писать программы на динамических языках
С нестрогой типизацией? Если да, то ну вот донесите, пожалуйста, в чём прикол, кроме вороха трудноуловимых проблем в _рантайме_?
| | |
|
|
| 1.61, Аноним (61), 13:17, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>>Компания Sonatype, специализирующаяся на защите от атак, манипулирующих подменой программных компонентов и зависимостей (supply chain)
Себя не попиаришь, никто тебя и не заметит. А тут фигню выкатил и такой важный :-))). Всё это фигня собачья. Данные в 99% утекают из-за недовальных админов, подкупленных админов, субподрядчиков рукопопых и т.п. человеческих факторофф. инфа соточка. А это всё бухтение для освоение "безопасных" бюджетов.
| | |
| |
| 2.80, Аноньимъ (ok), 14:38, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Да нет давно никаких админов.
Докер контейнер с докерхаба в дефолте прямо в жоблако, или в кубернутес какой если ты сурьёзный.
| | |
| |
| 3.90, Аноним (90), 17:05, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Он имел ввиду девляпсов которые это все админят. А подкуп оных явление довольно частое, особенно в этой стране.
| | |
| |
| 4.115, Аноньимъ (ok), 22:34, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– | |
В большой оутсорс конторе это должно быть легче чем легко конечно.
Вспоминается, в нулевых, просили нас сделать аудит сервера, где всякая телефония тоже весела, было подозрение что админ пишет и сливает переговоры конкурентам.
Но потом у них проблема похоже исчезла, видимо решилось всё само собой.
| | |
| 4.120, хрю (?), 23:15, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Это обычное явление в любой стране. Самый треш по разгильдяйству, покупке тонн ненужного софта и пускания кого попало на свои сервера, который я видел, был в амерском подразделении bp.
| | |
| |
| 5.124, Аноним (90), 00:17, 18/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Но торгуют персональными данными почему-то только у нас.
Недавно вот зарегался в программе лояльности крупного сетевого маркетплейса, так на второй день попёрли тонны смс начиная от кaзино, заканчивая пpoститyтками и крипто-скамом.
| | |
| |
| 6.159, Серб (ok), 17:43, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
 > Но торгуют персональными данными почему-то только у нас.
С чего ты так решил?
Из-за того, что не можешь оплатить суммы которые просят за информацию забугорных корпораций?
| | |
|
|
|
|
| 2.91, Аноним (90), 17:10, 17/10/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
+1
Хакеры которые корчуют код давно остались в прошлом, все современные «взломы» это подкуп, саботаж или социальная инженерия. Достаточно зайти в даркнет, там тебе и дубликат симки на любой номер сделают, и паспорт любой страны выдадут с официальным оформлением и прогоном по всем базам.
| | |
| |
| 3.128, Аноним (-), 03:02, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
как туда зайти-то? лампочку выключил, тёмную тему поставил - сижу жду дальнейших указаний
| | |
|
|
| 1.66, Golangdev (?), 13:46, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Многие проекты продолжают использовать уязвимые версии, например, 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостями
а господа торговцы безопасностью не потрудятся также сообщить, сколько из этих "23%" реально можно взломать, используя "Log4j" ?
я к тому, что наличие "уявзимой" библиотеки не равно возможности её использовать.
| | |
| |
| 2.131, Аноним (-), 03:29, 18/10/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
ну слушай, инфа же _официальная, а значит и описание уязвимости, как и статистика использования, получена, наверняка, из открытых источников. хочешь парсер по этим данным запусти, хочешь зависимости конкретных проектов изучи, смотря в чём _необходимость появится, остальное - дело техники, как говорится
а так да, сишка дырявая, но не факт что всё дырявое на ней. и постоянно выявляемые уязвимости лишь подтверждают это. что не всё дырявое на ней. пока точно не всё хД
| | |
| |
| 3.145, ыы (?), 12:24, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Если солонка при попытке посолить- взрывается - то такие солонки нужно держать не просто в сейфе, а и сейф такой где нибудь подальше..от людей.
| | |
|
| 2.146, ыы (?), 12:26, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
эта уязвимость хорошо описана. проверьтесь дял началу у себя...
| | |
|
| 1.103, Аноним (105), 20:43, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Почему же, говоря о уязвимостях, никогда не вспоминают, что в обновлении
- иногда больше нет прежней функциональности,
- иногда приходят проблемы для нужного функционала.
Обновления безопасности иногда ломают нужный функционал. И тогда обновление - зло.
Зачем неуязвимый софт, если софт не делает нужного.
| | |
| |
| 2.113, Аноним (113), 22:06, 17/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Кто ничего не делает - тот ошибок не совершает. Отсюда вывод: нихрена делать не надо.
| | |
| 2.158, Tron is Whistling (?), 17:41, 18/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Потому что вся функциональность - пшик, если твой локалхост внезапно превращается в майнер для любого васи из 10Б.
| | |
|
| 1.144, InuYasha (??), 12:21, 18/10/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Хотел пожаловаться что в опрос не позвали...
> Java, JavaScript, Python и .NET,
Смех сквозь слёзы. Просто сяду почитать, чем страдает этот гадюшник.
| | |
| |
| 2.167, Аноним (167), 16:45, 19/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
99% коммерческого ПО под это тоже подпадает, кстати. А думал, там всюду паскаль? Паскаль остался в 90х, с тех пор на нём только легаси тех лет.
| | |
|
|
