The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей"  +1 +/
Сообщение от opennews (??), 17-Окт-23, 09:06 
Компания Sonatype, специализирующаяся на защите от атак, манипулирующих подменой программных компонентов и зависимостей (supply chain), опубликовала результаты...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59936

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Оценка проблем с сопровождением открытых проектов и использо..."  +8 +/
Сообщение от Аноним (1), 17-Окт-23, 09:06 
Потому что любая зависимость это плохо, а старая, закоренелая зависимость это в двойне плохо. Избавляйтесь от зависимостей пацаны.
Ответить | Правка | Наверх | Cообщить модератору

24. "Оценка проблем с сопровождением открытых проектов и использо..."  +8 +/
Сообщение от Аноним (24), 17-Окт-23, 10:15 
Переизобретайте strsplit() пацаны.
Ответить | Правка | Наверх | Cообщить модератору

31. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (31), 17-Окт-23, 11:12 
Может использовать Маркировку? Если серьезные проекты всеже проверяют зависимости ручками, то они бы и могли делать пометки для используемой либы типа рекомендованая или нет.
Арч например старые пакеты может выкинуть в АУР из основных реп. Как было с sulphid. Своего рода маркер, думается после этого кол-во установок оного уменьшилось всеже.
Ответить | Правка | Наверх | Cообщить модератору

43. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от voiceofreason (?), 17-Окт-23, 12:08 
Приличные проекты с собой таскают нужные библиотеки нужных версий в исходниках, или подтягивают эти сорцы при попытке собрать. Хочешь зависимость поновее - не вопрос, но это не поддерживается и не проверяется, всё сам ручками.
Ответить | Правка | Наверх | Cообщить модератору

49. "Оценка проблем с сопровождением открытых проектов и использо..."  +5 +/
Сообщение от Аноним (49), 17-Окт-23, 12:23 
АгА, а потом в таскаемых библиотеках нужных версий найдётся уязвимость, а те и дальше продолжат их таскать.
Ответить | Правка | Наверх | Cообщить модератору

51. "Оценка проблем с сопровождением открытых проектов и использо..."  +2 +/
Сообщение от Аноним (24), 17-Окт-23, 12:36 
Риски нужно взвешивать правильно. Библиотека уязвима? ОК. Если к ней имеет доступ кто-то недоверенный, срочно обновляем. А если нет — ну и бох с ней. Например: в webp выявлена уязвимость. Означает ли это, что срочно надо пересобирать корпоративное приложение на электроне? Нет. Почему? Потому что корпоративное приложение на электроне webp не показывает, и один пользователь другому пользователю этот webp не подсунет: нет такой возможности.
Ответить | Правка | Наверх | Cообщить модератору

107. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от User (??), 17-Окт-23, 21:10 
А вот это, в общем-то, нуждается в доказательствах. Подчас - весьма и весьма нетривиальных. Ей-ей, пересборка проще будет.
Ответить | Правка | Наверх | Cообщить модератору

163. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (163), 19-Окт-23, 09:40 
Конечно, пересборка проще. Доказывать, что новая версия не вызовет проблем, не надо. Достаточно сказать "у меня на виртуалке всё работает!"
Ответить | Правка | Наверх | Cообщить модератору

164. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от User (??), 19-Окт-23, 09:51 
> Конечно, пересборка проще. Доказывать, что новая версия не вызовет проблем, не надо.
> Достаточно сказать "у меня на виртуалке всё работает!"

Тесты - автоматизированы в пайплайне, semver в наличии, чейнджлог версии с фиксом как правило есть - а вот _нормальный_ разбор потенциальных возможностей этот самый webp куда-нибудь нетривиальным образом присунуть - штука изрядно головоемкая. Но да, если ограничить этот разбор "Мамой клянус! копку "крутить webp" я не делаль!" - то с пересборкой и правда можно не возиться.

Ответить | Правка | Наверх | Cообщить модератору

168. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (163), 20-Окт-23, 06:38 
Тест не является доказательством корректности.
Ответить | Правка | Наверх | Cообщить модератору

169. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от User (??), 20-Окт-23, 07:00 
> Тест не является доказательством корректности.

Оттож. И даже "группа тестов", включая и ручные функциональные и интеграционные - не является. Более того, "видимая работоспособность" приложения "в моменте" - тоже нифига ничего не доказывает, обновляй-не-обновляй - сейчас работает, через две минуты "ой, поломалося", ктожзнал-то, что можно строку на 10 мегабайт в поле ввода сунуть?
С "доказательствами" тут вообще все не очень, ага. Но good enough результат в автоматизированном режиме вполне себе можно получать и получить "задешево".

Ответить | Правка | Наверх | Cообщить модератору

170. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (163), 20-Окт-23, 13:22 
Тянет на теорему Эскобара.
Ответить | Правка | Наверх | Cообщить модератору

171. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от User (??), 20-Окт-23, 13:30 
> Тянет на теорему Эскобара.

Не, ну можешь и дальше ничего не делать - "инцидент ИБ" он то ли будет, то ли нет, а если и будет - то это враги его благородию... - делов-то? Даже не уволят, скорее всего ).

Ответить | Правка | Наверх | Cообщить модератору

172. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (163), 20-Окт-23, 13:54 
Почему ты так озадачился мной и моим увольнением? Я всего лишь намекал, что выбор варианта зависит от продукта.
Ответить | Правка | К родителю #171 | Наверх | Cообщить модератору

173. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от User (??), 20-Окт-23, 15:10 
> Почему ты так озадачился мной и моим увольнением? Я всего лишь намекал,
> что выбор варианта зависит от продукта.

Эм. Ну, я н-ннадеюсь, что я тебя не нанимал - и не мне тебя увольнять, всего лишь намекал, что подход "И так сойдет!" хорошо-б не "сходил"

Ответить | Правка | К родителю #172 | Наверх | Cообщить модератору

60. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от _kp (ok), 17-Окт-23, 13:16 
А когда устраняли одну проблему не добавляя две новых?
Иначе параноидальные обновления давно бы прекратились. :)
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

93. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от Деаноним (?), 17-Окт-23, 18:45 
Что за чушь.
Таскать библиотеку другого проекта в своём проекте это моветон.
Не должно быть в проекте ничего лишнего. Разве что какой-нибудь гит сабмодуль.
Скачиванием либ при попытке билда занимаются компании которым начхать на всех (вроде гугла). Опционально это не является чем-то плохим, но добровольно-принудительно это варварство. Не делайте так.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

148. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (-), 18-Окт-23, 14:34 
я слышал о, почившем на волне очередного хайпа, гениальном конструкторе, который затерялся где-то в вечности, изобретая очередное колесо
Ответить | Правка | Наверх | Cообщить модератору

33. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (31), 17-Окт-23, 11:14 
Добавлю к предидущему.
А уже после очищать репы от мусора
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

34. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (31), 17-Окт-23, 11:19 
А может и не нужно этого. Нормальный прогер не заинтересован каки всякие использовать
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

39. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (39), 17-Окт-23, 11:46 
В PHP 8 какая-то бяка поменяла аргументы местами в функции join. Пришлось изобретать strjoin.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

41. "Оценка проблем с сопровождением открытых проектов и использо..."  +8 +/
Сообщение от Аноним (24), 17-Окт-23, 11:54 
пыхерам в целом страдать не привыкать
Ответить | Правка | Наверх | Cообщить модератору

73. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (73), 17-Окт-23, 14:06 
Можно поподробнее?

Сам похапешник и всю жизнь первым аргументом передавал разделитель, вторым - массив, который нужно соединить. После вашего сообщения удивился, зная любовь похапешников к сохранению обратной совместимости (из-за которой до сих пор приходится волочить трёхзвенныхе операторы сравнения === и !=== ).

join всегда был алиасом к implode. Смотрим документацию по implode.

php4 ( https://php-legacy-docs.zend.com/manual/php4/en/function.imp... ): string implode (string $glue, array $pieces)
php8 ( https://www.php.net/manual/en/function.implode.php ): implode(string $separator, array $array): string

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

75. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от Аноним (24), 17-Окт-23, 14:15 
что нужно курить, чтоб назвать джойн имплодом?
Ответить | Правка | Наверх | Cообщить модератору

79. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноньимъ (ok), 17-Окт-23, 14:26 
Там же в доках написано - $glue

И название implode как бы референс к сжимаемущемуся кульку.

Ответить | Правка | Наверх | Cообщить модератору

82. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от Аноним (24), 17-Окт-23, 14:53 
https://www.merriam-webster.com/dictionary/implode

где ты здесь видишь "сжимающийся кулек"? и причем тут... клей? (может авторы вдохновлялись клей-моментом?)

Ответить | Правка | Наверх | Cообщить модератору

84. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноньимъ (ok), 17-Окт-23, 15:17 
> где ты здесь видишь "сжимающийся кулек"? и причем тут... клей? (может авторы
> вдохновлялись клей-моментом?)

Выше же написано:
php4 ( https://php-legacy-docs.zend.com/manual/php4/en/function.imp... ): string implode (string $glue, array $pieces)

Вот вам и клей.

Я же говорю, отсылка. К употреблению клея через кулёк. Токсикоман когда вдыхает кулёк сжимается (implode).

Ответить | Правка | Наверх | Cообщить модератору

101. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (73), 17-Окт-23, 19:38 
> где ты здесь видишь "сжимающийся кулек"?

Вот тут:

> to burst INWARD
> to COLLAPSE INWARD as if from external pressure

Плюс, сделано как антоним слову explode() - название функции, наоборот, разбивающей строку на несколько.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

109. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (109), 17-Окт-23, 21:13 
> что нужно курить, чтоб назвать джойн имплодом?

Английский?

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

149. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 18-Окт-23, 14:35 
Ответить | Правка | Наверх | Cообщить модератору

96. "Оценка проблем с сопровождением открытых проектов и использо..."  +5 +/
Сообщение от Аноним (96), 17-Окт-23, 18:56 
Из документации к PHP 4:

implode() can, for historical reasons, accept its parameters in either order.

То есть, ещё 20 лет назад в документации был задокументирован порядок аргументов "разделитель, массив" и было примечание, что обратный порядок аргументов тоже работает по историческим причинам (но официально не поддерживается).

Через 20 лет костыль выпилили. И тут кто-то проснулся.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

54. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 17-Окт-23, 12:49 
> Переизобретайте strsplit() пацаны.

Для современного кодера написать strsplit это проблема? Понимаю, вместо этого нужно подключить Модуль strsplit, который притянет модули abstract-split, split-by-str, split-by-re, better-re и пойти пить смузи. Данное решение несомненно более надежное и решит проблему с уязвимостями (нет).

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

57. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (24), 17-Окт-23, 13:04 
> Для современного кодера написать strsplit это проблема?

Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux https://www.opennet.me/opennews/art.shtml?num=59867

> современного

Уязвимости в библиотеках X.Org, две из которых присутствуют с 1988 года https://www.opennet.me/opennews/art.shtml?num=59906

Ответить | Правка | Наверх | Cообщить модератору

85. "Оценка проблем с сопровождением открытых проектов и использо..."  +2 +/
Сообщение от Вы забыли заполнить поле Name (?), 17-Окт-23, 15:24 
>> Для современного кодера написать strsplit это проблема?
> Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux
> https://www.opennet.me/opennews/art.shtml?num=59867

А тесты на тамошний strsplit есть? Или как обычно компилится значит работает?

>> современного
> Уязвимости в библиотеках X.Org, две из которых присутствуют с 1988 года https://www.opennet.me/opennews/art.shtml?num=59906

А причем тут strsplit? Мозг совсем высох? Ну ты ставь модули на каждый чих, не забывай.

Ответить | Правка | Наверх | Cообщить модератору

100. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от Аноним (24), 17-Окт-23, 19:36 
> А тесты на тамошний strsplit есть? Или как обычно компилится значит работает?

Настоящий сишник не пишет тесты. Он уверен в своих силах. Он не какой-то там npm leftpad-чик. Он напишет свой strsplit. И не покроет его тестами. Тесты для слабаков.

>>> современного
>> присутствуют с 1988 года
> А причем тут strsplit?

А причем тут "современного"? Видать ты считаешь, что современный кодер — это фигня, а вот ДИДЫ — это наше всё. ДИДЫ не ошибаются. А я показал, что это не так. ДИДЫ, кстати, ошибались не только на уровне кода, но и в самих стандартах. Один лишь клиртекст DNS чего стоит — сиди прослушивай, кто где сидит. Или например иксовая концепция "каждое приложение может заскриншотить содержимое окна любого другого приложения". Это натуральный MS-DOS — тотальное отсутствие изоляции, сиди кейлоггерь sudo. Ну или например приколюха ДИДОВ под названием ICMP redirects. Нужно сидеть и вычитывать каждый sysctl, чтобы понаотключать все свиньи, заботливо подложенные ДИДАМИ. Или например такой прикол: оказывается написание IPv4-адреса не обязано быть в десятичной системе счисления. Тоже привело к уязвимостям, когда одна либа ожидает там разделенные через точку десятичные числа, а другая либа пытается следовать тому, что там понасочиняли в RFC ДИДЫ. Казалось бы — кто в здравом уме будет писать айпишники не в десятичной системе? А вот ДИДАМ такая мысль показалась прикольной (научный термин — смузиприколюха хиппанутых смузиДИДОВ).

Так что да, современный кодер гораздо лучше ДИДОВ. Кодер, который не умеет ничего, кроме npm install leftpad, лучше, чем ДИД, который из прошлого продолжает нам гадить из своих невнятных RFC, которые читаешь-читаешь — и все равно найдешь сразу несколько одновременно истинных и одновременно противоречащих друг другу толкований того, что есть URL, что URI, а что еще черт знает что.

Спасибо за внимание.

Ответить | Правка | Наверх | Cообщить модератору

125. "Оценка проблем с сопровождением открытых проектов и использо..."  +2 +/
Сообщение от Тот_ещё_аноним (ok), 18-Окт-23, 01:33 
>> современный кодер гораздо лучше... чем ДИД, который из прошлого продолжает нам гадить
>> который не умеет ничего, кроме npm install leftpad

Вот бесполезный кусок того самого

Полезней тот, кто может поправить кривой RFC и потом либы под него
Признаюсь, я не могу(

Ответить | Правка | Наверх | Cообщить модератору

143. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Анонин (?), 18-Окт-23, 12:08 
Это шутка такая? Поправить RFC?
Да в 100% раз легче протолкнуть новый, чем исправлять старый...

Потому что это ЛОМАЮЩИЕ ИЗМЕНЕНИЯ!!!111 Нужно тянуть это гно вечно!
Тебя же сразу проклянут все пользователи некрософта.

Ответить | Правка | Наверх | Cообщить модератору

52. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от AntonAlekseevich (ok), 17-Окт-23, 12:46 
Хочешь/требуют быстро сделать. Будешь пользоваться зависимостями. Не работает на новой используй те что есть. (И далее пофиг...)
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

62. "Оценка проблем с сопровождением открытых проектов и использо..."  +7 +/
Сообщение от YetAnotherOnanym (ok), 17-Окт-23, 13:22 
> любая зависимость это плохо

Гений. Просто гений.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

74. "Оценка проблем с сопровождением открытых проектов и использо..."  +4 +/
Сообщение от НяшМяш (ok), 17-Окт-23, 14:14 
Зависимость от еды, воды и воздуха это плохо. Ну вы поняли.
Ответить | Правка | Наверх | Cообщить модератору

86. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 17-Окт-23, 15:25 
> Зависимость от еды, воды и воздуха это плохо. Ну вы поняли.

А зависимость от опеннета?

Ответить | Правка | Наверх | Cообщить модератору

122. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним. (?), 17-Окт-23, 23:21 
Пошел TLS переписывать.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 09:41 
Хламокодинг с притаскиванием всех библиотек в тушку - это нонсенс.
Библиотеки должны подключаться снаружи и иметь хотя бы более-менее стабильный API/ABI - берите пример с C.
Ответить | Правка | Наверх | Cообщить модератору

7. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 09:42 
(да, м@какинг уже не пройдёт - это чуть сложнее npm install, но зато библиотеки могут обновляться отдельно от проекта)
Ответить | Правка | Наверх | Cообщить модератору

11. "Оценка проблем с сопровождением открытых проектов и использо..."  –2 +/
Сообщение от Аноним (11), 17-Окт-23, 09:48 
И хоба! Ты начинаешь зависеть от долбанутых мейнтейнеров.
Вот когда они соизволят обновить уязвимую либу, вот тогда и уязвимость исправится.
Ответить | Правка | Наверх | Cообщить модератору

12. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 09:50 
Но в npm-то том же ты конечно же не зависишь, все уязвимости сами исправляются.
(это уже не говоря про число брошенных лефтпадов)
Ответить | Правка | Наверх | Cообщить модератору

15. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (11), 17-Окт-23, 09:55 
В npm, как только есть фикс от разрабов, всё уже зависит от тебя - обновляй и сабмить.
А тут разрабы фикс выкатили, а мейнтенеры деба еще зад чешут (хотя арч и убунта уже выкатили изменение).
Получается часть юзеров (в теории) могут получить фикс, а остальные - без шансов.
Плюс это нужно чтобы пользователь пошел в свой пакетник и обновился. Ты это никак не контролируешь.
А в своей аппе - сам вывел окошко с обновлялкой, можно даже алерт.
Ответить | Правка | Наверх | Cообщить модератору

18. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 09:56 
Вообще из хламореп стоило бы выпиливать все уязвимые версии сразу после обнаружения проблемы.
То, что у кого-то это в поделку не затянется - проблемы подельщика.
Ответить | Правка | Наверх | Cообщить модератору

19. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 09:56 
(заодно популярность лефтпадного хламокодинга сразу поубавится)
Ответить | Правка | Наверх | Cообщить модератору

67. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от YetAnotherOnanym (ok), 17-Окт-23, 13:57 
Вот, кстати, бешено плюсую. Нерадивые разрабы и беспечные потребители должны иногда получать щелбан по башке.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

134. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от penetrator (?), 18-Окт-23, 04:03 
а что делать с уже установленными?

вообще-то это главная проблема, потому что то кто когда то будет установлено не отражает текущую картину уязвимостей

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

139. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 18-Окт-23, 09:17 
> а что делать с уже установленными?

Да ничего, проблемы установивших.

Ответить | Правка | Наверх | Cообщить модератору

21. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 10:03 
Проблема именно в том - ниже правильно отметили - что никто тебе фикс не выкатит.
А из репы этот брошенный хлам никто не выпилит - иначе у толп васянов поломается их хлам.
Вот это и есть основная беда хламореп от хламокодинга.

Если выпиливать - стимул поддерживать появится мгновенно, но весь хламокодинг посыпется, как карточный домик, потому что от хламоподобия хламобиблиотек за пару лет останется в лучшем случае 10% поддерживаемых. И это, надо сказать, хорошо, но не случится.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

25. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (11), 17-Окт-23, 10:17 
> А из репы этот брошенный хлам никто не выпилит

Угу, а брошенную либу мейнтейнеры прям побежали выпиливать из реп?))

Про аппы вообще молчу - вот в деб стэйбл лежит заведомо уязвимый squid (5.7-2), дырявый по самое немогу, причем годами (даже новость про это была https://www.opennet.me/opennews/art.shtml?num=59915)
И что? Его выпилили из репы? Нет!

PS: что-то тебя конкретно клинит на "хламо"-чем-то... Может тебе таблеточки попить?

Ответить | Правка | Наверх | Cообщить модератору

55. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (55), 17-Окт-23, 12:49 
Если бы это был не сквид, наверняка бы выбросили.
Ответить | Правка | Наверх | Cообщить модератору

138. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (138), 18-Окт-23, 09:11 
Если на неисправности есть готовые патчи - мейнтейнеры реп дистрибутивов их докладывают.

И ругаются, если затем долгое время их не принимает основной проект.

И выкидывают на мороз, когда патчи наклываются (начинают неразрешимо конфликтовать друг с другом).

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

140. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 18-Окт-23, 09:19 
Да. Именно в этом и заключается отличие дистровых и прочих монореп от хламовников типа npm.
Ответить | Правка | Наверх | Cообщить модератору

17. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (11), 17-Окт-23, 09:55 
Если лефтпад брошен, то тебе и в виде либы фикс не прилетит
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

29. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от test (??), 17-Окт-23, 11:00 
Вообще то на мантейнеров молиться нужно. Разрабам начихать на окружение, они пилят свою либу, вносят новые фичи, а тут хлоп баг, они это баг коммитят и выпускают НОВУЮ версию.  А вот эти самые фичи новой версии ломают окружение ... а ему начихать. И так же ему плевать что новые фичи лепят новые дыры ...

А мантейнер тот все наоборот, вышла новая версия, он из нее выбирает патчи дыр, накладывает на текущую либу и ничего не сломано и дыра закрыта.

P.S. Справедливости ради могу заметить, что есть разрабы подтерживающие старые ветки, на предмет дыр, но таких мало и только на крупных проектах.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

38. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от фнон (?), 17-Окт-23, 11:42 
> но таких мало и только на крупных проектах.

Например в каких?
Вон внизу скидывали ссылку на дырявые либы в Дебиане.
не уверенНе уверен, что у остальных будет получше (может разве что RHEL, но не уверен)

Ответить | Правка | Наверх | Cообщить модератору

165. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от test (??), 19-Окт-23, 09:55 
К примеру Python, выпустили ветку 3.12.0, так же вышла сразу 3.11.х, 3.10.x и т.д. некоторое время тащут старые версии ...
Ответить | Правка | Наверх | Cообщить модератору

174. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (174), 20-Окт-23, 18:18 
так фанатов же собирают - интеграций что ли насмотрелся
Ответить | Правка | Наверх | Cообщить модератору

76. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Kuromi (ok), 17-Окт-23, 14:20 
Вот только Мозилла именно вот этим занимается уже десятилетия. Все внешние либы тащутся с собой.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

98. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от лютый арчешкольник... (?), 17-Окт-23, 19:24 
>Библиотеки должны подключаться снаружи и иметь хотя бы более-менее стабильный API/ABI

си это боль для мазомазо.... а то что ты написал, в жабе и так присутствует. даже если в fatJar всё собираешь, очень легко управлять зависимостями, менять/убирать итд а с тестами сразу видно всё ли работает

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

142. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 18-Окт-23, 09:26 
Java-дистрибуция - это один из самых первых отличных примеров того, как делать не надо. Когда все сторонние библиотеки фиксированных версий тащатся вместе с проектом.
Ответить | Правка | Наверх | Cообщить модератору

156. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Neon (??), 18-Окт-23, 17:08 
А потом ваша прекрасная либа-1.2.3.1234 не подходит, требуется либа1.2.3.1234-костыль-2.5
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

157. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 18-Окт-23, 17:40 
Не подходит - апдейть до подходящей.
Ответить | Правка | Наверх | Cообщить модератору

9. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (11), 17-Окт-23, 09:45 
> прекращено сопровождение каждого пятого проекта
> только 11% продолжают активно сопровождаться

Вполне перекликается с новостями про проблемы сопровождающих ядра, проблемы с LTS и тд.
Люди внезапно заметили появившиеся проблемы и осознали, что тратить свое время на бесплатные проекты... не рационально.

Ответить | Правка | Наверх | Cообщить модератору

13. "Оценка проблем с сопровождением открытых проектов и использо..."  –2 +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 09:51 
Проблема в том, что хламокодинг позволяет каждому желающему васяну выкатить наколенную поделку, которую другой васян затянет к себе в свою наколенную поделку. То, что первый васян через неделю поделку бросит - никого не волнует.
Ответить | Правка | Наверх | Cообщить модератору

16. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от фнон (?), 17-Окт-23, 09:55 
Угу, а что скажешь про овнокод в ядре линуха? или дровах?
Там тоже васяны?
Наверное в этом и идея опенсорса?
Ответить | Правка | Наверх | Cообщить модератору

20. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 09:57 
И много хлама из хламорепозитариев ядро внутрь затягивает?
Ах да, туда же растишку добавили. К счастью, выключенную.
Ответить | Правка | Наверх | Cообщить модератору

22. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от фнон (?), 17-Окт-23, 10:10 
А разве ядро это не просто свалка уязвимого кода?
https://www.opennet.me/opennews/art.shtml?num=59852
Ответить | Правка | Наверх | Cообщить модератору

47. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (47), 17-Окт-23, 12:21 
Так разрабы этот код сами туда положили, а не кто-то левый забил на свой проект или передал его кому-то или решил заработать и тебе залетел майнер, вместе с трояном для ботнета.
Ответить | Правка | Наверх | Cообщить модератору

56. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от анонимусс (?), 17-Окт-23, 13:01 
А разве репозиторий, емейл разраба, или его гит аккаунт нельзя перекупить/взломать/украсть ?

Вот пример реальной пробелмы которая была в ядре https://lwn.net/Articles/57135/
И это то что заметили, а ведь другие могли не заметить.

Ответить | Правка | Наверх | Cообщить модератору

59. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от анонимусс (?), 17-Окт-23, 13:15 
в догонку - взлом гитхаба Сanonical
https://github.com/cncf/tag-security/blob/main/supply-chain-...

взлом fosshub, пострадали Classic Shell и Audacity
https://github.com/cncf/tag-security/blob/main/supply-chain-...

взлом log4j - https://github.com/cncf/tag-security/blob/main/supply-chain-...
получили дырку в апаче и других
https://security.googleblog.com/2021/12/understanding-impact...

взломали заброшенный пакет в АРЧе
https://github.com/cncf/tag-security/blob/main/supply-chain-...

дальше мне лениво перечислять)

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

111. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от User (??), 17-Окт-23, 21:28 
Ну, мы поняли - это ДРУГОЕ. Лет через 20 дiдовскую сортировку пузырьком выпилят - но ты туда не смотри, там селедку заворачивали.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

123. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от анонимусс (?), 18-Окт-23, 00:06 
Ты на пузирок не наезжай!
Отличная сортировка при мелких массивах.
Делает просто, на неответственных частях проги сойдет.
Ответить | Правка | Наверх | Cообщить модератору

150. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от AKTEON (?), 18-Окт-23, 15:26 
Конечно. Я всегда удивлялся, что на macos стоит  микроядро, а в linux монолит. Хотя казалось бы , оттестировать несколько десятков возможных аппаратных конфигураций  mac легко и должен быть монолит из соображений производительности, а для десятков миллионов возможных для  linux - поневоле приходится использовать микроядерную архитектуру. Но люди - по натуре своей - извращенцы и сделали строго наоборот, так что говнокод в гиперраспухшем ядре - неизбежен. Разве что AI когда-нибудь перепишет.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

32. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от Аноним (32), 17-Окт-23, 11:13 
А это проблема? Как предлагаешь решать её, массовыми расстрелами?
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

48. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (47), 17-Окт-23, 12:23 
Создать СССР и в интернет пускать по карточкам. А программный код можно брать только из центрального репозитория министерства электронной промышленности СССР.
Ответить | Правка | Наверх | Cообщить модератору

50. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (49), 17-Окт-23, 12:30 
По партбилетам и комсомольским билетам. В инет позволяется ходить только идейнонадёжным.
Ответить | Правка | Наверх | Cообщить модератору

130. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от ПГМemail (?), 18-Окт-23, 03:29 
Юмор зачетный
Ответить | Правка | Наверх | Cообщить модератору

63. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (63), 17-Окт-23, 13:33 
Как будто сейчас не так, только под властью капитала. Акк пппое, адрес, порт на оборудовании, договор с провом -- всё это колокольчик, повешеный буржуинами на шею коровам. Паситесь!
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

87. "Оценка проблем с сопровождением открытых проектов и использо..."  +2 +/
Сообщение от Менеджер Антона Алексеевича (?), 17-Окт-23, 16:37 
Почему у тебя вызывает такую бурную реакцию то, чем какие-то абстрактные васяны занимаются друг с другом? Ну-ка покажи на этой кукле, в какие места тебе васяны хламокодили.

Опенсорс вообще-то именно про использование чужих наработок, чтобы не пилить свой велосипед каждый раз. Права и обязанности в лицензии прописаны, а дальше никто никому ничего не должен. Ни один васян пилить либу, ни второй её использовать. Поэтому все жалобы про наколенные поделки можешь отправлять в спортлото. Не нравится — перепиши как нравится, заодно посмотрим какой ты молодец. А пока что ты только ноешь на опеннете про то, как тебя васяны обидели.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

141. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 18-Окт-23, 09:21 
Ну вообще да, примерно так и делаем - ни в одном проекте нет ни одного автоматического стягивания чего-либо откуда-либо. Поэтому все эти проблемы васянов меня не волнуют - можно хоть так оставить и ничего с этим не делать вообще, пусть наслаждаются.
Ответить | Правка | Наверх | Cообщить модератору

154. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Менеджер Антона Алексеевича (?), 18-Окт-23, 16:44 
> ни в одном проекте нет ни одного автоматического стягивания чего-либо откуда-либо

И все исходники всех либ тщательно вычитываются, да? Охотно верю!

> все эти проблемы васянов меня не волнуют

Так не волнуют, что захламил комментариями тред. Не даром ты мой любимый персонаж опеннета, после пох.а.

Ответить | Правка | Наверх | Cообщить модератору

10. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (10), 17-Окт-23, 09:46 
Даешь единый blob, содержащий абсолютно всё!
Ответить | Правка | Наверх | Cообщить модератору

14. "Оценка проблем с сопровождением открытых проектов и использо..."  –2 +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 09:52 
Наоборот. Библиотеки без всяких репозитариев. Прежде чем делать проект - основательно думаешь и выбираешь, на что завязываться, а не тянешь в рот любой свежак с хламорепозитария.

Впрочем, в серьёзных проектах так дело уже и обстоит, проблема по сути выеденного яйца не стоит и касается только однодневок от хламокодинга.

Ответить | Правка | Наверх | Cообщить модератору

23. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (23), 17-Окт-23, 10:13 
Где rapid application development, там и куча зависимостей-однодневок. Зачем переизобретать велосипед? Интересно пилить свою идею, пока не взлетит. Если не взлетело то и ладно, не сильно то и хотелось. Если таки взлетело то зачем перепиливать - и так ведь работает. Так и получается в конце большой карточный домик.
Ответить | Правка | Наверх | Cообщить модератору

27. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от фнон (?), 17-Окт-23, 10:43 
> Так и получается в конце большой карточный домик.

Как-будто раньше было не так. В линуксе куча уязвимых либ, добавленных 20 лет назад, которые сейчас пишут не понятно кто.
Просто при разработке бралась минимально подходящая либа найденная в интернете и, или использовалась как есть, или перепиливалась по свои нужды (тогда получался парад велосипедов как например SSL).

А потом отказывалось что:
- "Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux " https://www.opennet.me/opennews/art.shtml?num=59867

- Уязвимость в libcue https://www.opennet.me/opennews/art.shtml?num=59896
в блоге https://github.blog/2023-10-09-coordinated-disclosure-1-clic.../ автор кстати приводит ту самую картинку c "библиотекой чувака из небраски" которая держит весь современный софт))

Ответить | Правка | Наверх | Cообщить модератору

72. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от YetAnotherOnanym (ok), 17-Окт-23, 14:06 
> rapid application development

Очередной Аноним, который печатает со скоростью 400 знаков в минуту.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

104. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (104), 17-Окт-23, 20:45 
> Прежде чем делать проект - основательно думаешь и выбираешь

А потом пишешь с первого раза без ошибок идеальный код, который никогда не надо будет править. Ох уж эти опеннетные фантазии! Ох уж жти опеннетные фантазёры. А в реале без итераций и фидбека пишут только хеллоу ворлд. Пока ты думал, соседний стартап выпустил 300 версий, разобрался что нужно пользакам и вышел в кэш. Или не вышел. Но у них продукт был, а ты лишь основательно подумал.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

116. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 22:46 
Каждый брошенный лефтпад вышел в кеш, инфа 146%
Ответить | Правка | Наверх | Cообщить модератору

175. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (174), 20-Окт-23, 18:20 
огород копать доходнее?))
Ответить | Правка | Наверх | Cообщить модератору

179. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 20-Окт-23, 21:50 
> огород копать доходнее?))

Не пробовал, но пользы точно больше.

Ответить | Правка | Наверх | Cообщить модератору

26. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (26), 17-Окт-23, 10:36 
> 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостями,

А нафига они предоставляются для скачивания? 404 отдавать. Кому ну очень нужно и в git сбегают.

Ответить | Правка | Наверх | Cообщить модератору

28. "Оценка проблем с сопровождением открытых проектов и использо..."  +3 +/
Сообщение от Аноним (11), 17-Окт-23, 10:57 
Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость.
Ответить | Правка | Наверх | Cообщить модератору

45. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (45), 17-Окт-23, 12:14 
Для сборки таких заброшенных апп можно сделать ключ вроде --allow-archived-dependencies.
Ответить | Правка | Наверх | Cообщить модератору

81. "Оценка проблем с сопровождением открытых проектов и использо..."  +2 +/
Сообщение от Ruslan22 (?), 17-Окт-23, 14:42 
Тогда такой ключ будет по умолчанию во всех проектах.
Ответить | Правка | Наверх | Cообщить модератору

105. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (105), 17-Окт-23, 20:46 
И просто поднимут свой отдельный репо сами. И в нём будут все.
Ответить | Правка | Наверх | Cообщить модератору

117. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 22:47 
> Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость.

И это ОЧЕНЬ хорошо.
Нет мейнтейнера - давай, до свидания.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

35. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (11), 17-Окт-23, 11:28 
А этот забагованый кусок, почему не выпилили из репы? https://packages.debian.org/stable/web/squid
"Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены"

По той же причине - начнут не собираться другие либы или прикладной софт.
Хотя приостанавливать использование "до фикса всех известных критических проблем" имхо было бы адекватным решением.
Но на такое никто не пойдет.
Потому что есть нехилый шанс, что они никогда их не починят "Разработчики Squid были уведомлены о проблемах ещё два с половиной года назад, но так и не завершили работу по их устранению."

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

36. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от pic (?), 17-Окт-23, 11:39 
Действенное решение - брать на испуг - выбрасывать из репозитория вместе с соответствующими по зависимостям пакеты.

Если эти не исправят, то другие в таком крупном дистрибутиве оперативно выпустят патчи с выкорчёвыванием зависимости от этой либы, либо их софта там не будет до следующего релиза.

Есть второй вариант - к едрене фене - вытаскивать эти либы в отдельную репу с тем софтом и объявлять, что эта репа, скажем, non-official-critical.

Ответить | Правка | Наверх | Cообщить модератору

37. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от pic (?), 17-Окт-23, 11:41 
Дополнение:

и Debian к этой халатности не имеет отношения - без претензий.
Совсем уже обнаглели, и мейнтейнеры, и разработчики.

Ответить | Правка | Наверх | Cообщить модератору

42. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от анонимусс (?), 17-Окт-23, 12:04 
> выбрасывать из репозитория вместе с соответствующими по зависимостям пакеты

Классное решение, но что делать если репа после этого не соберется?
Как заменять либы, которым полных аналогов нет - тоже не ясно.

Это опенсорс - тут никаких рычаго воздействия на разраба нету, да и обязательств у него тоже никаких нет.

Вот так и живем (с)

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

68. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от pic (?), 17-Окт-23, 14:02 
Debian и так их выбрасывал пачками. Другое дело, что в последнее время этот процесс сильно растянулся.
Ответить | Правка | Наверх | Cообщить модератору

176. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (174), 20-Окт-23, 18:21 
есть время разбрасывать камни, есть время камни собирать
Ответить | Правка | Наверх | Cообщить модератору

69. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от pic (?), 17-Окт-23, 14:03 
Поэтому предложенный мой второй вариант более актуален, чем пытаться разрешать ад зависимостей старыми версиями.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

88. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Менеджер Антона Алексеевича (?), 17-Окт-23, 16:54 
Ну выброси какой-нибудь OpenSSL или glibc. И патчи для выкорчёвывания этих зависимостей не забудь оперативно выпустить.

Опеннетчиков через одного хлебом не корми, дай только что-нибудь повыкидывать и позапрещать.

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

119. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от pic (?), 17-Окт-23, 23:12 
> Ну выброси какой-нибудь OpenSSL или glibc. И патчи для выкорчёвывания этих зависимостей
> не забудь оперативно выпустить.
> Опеннетчиков через одного хлебом не корми, дай только что-нибудь повыкидывать и позапрещать.

А что сразу не ядро выкинуть? Юношеский максимализм.
А Debian выкидывал такое тухлое и раньше, непонятно почему они сейчас стали так тормозить.

Ответить | Правка | Наверх | Cообщить модератору

153. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Менеджер Антона Алексеевича (?), 18-Окт-23, 16:40 
> А что сразу не ядро выкинуть?

Отличная мысль, но немного рановато: GNU/Hurd ещё не совсем готов.

> Юношеский максимализм.

А «брать на испуг» и «выбрасывать из репозитория» — это не юношеский максимализм? Или это другое и надо понимать?

> А Debian выкидывал такое тухлое и раньше, непонятно почему они сейчас стали так тормозить.

Да как раз вполне понятно почему. Но если ты считаешь, что надо иначе — добро пожаловать в список рассылки Дебиана. По опыту могу сказать, что если идея ценная, то её с радостью примут. Удачи!

Ответить | Правка | Наверх | Cообщить модератору

112. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от User (??), 17-Окт-23, 21:32 
Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи ногами проголосуют, ага.
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

121. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от pic (?), 17-Окт-23, 23:16 
> Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи
> ногами проголосуют, ага.

Пользователям никто ничего не должен, это opensource. Либо Вы клепаете как есть, вместе с дырами и не несёте ответственность, либо адекватно реагируете на такое, если у Вас профессиональный продакшн, и Вам предъявят.

Ответить | Правка | Наверх | Cообщить модератору

137. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от User (??), 18-Окт-23, 07:52 
>> Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи
>> ногами проголосуют, ага.
> Пользователям никто ничего не должен, это opensource. Либо Вы клепаете как есть,
> вместе с дырами и не несёте ответственность, либо адекватно реагируете на
> такое, если у Вас профессиональный продакшн, и Вам предъявят.

Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто примерно все и нихрена не работает интересует примерно "никого", openBSD у нас уже есть, делать еще одну в парадигме "только хуже" - спасибо, нинада.

Ответить | Правка | Наверх | Cообщить модератору

147. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от pic (?), 18-Окт-23, 14:09 
> Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем
> устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто
> примерно все и нихрена не работает интересует примерно "никого", openBSD у
> нас уже есть, делать еще одну в парадигме "только хуже" -
> спасибо, нинада.

С этой точки зрения Debian непригоден для продакшена, даже после форка.

Ответить | Правка | Наверх | Cообщить модератору

151. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от User (??), 18-Окт-23, 15:45 
>> Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем
>> устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто
>> примерно все и нихрена не работает интересует примерно "никого", openBSD у
>> нас уже есть, делать еще одну в парадигме "только хуже" -
>> спасибо, нинада.
> С этой точки зрения Debian непригоден для продакшена, даже после форка.

Наличие\отсутствие дыр, критических ошибок и т.д. на готовность к production'у влияет не то, чтобы "никак" - но весьма и весьма ограничено на самом деле. Софт - гумно и все ИС проектируются исходя из этой парадигмы путем добавления автоперезапускаторов-анализаторов-наложенных-средств-защиты и прочих костылей-и-подпорок.

Ответить | Правка | Наверх | Cообщить модератору

40. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (47), 17-Окт-23, 11:53 
Компания сама атакует, а потом сама клепает отчёт. Безотходное производство.
Ответить | Правка | Наверх | Cообщить модератору

44. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от анонимусс (?), 17-Окт-23, 12:10 
Атакует кого?
Кодеров которые забили на свои проекты?
Тех кто использует старые либы без проверки насколько они дырявые?

То что сама фирма специализуется на пентестах, не значит, что отчет не правдивый.

Ответить | Правка | Наверх | Cообщить модератору

46. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (47), 17-Окт-23, 12:18 
Да. Да. Я думаю там точность 100% я к тому что они хорошо устроились.
Ответить | Правка | Наверх | Cообщить модератору

53. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от анонимусс (?), 17-Окт-23, 12:47 
Уууууу! Заговор!!!1111
Это точно не ленивые разрабы, которые багованные либы не обновляют, а все корпорация зла виновата!
Небось еще и мейнтейнерам доплачивает в конвертах, чтобы побольше CVE в код добавили.
Ответить | Правка | Наверх | Cообщить модератору

58. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (58), 17-Окт-23, 13:13 
не понять мне шизофренков, "программирующих" на скриптах
Ответить | Правка | Наверх | Cообщить модератору

64. "Оценка проблем с сопровождением открытых проектов и использо..."  –2 +/
Сообщение от Аноним (-), 17-Окт-23, 13:41 
так это же мировая история, все великие достижения строились по такому принципу, оглянись это везде вокруг - есть люди просто исполняющие своё дело и руководители/провидцы, которые организовывали/использовали эти людские ресурсы. без тех или тех ничего бы не получилось, равно как и фейлы отдельных - упоротость диктаторов, либо предательство/некомпетентность исполнителей приводили к краху. также и этой сфере, по аналогии, как и везде. ты же сам себе дом не строил, условно, живёшь там и творишь иное, и страданёшь если он развалится из-за плохого качества строительства/отсутствия ДУКа проводящего капремонт. разделение труда уж скок веков на пользу раотает, со своими нюансами.
Ответить | Правка | Наверх | Cообщить модератору

71. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (71), 17-Окт-23, 14:06 
в продолжение. не всегда же есть виновные, если при строительстве были ошибки в геодезии, либо технологии при строительстве были достаточно устаревшими - результат один. есть же организации, которые следят за аварийностью, расселяют и тп - вот не особо мы любим бюджетников, но и без этого никак
так что ситуации, если смотреть по аналогии, схожи с сабжом. тратят выделеные бюджеты не обязательно исключительно на самопиар, также чётко обозначают эту проблему в опенсорсе
если разрабы дистрибутивов линукса не введут подобную систему контроля, результат очевиден же. хоть и не любят майков/эпл/всё платное за многое, эту проблему иначе как достаточным финансированием зачастую трудно решать, либо темпы развития будут падать серьёзно, при условии обеспечения безопасности
имхо такие проблемы нужно поднимать, как минимум уровень основных ментейнеров дистра, лучше на уровне ядра даже, чтобы не получалось бардака аля как с вейландом
Ответить | Правка | Наверх | Cообщить модератору

77. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (-), 17-Окт-23, 14:20 
ну ведь объективно же, линус с командой так бегут вперёд, что, возможно, не замечают или не хотят как фундамент может треснуть. 6.6.6 пройдут, а до 7.7.7 могут и не дожить, в привычном понимании. коллективное письмо давайте писать, лол
Ответить | Правка | Наверх | Cообщить модератору

126. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (-), 18-Окт-23, 02:22 
во я орнул, если честно, за предъяву как веб-манки, которая не в состоянии расписать своё существование, ещё и наминусовали, лол

вы, вообще сами-то в курсе, что вся нынешняя цивилизация построена на этом - труде одних и руковдстве других, с применением спиженных/адаптированных/лицензированных технологий третьих, со всякими нюансы и вариациями? куда не плюнь - жильё, вкусная еда, безопасность, ваши устройства, этот форум и вся сеть целиком построена по этому принципу

есть один схожий момент во всём этом, на ряду с прочими, что оказывает влияние на многие важные составляющие - это система контроля качества, назовём так. сабж новости лишь указывает на недостаточность оного в конкретной сфере опенсорс_софта/*никсах. ваш дом не развалился, еда не вызывает отравления, вы в спокойствии и безопасности пишите сюда лишь, в том числе, благодаря её существованию. а обсуждаемая сфера может трещать начать, без должного внимания к данной проблеме, вот и всё

я не вижу проблемы в использовании благ цивилизации, труда других людей. благодарен судьбе за возможность использовать чужие наработки и, возможно, талант использовать их с толком. а вот надменность мне претит

зы. по вашей логике, грубо говоря, вот изобрели колесо - и катайся на нём, ну на повозке в крайнем случае. да что там - брёвна лучше подкладывай, да кати. сами-то на машинах ездиете? нет претензий к агенствам, которые контролируют соответствие транспорта необходимым требованиям, том числе и безопасности?

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

127. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (-), 18-Окт-23, 02:26 
ну хз, не пробовал я ещё в поле сидеть по крайней нужде, от волков оглядываясь, размышляя что та ведьма, скорее всего, сама те ягоды отравила, чтоб попиариться, лол

а линус, ко всему прочему, гит же сделал, который похлеще самого линукса разошёлся. дай там кто-нить свыше, что ещё что-то по контролю сабжа придумает, если должным образом внимание его привлечёт, авось и поделки майков/эплов подтянутся тоже, если у них там свои должным образом ещё не отработаны, принцип-то один я думаю

Ответить | Правка | Наверх | Cообщить модератору

89. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (89), 17-Окт-23, 16:57 
Зато мне очень легко понять представителей интеллектуального большинства, которым не хватает мозгов и уверенности, чтобы писать программы на динамических языках. Без ритуальных перепроверок по 10 раз и попыток сконстролить проверку типов. С которыми все становится медленно и громоздко.
Кодогенерация ИИ понятно лучше будет работать на статических. Для людей (не квадратноголовых, понятное дело) динамические удобнее.
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

92. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (92), 17-Окт-23, 17:53 
А эти твои динамические языки на чем написаны?
Ответить | Правка | Наверх | Cообщить модератору

114. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (114), 17-Окт-23, 22:09 
Писал и пишу и на тех, и на тех языках. Ну, под каждую задачу найдётся своё.

> чтобы писать программы на динамических языках

С нестрогой типизацией? Если да, то ну вот донесите, пожалуйста, в чём прикол, кроме вороха трудноуловимых проблем в _рантайме_?

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

61. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (61), 17-Окт-23, 13:17 
>>Компания Sonatype, специализирующаяся на защите от атак, манипулирующих подменой программных компонентов и зависимостей (supply chain)

Себя не попиаришь, никто тебя и не заметит. А тут фигню выкатил и такой важный :-))). Всё это фигня собачья.  Данные в 99% утекают из-за недовальных админов, подкупленных админов, субподрядчиков рукопопых и т.п. человеческих факторофф. инфа соточка. А это всё бухтение для освоение "безопасных" бюджетов.

Ответить | Правка | Наверх | Cообщить модератору

80. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноньимъ (ok), 17-Окт-23, 14:38 
Да нет давно никаких админов.
Докер контейнер с докерхаба в дефолте прямо в жоблако, или в кубернутес какой если ты сурьёзный.
Ответить | Правка | Наверх | Cообщить модератору

90. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (90), 17-Окт-23, 17:05 
Он имел ввиду девляпсов которые это все админят. А подкуп оных явление довольно частое, особенно в этой стране.
Ответить | Правка | Наверх | Cообщить модератору

115. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноньимъ (ok), 17-Окт-23, 22:34 
В большой оутсорс конторе это должно быть легче чем легко конечно.

Вспоминается, в нулевых, просили нас сделать аудит сервера, где всякая телефония тоже весела, было подозрение что админ пишет и сливает переговоры конкурентам.

Но потом у них проблема похоже исчезла, видимо решилось всё само собой.

Ответить | Правка | Наверх | Cообщить модератору

120. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от хрю (?), 17-Окт-23, 23:15 
Это обычное явление в любой стране. Самый треш по разгильдяйству, покупке тонн ненужного софта и пускания кого попало на свои сервера, который я видел, был в амерском подразделении bp.
Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

124. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (90), 18-Окт-23, 00:17 
Но торгуют персональными данными почему-то только у нас.

Недавно вот зарегался в программе лояльности крупного сетевого маркетплейса, так на второй день попёрли тонны смс начиная от кaзино, заканчивая пpoститyтками и крипто-скамом.

Ответить | Правка | Наверх | Cообщить модератору

159. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Серб (ok), 18-Окт-23, 17:43 
> Но торгуют персональными данными почему-то только у нас.

С чего ты так решил?

Из-за того, что не можешь оплатить суммы которые просят за информацию забугорных корпораций?

Ответить | Правка | Наверх | Cообщить модератору

177. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (174), 20-Окт-23, 18:23 
языка не знает..)))
Ответить | Правка | Наверх | Cообщить модератору

91. "Оценка проблем с сопровождением открытых проектов и использо..."  +1 +/
Сообщение от Аноним (90), 17-Окт-23, 17:10 
+1
Хакеры которые корчуют код давно остались в прошлом, все современные «взломы» это подкуп, саботаж или социальная инженерия. Достаточно зайти в даркнет, там тебе и дубликат симки на любой номер сделают, и паспорт любой страны выдадут с официальным оформлением и прогоном по всем базам.
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

118. "Оценка проблем с сопровождением открытых проектов и использо..."  –2 +/
Сообщение от Tron is Whistling (?), 17-Окт-23, 22:52 
И швабру с бутылкой шампанского - на выбор - в подарок.
Ответить | Правка | Наверх | Cообщить модератору

128. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (-), 18-Окт-23, 03:02 
как туда зайти-то? лампочку выключил, тёмную тему поставил - сижу жду дальнейших указаний
Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

66. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Golangdev (?), 17-Окт-23, 13:46 
> Многие проекты продолжают использовать уязвимые версии, например, 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостями

а господа торговцы безопасностью не потрудятся также сообщить, сколько из этих "23%" реально можно взломать, используя "Log4j" ?

я к тому, что наличие "уявзимой" библиотеки не равно возможности её использовать.

Ответить | Правка | Наверх | Cообщить модератору

131. "Оценка проблем с сопровождением открытых проектов и использо..."  –1 +/
Сообщение от Аноним (-), 18-Окт-23, 03:29 
ну слушай, инфа же _официальная, а значит и описание уязвимости, как и статистика использования, получена, наверняка, из открытых источников. хочешь парсер по этим данным запусти, хочешь зависимости конкретных проектов изучи, смотря в чём _необходимость появится, остальное - дело техники, как говорится

а так да, сишка дырявая, но не факт что всё дырявое на ней. и постоянно выявляемые уязвимости лишь подтверждают это. что не всё дырявое на ней. пока точно не всё хД

Ответить | Правка | Наверх | Cообщить модератору

135. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (109), 18-Окт-23, 05:13 
Не мешай пиариться и продавать сейфы для солонок.
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

145. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от ыы (?), 18-Окт-23, 12:24 
Если солонка при попытке посолить- взрывается - то такие солонки нужно держать не просто в сейфе, а и сейф такой где нибудь подальше..от людей.
Ответить | Правка | Наверх | Cообщить модератору

146. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от ыы (?), 18-Окт-23, 12:26 
эта уязвимость хорошо описана. проверьтесь дял началу у себя...
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

103. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (105), 17-Окт-23, 20:43 
Почему же, говоря о уязвимостях, никогда не вспоминают, что в обновлении
- иногда больше нет прежней функциональности,
- иногда приходят проблемы для нужного функционала.

Обновления безопасности иногда ломают нужный функционал. И тогда обновление - зло.

Зачем неуязвимый софт, если софт не делает нужного.

Ответить | Правка | Наверх | Cообщить модератору

113. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (113), 17-Окт-23, 22:06 
Кто ничего не делает - тот ошибок не совершает. Отсюда вывод: нихрена делать не надо.
Ответить | Правка | Наверх | Cообщить модератору

132. Скрыто модератором  +/
Сообщение от Аноним (-), 18-Окт-23, 03:32 
Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

158. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Tron is Whistling (?), 18-Окт-23, 17:41 
Потому что вся функциональность - пшик, если твой локалхост внезапно превращается в майнер для любого васи из 10Б.
Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

144. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от InuYasha (??), 18-Окт-23, 12:21 
Хотел пожаловаться что в опрос не позвали...

> Java, JavaScript, Python и .NET,

Смех сквозь слёзы. Просто сяду почитать, чем страдает этот гадюшник.

Ответить | Правка | Наверх | Cообщить модератору

167. "Оценка проблем с сопровождением открытых проектов и использо..."  +/
Сообщение от Аноним (167), 19-Окт-23, 16:45 
99% коммерческого ПО под это тоже подпадает, кстати. А думал, там всюду паскаль? Паскаль остался в 90х, с тех пор на нём только легаси тех лет.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру