|
|
2.17, Andrey Mitrofanov (?), 12:17, 21/01/2019 [^] [ответить] [к модератору]
| +11 +/– |
>>Модификация была осуществлена 6 месяцев назад.
> Это всё, что надо знать о фирме Zend и PHPшниках.
Всё, что надо знать об отгружающих "пакеты" мимо дистрибутивов: js/leftpat, *рокерхаб, рельсы-на-рубище, elpa, мозила-ксулл-шопп, ... а, да!!! гугле-плей-шоп, ......
|  | |
|
3.19, Клыкастый (ok), 12:26, 21/01/2019 [^] [ответить] [к модератору]
| –1 +/– |
к сожалению "мимо пакетов" становится модным трендом, и походу это уже не удержать. snap и flatpack добавляют масла в огонь.
|  | |
|
4.71, Ordu (ok), 02:17, 25/01/2019 [^] [ответить] [к модератору]
| +/– |
Это не "модный" тренд, а _неизбежный_ тренд. Софт становится сложнее, обновляется чаще, мейнтейнеры не справляются. При этом, я не знаю как там в дебиане дела обстоят или в rpm-based дистрах, но в генте, допустим, нет никаких проблем использовать github в качестве площадки для разработки оверлеев, но каких-нибудь инструментов специфичных для оверлеев я не замечал. Например, было бы неплохо иметь инфраструктуру для тестирования оверлеев. Для этого ведь даже не обязательно покупать железо для сборки и тестирования всего софта из всех оверлеев: все вычислительно натужные задачи можно свалить на пользователей или энтузиастов, а централизованно лишь собирать статистику успешных и неуспешных установок и централизованно же раздавать тестовые наборы, для проверки работоспособности установки.
Ещё неплохо было бы, помимо системы тестирования оверлеев, встроить систему типа patreon'а, чтобы все кому это интересно могли бы оплатить выполняемые работы. Вот тогда были бы шансы, а пока мейнтейнеры продолжают свои попытки создавать портажи/репозитории методами из 90-х, не заморачиваясь на архитектурные изменения в социальной системе, стоящей за разработкой дистрибутивов, все их перспективы сводятся к медленному угасанию, потому что текущая социальная система достигла своих пределов.
|  | |
|
|
4.73, Клыкастый (ok), 09:58, 25/01/2019 [^] [ответить] [к модератору]
| +/– |
> лол-что? вобще-то практически все "отгружают" свой код "мимо дистрибутивов"
Да и тут речь о том, что существующая система втаскивания в репы похоже себя исчерпывает. есть подозрения, что проблема уже есть, просто дистры с комьюнити помельче чувствуют её раньше.
|  | |
|
|
|
|
|
|
4.23, имя (?), 12:56, 21/01/2019 [^] [ответить] [к модератору]
| +/– |
т.е. ты предалагаешь не использовать пакетный менеджер, а просто рнучками все добавлять?
|  | |
|
5.41, Аноним (14), 18:13, 21/01/2019 [^] [ответить] [к модератору]
| –1 +/– |
Я предлагаю таки мейнтейнить и ревьюить включения, а не тупо тянуть антрастед сырцы на каждый чих.
Для ниасиливших - даже блобешные .so / .dll + хедеры из релизов юзать секурнее получится.
|  | |
|
6.42, Аноним (14), 18:14, 21/01/2019 [^] [ответить] [к модератору]
| –1 +/– |
(последнее не про пых естессно, тут для ниасиливших скорее фиксация версии сырцов и после ручной апдейт до релизных тэгов)
|  | |
|
|
|
3.33, Аноним (33), 15:42, 21/01/2019 [^] [ответить] [к модератору]
| +2 +/– |
Только грушевые пакеты композер тянул оттуда же. А если саму грушу ломанули, то могли и пакеты подменить.
|  | |
|
2.10, Аноним (10), 11:39, 21/01/2019 [^] [ответить] [к модератору]
| +5 +/– |
PEAR мертв давно. Да и жив то вобщем-то никогда не был. Сейчас пакеты тянут через композер, а до его появления либо просто копировали код в подпапочку либо использовали git submodules.
|  | |
2.52, Fyjybv1 (?), 23:51, 21/01/2019 [^] [ответить] [к модератору]
| –2 +/– |
Да. Кастомные пакеты для пхп нах-ер не нужны, в отличии от всяких там, он просто работает из каробки.
|  | |
|
|
2.11, Аноним (11), 11:40, 21/01/2019 [^] [ответить] [к модератору]
| +6 +/– |
А что не так с md5 в контексте контроля целостности? Он же не для секурных целей используется.
|  | |
|
3.12, Андрей (??), 11:59, 21/01/2019 [^] [ответить] [к модератору]
| +6 +/– |
Потому что MD5 проклят!
Все кто его продолжают пользовать - ламеры, дурни, прокаженные. От них надо отходить по-дальше, издалека и желательно анонимно всячески охаивать, строить догадки о их умственных способностях и упоминать их родителей в уничижительном ключе.
Т.е. вести себя, как настоящие дурни, мнящие себя умными. Вот как-то так. В таком аспекте...
|  | |
|
4.20, тоже Аноним (ok), 12:29, 21/01/2019 [^] [ответить] [к модератору]
| +1 +/– |
> дурни, мнящие себя умными
> по-дальше
Истинное золото редко блестит, понимаешь. Но уж если блеснет - то хоть глаза ладонью закрывай...
|  | |
|
3.25, OpenEcho (?), 13:12, 21/01/2019 [^] [ответить] [к модератору]
| –3 +/– |
Коллизии у него,у MD5 однако и уже даже не теоретические, посмотрите в нете, как гуля демонстрировали два абсолютно разных PDF файла, но хэш был одинаков.
|  | |
|
|
|
|
7.74, OpenEcho (?), 22:29, 26/01/2019 [^] [ответить] [к модератору]
| +/– |
> А учитывая что под этим "замком" лежит троянский пакет - только дурак
> и будет его ломать.
Я все таки не пойму, зачем ездить на запорожце, если за ту же самкю цену можно ездить на мерине?
MD5 дырявый ! Обьясните, может я правда что то не догоняю? Почему не использовать более надежные хэши ?
MD5 ломается и давно, посмотрите в андерграунде как пацаны делают redistributed calculation network и коллективно ломают MD5 и довольно быстро
Мне правда не понятна какая-то странная упрямость пользовать дырявое корыто...
|  | |
|
|
|
4.31, тоже Аноним (ok), 13:44, 21/01/2019 [^] [ответить] [к модератору]
| +/– |
В PDF можно напихать бинарного мусора, который будет просто пропущен парсером.
С архивами (и, тем более, исходниками) это значительно труднее.
|  | |
|
5.37, нах (?), 17:29, 21/01/2019 [^] [ответить] [к модератору]
| +/– |
так же просто, но это хэш _подмененного_ пакета - так что самое страшное, что может случиться, действительно - тебе подсунут не тот троян ;-)
|  | |
|
4.43, Аноним (11), 18:31, 21/01/2019 [^] [ответить] [к модератору]
| +2 +/– |
Важно же подсунуть не просто какой-то другой файл с тем же md5-хешом, а вредоносный файл с тем же md5-хешом, а это на порядки усложняет задачу.
|  | |
|
|
2.44, axredneck (?), 18:44, 21/01/2019 [^] [ответить] [к модератору]
| +/– |
В данном случае у нас MD5 вредоноса, а не нормального файла, так что от коллизии ни один злоумышленник не выиграет.
|  | |
|
|
2.39, Аноним (14), 18:11, 21/01/2019 [^] [ответить] [к модератору]
| +/– |
Ну а если собственный мейнтенанс при этом ведётся - то да, только коммит, только хардкор. Так и делаем.
|  | |
|
|
2.54, Аноним (54), 00:10, 22/01/2019 [^] [ответить] [к модератору]
| +/– |
> Был у меня товарищ который пилил сервис без зависимостей из публичных реп. Обанкротился.
Уточните, пожалуйста, товарищ обанкротился до того, как запустил сервис или после?
|  | |
|
|
|