После нескольких повторяющихся инцидентов с размещением в каталоге Snap Store вредоносных приложений, выдающих себя за официальные клиенты известных криптовалютных кошельков, компания Canonical приняла решение перейти на ручное рецензирование всех новых имён пакетов, впервые размещаемых в Snap Store. При регистрации нового имени пакета будет выводиться анкета, содержащая вопросы о назначении и источнике сборки...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60883
Учитывая инженеров каноникла, то не сильно это поможет.
Они хотя бы пытаются, а не ждут, когда придет дядя из Майкрософт, чтобы указать на новую уязвимость.
Так тут вообще никто ничего смотрел годами.А теперь названия проверь будут.
Сравнил с доскональным ревью кода.
> доскональным ревью кодаПростите, а где это оно было?
Недавние события показали что всем по, кроме сотрудника мелкософта.А тут хоть имена будут проверят. Хотя все равно есть шанс для факапа.
Пост фактум было.
А так хотя бы есть вообще.
> А тут хоть имена будут проверятОпять 25. Идёт неявене соавненире , что вот лучше, чем у других.
А где и это не проверяют?
Считай нигде.
> Недавние события показали что всем по, кроме сотрудника мелкософта.Вам это не кажется странным ? По моему ответ на вопрос а кто это сделал становится ...
Ещё не доказано отсуствие связи сотрудника Micro$oft с теми тремя (в одном лице). Так что, M$ может быть заинтересованной в "случайном" обнаружении бекдора, чтобы повысить свой рейтинг в мире опенсорса.
Ну это только, мягко скажем оригиналы, тут придумать могут.
> повысить свой рейтинг в мире опенсорсаУже платиновый спонсор, куда ж дальше повышать-то? И в ядро коммитит, и проекты поддерживает, и свой код открыват, и бесплатно вычислительные ресурсы предоставляет, и конференции спонсирует, и что только ни делает. Уж у кого, а у Майкрософта с рейтингом «в мире опенсорса» всё в порядке. В отличие от форумных болтунов.
Наверное, после вот этого случаяhttp://web.archive.org/web/20240321185255/https://snapcraft....
Оу май. Это тоже с бэкдором?
Жёсткий стёб, по ерунде могут заехать иском, если бы компания не была слабой.
Мдааа..
Тут тебе чат-гпт 4....5....
Датацентры под AI ЗА 100 ярдов..
А тут ручное модерирование нейминга...
Контраст просто...
Васян пусть апрувит.
И правильно. А то наступит судный день и скайнет победит.
А минусы будут?
Нормальная жизнь возможна только под властью мирового правительства в лице искусственного интеллекта.
Потому что всём очевидно, что homo sapiens Defective by Design ·
ИИ тоже брать взятки начнет криптой, электроэнергией или еще чем нибудь.
Пока что этот "ИИ" обучают на комментах именно этих homo sapiens в интернетиках.
Да еще и с ручным модерированием.Так что большой вопрос, что их этого получится...
Повтори твоему "ИНТЕЛЛЕКТУ" что "вода красная" миллион раз и новая истина, которую не проверят миллионы баранов, готова
Судный не скудный
Интересно, а Apple в своей Apple Store модерирует приложения через новомодные нейросети или руками людей?
У Эппла всё наоборот, чтобы допустили приложение в стор надо сделать подробное описание: что это, для чего, как работает, для кого, скриншоты, видео, исходный код. И после этого они найдукт еще 10 причин к чему придраться, ты будешь неделю исполнять эти пожелания и уговаривать, и тогда может быть допустят, а может и нет. И если повезет и допустят, надо платить деньги.
> И если повезет и допустят, надо платить деньги.Нет же. Деньги вперёд.
Сначала платишь за аккаунт. Иначе твоё приложение никто и смотреть не будет на предмет допуска.
PS: у Гугла так же.
Это как у Оракл с карты списывается один цент? Не как не зарегистрироваться без карты с списыванием деньги. Подтверждение сделано через списывание символической суммы с банковсковской карты. Карта светится. Кому надо будет карта какая надо. Но, это Оракл это другие услуги и интересы. Унас в РФ используют номер сотового телефона - чей то паспорт.
У нас в РФ как правило нужен для регистрации номер сотового телефона - чей то паспорт.
Почти. $99 в год, каждый год, за право быть разрабом. Деньги вперед.
> Это как у Оракл с карты списывается один цент? Не как не зарегистрироваться без карты с списыванием деньги.Причём тут один цент. Плата за аккаунт разработчика. Деньги вперёд.
У Apple – $99 в год.
У Google – $25 разово.Если не пройдёшь проверку при публикации приложения, то деньги тебе не вернут.
Один цент списывается для привязки карты. Есть два типа платежа в интернете. Разовый, который нужно подтверждать через СМС каждый раз. И подписка, когда снимать могут сколько угодно и когда угодно без всякого подтверждения. Дык вот они думают, что привяжут и ты уже никуда не денешься. Проблема в том, что современные банки позволяют из личного кабинета сделать отвязку в одностороннем порядке. Сбербанк так точно. И я уже не говорю о том, что карту можно просто закрыть.
Как я понимаю если не ошибаюсь это их американская специфика подтверждать личность через использование банковских карт, им так проще отслеживать, у них в США так устроено. В РФ идут путём регистрации с использованием номера сотового телефона так как в РФ номер покупается с предъявлением паспорта как и банковская карта.
Нет. Это тебе не РФ.Списание доллара с банковской карты - подтвеждает только тот факт что дальше с этой самой карты удастся списать еще что-то. И ничего больше. Ни списавший о тебе ничего не узнает и узнать не может, кроме имени-фамилие на карте, ни банк (кроме того что ты заплатил один доллар воооон тому дяде - нет, это снова не РФ, в чек он подсматривать не может, и за что именно заплатил - представляет очень косвенно)
Интересует этот процесс только тех, кому от тебя нужны только бабки и ничего кроме.
Когда нужно им становится что-то большее - ты еще попрыгаешь перед вебкамерой с зажатыми в зубах водительскими правами, и поприсылаешь сканы платежек за электричество на твое имя и твой адрес, и никакой кредиткой не отделаешься.
(но нейросеть, в принципе, может генерить довольно правдоподобные. Если обойдешь внутреннюю цензуру.)
Проблема только в том, что ни одна страна мира, кроме "...республики южная осетия и абхазия, а так же Узбекистан" не работает с картами "современных банков".А отвязаться от Recurring payment у банка в нормальной стране - будет ооооочень непросто.
Просто закрыть тоже чаще всего непросто (в конце-концов они ее тебе закроют... только вот новую тебе хрен кто выдаст) и, главное - небыстро.
Именно потому что банк до посинения будет ждать запоздавшую транзакцию. И выставит тебя на деньги если она придет.И это ты еще с direct debit не сталкивался. Когда бабки просто списывают со счета без твоего участия.
Впрочем, если их не спишут в очередной период (неважно - бабла не хватило, счет ты закрыл или банк тебе его заблокировал за паспорт не того цвета) - ты еще и с коллекторами познакомишься.Обычно проще заплатить чем качать права. Даже если контракт давно уже должен был быть закрыт.
Shut up and take money!
>У Эппла всё наоборот, чтобы допустили приложение в стор надо сделать подробное описание:Я это знал. Я это к тому что в чём разница между корпорациями нормальными и помоечными корпорациями, которые выпускают помоечные сторы.
> Мдааа..
> Тут тебе чат-гпт 4....5....
> Датацентры под AI ЗА 100 ярдов..
> А тут ручное модерирование нейминга...
> Контраст просто...
> Васян пусть апрувит.К сожалению или к счастью, кому как, но практика показывает, что живой "васян", если он хоть как-то ещё и проверяет собранный пакет на работоспособность софта, который туда положили, это до сих пор самый эффективный способ получить рабочие некривые пакеты. Как бы не ругали бубунту у неё на каждый пакет найдётся по такому "васяну", и это хорошо.
Зато когда канониклы перейдут на snap, "роботов" в цепочки будет больше и качество собранных пакетов упадёт до уровня федоры или даже до уровня NixOS, а то и того хуже...
Что есть очень плохо, но всё к тому идёт к сожалению!
Ещё повезло что GPL не ограничивает сборку бинарника только автором, иначе хочешь бинарник не от автора, то форкай и компилируй под своим брендом. С другой стороны за всё стал бы отвечать автор кода. Палка о двух концах.
Лично ты ставишь пакеты с лаунчпада от васянов?
~~Ой, а что случилось?~~
>При регистрации нового имени пакета будет выводиться анкета, содержащая вопросы о назначении и источнике сборки.Как это может помешать размещению вредоносов?
>Учётная запись будет активироваться только после ручного рецензирования заявки, проводимого для отсеивания подозрительных имён, например, притворяющиеся чужими известными проектами. Проверка будет занимать до двух рабочих дней.
Как это может помешать размещению вредоносов? Задержит на 2 дня только.
Что если после безымянного сборщика придёт автор программы? Его выгонят за "повтор"?>Для регистрации имён подобных программ будет применяться отдельная процедура, правила прохождения которой обещают опубликовать в ближайшие дни.
Будет интересно посмотреть.
Очевидное решение - белые списки. Программы с закрытым исходным кодом разрешить публиковать только их авторам, открытое ПО - сотрудникам Canonical.
>Программы с закрытым исходным кодом разрешить публиковать только их авторам
>Как это может помешать размещению вредоносов? Задержит на 2 дня только.Что если после безымянного сборщика придёт автор программы? Его выгонят за "повтор"?
Принимают обоюдные договорные условия?
По которым может быть юридическая ответственность?
Регистрация не Васи, а с указанием гражданского ID и выдачей ключей безопасности?
Они что готовые блобы размещают?
А что не так с микрокодом?
В Snap внутренние скрипты pre-, post- обозвали микрокодом?
В Snap'ах рекламировалась возможность класть бинарные блобы прошивок, библиотек. Которые не проверить, к которым можно не готовить сырцы.Видимо, речь об этом. Что этот мусор не проверить только по имени автора...
> В Snap'ах рекламировалась возможность класть бинарные блобы прошивок, библиотек. Которые
> не проверить, к которым можно не готовить сырцы.
> Видимо, речь об этом. Что этот мусор не проверить только по имени автора...Как показал пример xz, наличие автора все равно не дает никаких гарантий.
Что там блоб, что открытый код.
И что тысячи глаз глядят в книгу - видят фигу, пока не придут профи из майкрософта и не ткнут носом в бекдор.
Но незаметить легче когда норма, если в системе бинари собранны неизвестно где, неизвестно из чего. И бинарь в репо загружен снаружи автором. Это в Снепе.У других бинари собраны из сырцов на собственной платформе. Сырцы публикуются тут же в виде пакета. Т.е. существует утерянная в снепе возможность посмотреть что из чего.
Безопасность не единственная проблема Snap Store. Ему необходимо правило по которому не будут допускать выкладывание программ присутствующих в нормальном репозитории. Ну и употребление слова "store" для названия места где нельзя ничего продать - странное решение.
Английский могуч, у слова есть несколько значений, не только магазин.keep or accumulate (something) for future use.
Не могуч, а примитивен - это попытка условно пятью словами охватить всё в мире, из-за этого путаница. Английский язык это язык логического мышления по тому что одни и те же слова в разном сочетании в предложении имеют разный смысл. Русский язык и похожие языки проще так как одно слово имеет одно значение надо просто запомнить много слов. Запомнить одно значение одного слова проще чем построение разных предложений с одинаковыми словами и разными словами, что даёт в итоге разный смысл.
Вот чтоб далеко не ходить, возьмем это же самое слово "магазин". Как минимум 3 значения.Словарь Ушакова
Магазин
магазин (магазин неправ.). Магазина, муж. (араб. мн. - амбары, склады).1. Помещение, приспособленное для розничной продажи товаров; большая лавка. Универсальный магазин. Писчебумажный магазин.
2. Склад, помещение для хранения запасов продовольственных, огнестрельных припасов и др. (спец.). Хлебный магазин. Провиантский магазин. Артиллерийский магазин.
3. Помещение в каком-нибудь аппарате, приборе, в виде коробки, трубки и т.п. для вкладывания нескольких однородных предметов, напр. патронов в скорострельном оружии (спец.).
Это заимствование, потому должно устоятся. И вот оказывается - второй вариант выпал. Остался только первый. Ну и технический вариант №3. Кстати, они не очень разнятся, один магазин выдает хлеб, другой патроны.
В английском же магазин это журнал. Все через ж. Даже заимствовать нормально не смогли.
> И вот оказывается - второй вариант выпал.Угу, прям совсем выпал.
Думаю каждый кто держал в руке "рожок" от калаша, знает что магазин это не только где хлеб покупают.
Так что не стоит придираться, если плохо разбираешься в теме.
Читать научитесь - там три варианта. Второй - магазея, провиантский склад. Архаичное, может уже в севастопольской войне не использовали. А уж при советах так уж точно.
>Это заимствованиея удивлю, но store тоже заимствование
заимствования - это норма
Такое впечатление возникает на первых порах изучения английского. В нём действительно немало слов с горой смысла, например, можно открыть словарь на слове just и потом полчаса читать разные его смыслы. Но на первых порах изучения английского изучаются именно такие слова. Если ты попробуешь выйти на C1 а может и на B2 тоже, то ты начнёшь замечать обратный тренд: в английском множество слов для подкатегорий, которые на русский можно перевести разве что словом означающим категорию.Английский язык, в отличие от русского, никогда не отворачивался от заимствований, в нём можно найти сколько угодно слов из французского, немецкого, итальянского, испанского, греческого, латыни, можно даже найти слов из русского. Слышал про орфографические контексты в США? В чём забава и веселье их не думал? Чем это может быть интеллектуально интересно? Основной навык для участия в таком контесте в том, что для того, чтобы определить как правильно писать слово, надо допетрить из какого языка слово было позаимствовано, и потом применить подходящий набор правил правописания.
Английский заимствует очень агрессивно, прям вырывает слова у мимопроходилов-иностранцев из рук. На этот счёт James Nicoll очень поэтически высказался[1]: The problem with defending the purity of the English language is that English is about as pure as a cribhouse whore. We don't just borrow words; on occasion, English has pursued other languages down alleyways to beat them unconscious and rifle their pockets for new vocabulary.
Как следствие такого поведения, в английском очень много слов, гораздо больше чем в русском. Обратное впечатление может возникать в начале изучения английского языка, и вызвано оно тем, что в начале изучения лексикон студента очень бедный.
\\Английский язык, в отличие от русского, никогда не отворачивался от заимствованийВ русском языке огромное количество заимствований. Не видеть этого, это что-то.
> В русском языке огромное количество заимствованийВсё познаётся в сравнении. Посмотри сколько заимствований в английском и потом приходи рассказывать о том, как много заимствований в русском.
>Всё познаётся в сравнении. Посмотри сколько заимствований в английском и потом приходи рассказывать о том, как много заимствований в русском.Это твоё личное мнение. А теперь по сути. Предоставь ссылки на научные работы в которых бы сравнивались разновременные заимствования в русский и английский языки. Психологически русские более всего склонны заменять слова родного языка на иностранные эквиваленты.
То что отдельные люди, имеющие филологическое образование, по делу и справедливо критикуют русских за то, что те чрезмерно, и без каких либо веских причин любят завимствованить иностранные слова, не отменяет того факта, что русский народ действительно любит завимстовать иностранные слова. Кстати, последний тренд, это заимсвование у украинцев существительных женского рода, т.н. феминитивы. Директорка, учителька и т.д.
> Это твоё личное мнение.Ага, но оно всяко лучше твоего личного мнения, которое явно пахнет знанием английского на уровне среднестатистического девятиклассника.
> То что отдельные люди, имеющие филологическое образование...
Бла-бла-бла. Прекращай уже воевать с соломенными чучелами. Если ты перечитаешь тред, я нигде не говорил о том, что русские "не заимствуют". Заимствуют, я сам это делаю постоянно и за другими вижу.
Но если уж воюешь, то давай мы будем ссылаться на что-нибудь без совкового филологического образования. Вся гуманитарная наука совка и, по наследству, РФ идеологизирована. Её мнение неинтересно и его следует игнорировать. Если игнорировать не получается, то надо всегда находится в оппозиции к ней. Это как с рекламой: если рекламу не удаётся блокировать, то лучшее что можно сделать -- заучить рекламный ролик и никогда не покупать рекламируемый товар.
Самое примитивное что делают люди, это выёживаются со сравнением языков. Все современные массовые языки достаточно развиты и адекватны.ПС
Все европейские языки имеют кучу заимствований. Здесь нечем хвалиться. Для русского например это все слова с буквой "Ф".ПСС
"орфографические контексты" - это кстати про неадекватность языка, который не смог адекватно "заимствовать".
Смешно смотреть как нeйтивы читают "индейские" названия (да-да все американцы знают правила чтения каждого племени:) ). Точнее разводят руками: "я не разу не слышал как это слово произносится".
Последний тренд. Это заимстование у украинцев фенимитивов. Нехарактерное прежде, неоправданное с точки зрения русского языка чрезмерное употребление существительных женского рода - учителька, директорка, менеджерка, спасателька.
Половина английских слов - французкое заимствование.
>Половина английских слов - французкое заимствование.Больше половины. Причина как и у большинства народов, психологическая. И всё же по лингвистический классификации английский язык это западно-германский язык.
> Ему необходимо правило по которому не будут допускать выкладывание программ присутствующих в нормальном репозитории.Очень странное ограничение.
А если мне нужна не протухшая и уже окаменевшая софтина из "нормального" репозитория, а актуальная версия?
Из-за этого дурацкого правила я ее получить не смогу.Что делать если в "нормальном" репозитории софтины не было, а потом появилась?
Удалять из снапа?
> Очень странное ограничение.Без него стала обычной ситуация, когда одна и та же программа устанавливается в двух экземплярах.
> А если мне нужна не протухшая и уже окаменевшая софтина из "нормального" репозитория, а актуальная версия?
Для фиксации на определённой версии часто есть причины. Если программа не обновляется только из-за того что заброшена - её из репозитория удаляют.
>Что делать если в "нормальном" репозитории софтины не было, а потом появилась? Удалять из снапа?
Да!
Чтобы переключение между источниками установки не создавало проблем, сделать возможность автоматического копирования/перемещения/синхронизации данных программы (профиля браузера, например) из стандартного места в snap-овское и наоборот.
> когда одна и та же программа устанавливается в двух экземплярах.Не вижу ничего плохого.
Сейчас место стоит копейки. Нет смысла экономить на своем удобстве.> Для фиксации на определённой версии часто есть причины.
В 99% случаев - просто нехватка рук у менйтейнеров.
Когда в FF исправляют очередную дыру - я хочу получить версию как только она выйдет.
А не когда мейнтейней деба проснется, почухается и пойдет продираться через терни дебюракратии.Почему FF из снапа/флетпака получает обновление практически сразу?
Потому что версию выкладывает мозила без прокладки в виде мейнтейнеров.> копирования/перемещения/синхронизации данных программы
А если они не совместимы? А если нет миграции (даунгрейда) данных между версиями самого софта?
Это какой-то изощренный способ отсрелить себе ногу и потерять данные.
> Сейчас место стоит копейки.Распорядители бюджета умеют их считать. До внедрения snap 128-гигового SSD хватало, и 64-гиговым можно было обойтись.
> я хочу получить версию как только она выйдет.
А не когда мейнтейней деба проснется, почухается и пойдет продираться через терни дебюракратии.
Jia Tan, ты?
> Для фиксации на определённой версии часто есть причины.Где надо уже решили, ага. Сейчас главное не раскачивать лодку, просто подождать нужно, знающие люди посовещаются, и спустят нам резолюцию.
Инфантилизм — главный бич айти. Второй — инертность сознания.
> А если мне нужна не протухшая и уже окаменевшая софтина из "нормального" репозитория, а актуальная версия?Обычно такой софт или плохого качества. Т.к. иначе версия всегда быстро в обоих репах "сразу".
Но, да, как ограничение - лишнее. Но и Snap - лишний уровень сложности и беспорядка.
Хранение, хранилище, склад.
> Ему необходимо правило по которому не будут допускать выкладывание программ присутствующих в нормальном репозиторииНу вот VLC
Есть значит бородатая версия в репозитория.
Которая уже славилась дырой https://www.opennet.ru/opennews/art.shtml?num=51161 (не пометили обновление секурным, а ментейнеры просто так обновлять не будут же)
Или понадобится новее потому что что-то добавили в новой версии.
Чего только не порождает ад пакетных зависимостей.
Из Debian такие пакеты выкидывали на мороз.
Так новость выше и про Debian
Ничего там не выкидывали. В том же Debian и вечно дырявый Chromium – ресурсов же нет
Пони, тут ты прав. Даже плашки нет для пакетов, оставшимся без поддержки, мол, не рекомендуем. Это косяк линукс лтс и т.п. дистров, но арч и генты не вариант, лучше уж так.
В каждом корректирующем релизе выкидывают пакеты.
> употребление слова "store" для названия места где нельзя ничего продать - странное решение.Всему своё время.
Нет чтобы самим скомпилять,они лучше снап будут юзать. Выиграли аж челых несколько минут в которые все равно только делали вид что работают.Гы.
Смысл готового пакета в том, что он работает. Потому что компиляние может пойти не так и проиграешь уже не минуты, а полдня.
На следующем шаге переизобретут майнтейнеров.
Изобретут Супермейнтейнеров.
Да, причем дать им как можно больше полномочий и назначить на эту должность анонима с китайским ником.
> переизобретут майнтейнеровСкорее, их заменит AI. Вообще, они - первое что можно и нужно поставить на автоматизацию. Начиная с процесса сборки и заканчивая выявлением уязвимостей.
AI не умеет такие вещи. AI - продвинутый справочник для известных знаний. А как исследователь на практике он очень плох. Тут как раз надо исследовать и искать ново-изобретённый бекдор, устроенный так, как раньше известно не было.