The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Первый стабильный релиз PGP-инструментария sq от проекта Sequoia"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Первый стабильный релиз PGP-инструментария sq от проекта Sequoia"  +/
Сообщение от opennews (??), 17-Дек-24, 11:23 
После семи лет разработки сформирован релиз инструментарий командной строки sq 1.0, предназначенного для работы с артефактами  OpenPGP. Инструментарий подготовлен проектом Sequoia PGP, также развивающим  библиотеку функций с реализацией стандарта OpenPGP (RFC-4880). Выпуск 1.0 отмечен как первый стабильный релиз проекта, означающий стабилизацию кодовой базы и прекращение внесение изменений, нарушающих совместимость. Код написан на языке Rust и распространяется под лицензией GPLv2+...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=62421

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +3 +/
Сообщение от Аноним (1), 17-Дек-24, 11:23 
ls -lh /usr/bin/*gpg* | grep -v sq

-rwxr-xr-x 1 root root 1.2M ноя  1 14:49 /usr/bin/gpg
lrwxrwxrwx 1 root root    3 ноя  1 14:49 /usr/bin/gpg2 -> gpg
-rwxr-xr-x 1 root root 414K ноя  1 14:49 /usr/bin/gpg-agent
-rwxr-xr-x 1 root root 947K ноя  1 14:49 /usr/bin/gpgcompose
-rwxr-xr-x 1 root root 159K ноя  1 14:49 /usr/bin/gpgconf
-rwxr-xr-x 1 root root 143K ноя  1 14:49 /usr/bin/gpg-connect-agent
-rwxr-xr-x 1 root root  35K ноя  1 14:49 /usr/bin/gpgparsemail
-rwxr-xr-x 1 root root 572K ноя  1 14:49 /usr/bin/gpgsm
-rwxr-xr-x 1 root root  79K ноя  1 14:49 /usr/bin/gpgsplit
-rwxr-xr-x 1 root root 136K ноя  1 14:49 /usr/bin/gpgtar
-rwxr-xr-x 1 root root 479K ноя  1 14:49 /usr/bin/gpgv
-rwxr-xr-x 1 root root 191K ноя  1 14:49 /usr/bin/gpg-wks-server
-rwxr-xr-x 1 root root 3.5K ноя  1 14:49 /usr/bin/gpg-zip
-rwxr-xr-x 1 root root 3.0K окт 31 20:19 /usr/bin/migrate-pubring-from-classic-gpg

ls -lh /usr/bin/*sq
-rwxr-xr-x 1 root root 11M ноя 30 15:09 /usr/bin/gpg-sq
-rwxr-xr-x 1 root root 21M ноя 29 19:29 /usr/bin/sq

Вся суть растоподелок.

Ответить | Правка | Наверх | Cообщить модератору

9. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Проходил мимо (?), 17-Дек-24, 12:05 
Открой для себя команду strip, юный падаван.
Ответить | Правка | Наверх | Cообщить модератору

12. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Anony (?), 17-Дек-24, 12:16 
Для растовых программ strip почти не помогает, только upx
Ответить | Правка | Наверх | Cообщить модератору

31. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Проходил мимо (?), 17-Дек-24, 14:00 
Да вы что! А мужики-то и не знали!
Наверное это чудо, что у меня растовые программы после стрипа ужимаются с 13 и более Мб до нескольких сот килобайт.
Ответить | Правка | Наверх | Cообщить модератору

47. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (47), 17-Дек-24, 16:54 
А проверка выходов за границы массивов не исчезает?
Ответить | Правка | Наверх | Cообщить модератору

32. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Проходил мимо (?), 17-Дек-24, 14:07 
Специально для вас только что скомпилировал одну их простеньких программ и показываю эффект от применения strip:
du -s -h ./target/debug/zmailbox_info
13M     ./target/debug/zmailbox_info
strip ./target/debug/zmailbox_info
du -s -h ./target/debug/zmailbox_info
528K    ./target/debug/zmailbox_info
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

35. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Аноним (-), 17-Дек-24, 15:05 
> Специально для вас только что скомпилировал одну их простеньких программ и показываю эффект от применения strip:

Ого вот это магия!
Думаю растохейтеры просто в шоке))


Ответить | Правка | Наверх | Cообщить модератору

37. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –2 +/
Сообщение от Аноним (37), 17-Дек-24, 15:30 
Подскажите
1) насколько у вас дисковое пространство в дефиците?
2) оно всегда таким остается по размеру, или полный размер распаковывается именно в память?
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

58. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (58), 17-Дек-24, 18:01 
df -h
Файловая система            Размер Использовано  Дост Использовано% Cмонтировано в
/dev/mapper/Admin-system       42G          42G   72M          100% /
devtmpfs                      4.0M            0  4.0M            0% /dev
tmpfs                         987M         3.1M  984M            1% /dev/shm
tmpfs                         395M         1.5M  393M            1% /run
tmpfs                         5.0M          16K  5.0M            1% /run/lock
tmpfs                         1.0M            0  1.0M            0% /run/credentials/systemd-journald.service
tmpfs                         987M            0  987M            0% /tmp
/dev/mapper/Admin-home        183G          33G  141G           19% /home
tmpfs                         198M          72K  198M            1% /run/user/1000
tmpfs                         1.0M            0  1.0M            0% /run/credentials/getty@tty3.service
Ответить | Правка | Наверх | Cообщить модератору

16. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от 12yoexpert (ok), 17-Дек-24, 12:40 
почему он должен что-то делать с бинарниками в случае пакетного дистра? думаешь, мейнтейнеры тупые и не догадались?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

76. Скрыто модератором  +/
Сообщение от Аноним (-), 17-Дек-24, 21:26 
Ответить | Правка | Наверх | Cообщить модератору

19. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (19), 17-Дек-24, 12:44 
>file /usr/bin/sq
>/usr/bin/sq: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=0ecb384f72cc30a572ec4a200edaf19b59b9b83a, for GNU/Linux 3.2.0, stripped

Я его не стрипал, он такой в пакете идёт.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

24. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (24), 17-Дек-24, 13:15 
Он уже стрипнутый
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

42. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (42), 17-Дек-24, 15:36 
# strip -R .* /usr/bin/sq

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

15. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (-), 17-Дек-24, 12:37 
> ls -lh /usr/bin/*gpg* | grep -v sq
> Вся суть растоподелок.

Э? А сказать то что хотел?
На твой 20МБ макстрон не помещается современный софт?
Что ты готов пользоваться дырявостью, зато сэкономить пару мегабайтов?

Ну не пользуйся, тебя же некто не заставляет (пока, хехе))

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (19), 17-Дек-24, 12:41 
Проблема не в "макстроне", и не в "дырявости". Проблема - в принципиальном вредительстве разработчиков Rustа, Cargo, и Sequoia. Смузи не из той субстанции перепили. Продолжают и нахваливают. Делали бы нормально - занимало бы ещё меньше, чем gpg.
Ответить | Правка | Наверх | Cообщить модератору

22. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –3 +/
Сообщение от Аноним (-), 17-Дек-24, 13:10 
> Проблема - в принципиальном вредительстве разработчиков

Где ты увидел вредительство? Они наоборот спасают индустрию.

> Делали бы нормально - занимало бы ещё меньше, чем gpg.

Ахаха! Ну покажи мастер-класс))
Сейчас какбэ не 70е, размер приложения дааавно не главное.

  

Ответить | Правка | Наверх | Cообщить модератору

25. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (-), 17-Дек-24, 13:20 
> Проблема - в принципиальном вредительстве разработчиков Rustа, Cargo, и Sequoia.

То что твои ожидания от опенсорса не совпали с реальностью - это твои проблемы.
Каждый программер может делать софт как считает нужным.

> Делали бы нормально

А нормально это как?
Вот так opennet.ru/opennews/art.shtml?num=48741 ?
Так opennet.ru/opennews/art.shtml?num=46812,
или все таки так opennet.ru/opennews/art.shtml?num=44988 ?
Последняя особенно эпична тк жила в 98 года)

> занимало бы ещё меньше, чем gpg.

А зачем меньше? У меня фотка кота может занимать столько же.
Зачем мне экономить байтики? Просто чтобы померяться пис.. т.е пакетами, у кого меньше?

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

27. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (27), 17-Дек-24, 13:28 
Тебе какие то сказки на уровне бабаек рассказали и ты их боишься. Какие реальные проблемы созданы ты даже  объяснить не состоянии. Тебе дали четкую команду тут бояться, а сюда топить. Зачем почему это не твоя задача, твоя задача лаять на караван как мелкая собачонка.
Ответить | Правка | Наверх | Cообщить модератору

94. Скрыто модератором  +/
Сообщение от Аноним (-), 18-Дек-24, 02:40 
Ответить | Правка | Наверх | Cообщить модератору

30. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Moomintroll (ok), 17-Дек-24, 13:52 
> А нормально это как?
> Вот так opennet.ru/opennews/art.shtml?num=48741 ?

"Проблема вызвана отсутствием должной проверки имени файла, которое может включаться в подписанное или зашифрованное сообщение в качестве информации об исходном файле."

> Так opennet.ru/opennews/art.shtml?num=46812,

"Уязвимость позволяет восстановить содержимое закрытого ключа RSA через проведение атаки по сторонним каналам (side-channel attacks) на базе техники FLUSH+RELOAD."

> или все таки так opennet.ru/opennews/art.shtml?num=44988 ?

"... а утечка приходятся на второй вспомогательный ключ, 20 байт случайных данных для которого могут быть предсказаны из последовательности для первого ключа"


Ни разу не про ошибки работы с памятью. А подобные (логические?) ошибки можно и в расте сделать, равно как и в любом другом языке.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

34. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 15:03 
> Ни разу не про ошибки работы с памятью. А подобные (логические?) ошибки можно и в расте сделать, равно как и в любом другом языке.

Во-первых я нигде не писал про "проблемы с памятью", а ответил на высокопафосный пассаж "Делали бы нормально".
Если для Анонима (19) это "нормально", то.. ну у него такие стандарты для качества, чего не его осуждать.

А во-вторых, раз ты уже спросил
cvedetails.com/cve/CVE-2022-47629/
cvedetails.com/cve/CVE-2022-3515/ - оба два product performs a calculation that can produce an integer overflow

cvedetails.com/cve/CVE-2021-3345/ - a heap-based buffer overflow
cvedetails.com/cve/CVE-2016-4579/ - out-of-bounds read and crash (хорошо что крашнулось, а не рута подарило)

Дальше мне искать лениво, уж как-то сам.

Ответить | Правка | Наверх | Cообщить модератору

44. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (37), 17-Дек-24, 15:41 
>а ответил на высокопафосный пассаж "Делали бы нормально".

"Нормально делай - нормально будет" ©

Ответить | Правка | Наверх | Cообщить модератору

51. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Вирт (?), 17-Дек-24, 17:22 
>  Смузи не из той субстанции перепили.

Не агитирую за Rust, но ты по хотя бы мат. часть выучил.
Такой размер, потому что std библиотека, и все зависимости влинкованы статически,
а большинство зависимостей gpg это разделяемые бибилотеки.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

53. Скрыто модератором  +/
Сообщение от Аноним (58), 17-Дек-24, 17:33 
Ответить | Правка | Наверх | Cообщить модератору

59. Скрыто модератором  +/
Сообщение от Аноним (-), 17-Дек-24, 18:12 
Ответить | Правка | Наверх | Cообщить модератору

93. Скрыто модератором  +/
Сообщение от Аноним (-), 18-Дек-24, 02:31 
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

2. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +6 +/
Сообщение от Аноним (1), 17-Дек-24, 11:25 
>для загрузки сборок с проверкой их достоверности достаточно будет выполнить команду: sq download

Ну да, давайте ещё просмотрщик видео и нейросетевую модель детекции QR-кодов в бинарь втащим, чего уж мелочиться.

Ответить | Правка | Наверх | Cообщить модератору

43. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (37), 17-Дек-24, 15:39 
Ну, в последних релизах новомодных архиваторов(с компрессором), уже требуется мощная видеокарта, сами понимаете для чего. Даже примеры звуковых файлов на опеннете выкладывали и обсуждали, что там этот архиватор нафантазировал.
Почему бы и тут не начать фантазировать шифрование с помощью нейросетки?
Ответить | Правка | Наверх | Cообщить модератору

46. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от fuggy (ok), 17-Дек-24, 16:38 
Тоже показалось странным. Нарушают юниксвей. Это же по сути аналог wget & gpg verify.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –5 +/
Сообщение от Аноним (-), 17-Дек-24, 11:37 
> Инструментарий включён в состав дистрибутива Red Hat Enterprise Linux 10 в качестве альтернативы GnuPG,
> задействован для работы с PGP в пакетных менеджерах DNF и RPM

Шикарно.
В след. RHEL можно будет внести небольшие несовместимости с гнутостью. А потом еще немного. И еще. Потом перевести поддержку гнутости в опциональную и как итог закопать.

Жаль только лицуха у сековои такая же раковая как у оригинала.
Хорошо хоть v2 only.

Ответить | Правка | Наверх | Cообщить модератору

70. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (70), 17-Дек-24, 20:30 
В новости ошибка там LGPL v2 or any later version.
Ответить | Правка | Наверх | Cообщить модератору

71. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от АнонимичныйАноним (?), 17-Дек-24, 20:32 
А можно мне вот чуть-чуть объяснений, почему именно GNU GPL - плохо? Я искренне не понимаю, и хочу разобраться в ситуации, для общей эрудиции как минимум.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

73. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (-), 17-Дек-24, 20:43 
> А можно мне вот чуть-чуть объяснений, почему именно GNU GPL - плохо?

Дело в идее, и манифесте, как ее воплощении.
Вкратце - попытка поставить пользователей выше чем создателей, загнать программистов под государсво и/или принудить к попрошайничеству.
Это, слава богу-машине, не случилось, но общество приучили к "опенсорсный == бесплатный".

> Я искренне не понимаю, и хочу разобраться в ситуации, для общей эрудиции как минимум.

Тут уже как минимум три анона разбирали его цитаты, можешь поискать по gnu manifesto
Вот один из тредов
opennet.ru/openforum/vsluhforumID3/131642.html#230

ЧСХ в каждый подобный подобный тред прибегают индивиды которые начинают с "вы все врете!!11", а когда получают ссылку на цитаты, то начинается "вы его неправильно поняли".

Ответить | Правка | Наверх | Cообщить модератору

77. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +3 +/
Сообщение от АнонимичныйАноним (?), 17-Дек-24, 21:48 
А принципиальное отличие в философии какое? Условной MIT и GNU GPL.

Обе разрешают использовать исходный код в любых целях, в том числе коммерческих. Продавать софт под GPL тоже в целом возможно, как и зарабатывать на нём, чем, собственно говоря, RedHat и Suse занимаются.

Но GPL запрещает при этом закрывать исходный код, т.е. пользуясь своей свободой ограничивать свободу другого, что в целом, как мне кажется, логично.

"Свобода одного человека заканчивается там, где начинается свобода другого"

Если же очень хочется встроить что-то, написанное другими людьми, и при этом не давать ничего взамен, можно нанять программистов, которые перепишут GPL участки. При этом если программа очень сильно зависит от GPL кода, и надо будет переписать слишком много, то она считается производной работой не зря. А если это какая-то мизерная библиотечка, то ничего не мешает.

Ответить | Правка | Наверх | Cообщить модератору

81. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 22:31 
> А принципиальное отличие в философии какое?

Вы манифест прочитали? Про урезание зп, про наказание неприсоединившихся, про госорган распределения доходов  и тд? Ничего подобного нет ни в мит, ни в бсд.
Потому что там просто лицензия и свобода. А тут, как вы правильно написали, философия.

> Продавать софт под GPL тоже в целом возможно

М... а вы пробовали? Пока что получается только у всяких Qt, причем коммерческую версию лицухи, наличие которой только доказывает что жпл фиг продашь. Сейчас даже бинарные сборки продавать сложно, потому что всегда найдется добрый самаритянин из "сообщества", который будет кричать "на платите ему, вот тут можно скачать бизплатна!!111"

> как и зарабатывать на нём, чем, собственно говоря, RedHat и Suse занимаются.

Они продают поддержку, а не софт. Софт даже шапке продавать сложно - посмотри сколько набежало паразитов вроде Альма-Роки-хз-что-Линуксов на то, что делает РедХат.
При этом кто реально работает можно посмотреть напр. в гите ядра: сколько там будет кода/коммитов от шапки, а сколько от этих прилипал. Но защитить свой код они никак не могут - лицензия не позволяет.
А поддержка означает, что лучше быть "незаменимым" - чтобы только ты разбирался в коде, и нет смысла писать "хороший код" - иначе зачем поддержка.

> Но GPL запрещает при этом закрывать исходный код

С МИТ ты тоже не можешь закрыть код. Ты можешь дописывать новый под другой лицензией. Что позволяет гнутиками заражать мит и бсд гну-лицензией. Что с моей точки зрения единственный фундаментальный недостаток этих лицензий.

> можно нанять программистов, которые перепишут GPL участки

Намного лучше вообще подходит к GPL на пушечный выстрел.
Впрочем народ поумнел за последние годы, да и пропаганда от гну-секты стала работать менее эффективно.
Как результат количество проектов со свободными лицензиями очень сильно выросло, а с ограничивающими вроде gpl - упало.

Ответить | Правка | Наверх | Cообщить модератору

86. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от АнонимичныйАноним (?), 17-Дек-24, 23:08 
Здесь я всё таки рассуждаю на тему лицензии, а не моральных ориентиров проекта GNU, и единственное принципиальное отличие в лицензиях - требование к сохранению свободы производного ПО, т.е. копилефт. Может я невнимательный, но я не увидел в тексте GPL строк прл урезание зарплат, госконтроль и прочие смертоубийственные вещи.

О Qt: Учитывая, что GPL не запрещает такое двойное лицензирование, проблема не так широка. А до бинарных сборок, их в целом продавать выгодно только если твой код полностью закрыт(как в проприетарном ПО), или если ты имеешь уникальный патчсет, недоступный никому(как я понимаю, это и достигается в коммерческой версии Qt), GPL же в этом случае отличается разве что тем, что создать такой "уникальный патчсет" может только изначальный автор, путём двойного лицензирования, например. Я наоборот вижу в этом более широкую защиту прав создателя произведения.

У меня нет статистики по поводу того, сколько денег потеряла RedHat из за совместимых проектов, поэтому выскажусь насчёт второго пункта: "лицензия не позволяет защитить свою работу". От чего именно она должна разрешить защиту? От копирования их кода? Выходит странновато: мы берём ваш код, но наш вы не трогайте. Продавать поддержку можно и к хорошему коду, например предоставляя хостинг. В целом бизнес-модели придумать можно.

К MIT: она не обязывает публиковать код изменений, что в целом можно обозначить, как закрытие кода. Следуя стратегии "embrace, extend and extinguish" так можно, при желании, и загубить чужой проект.

И последнее: всё таки я старался подчеркнуть тот факт, что если работа не является действительно производной от GPL-кода, то вырезать из нее GPL-код это далеко не невожможная задача. В противном же случае, увы, придётся считаться с правами автора кода на его защиту.

Ответить | Правка | Наверх | Cообщить модератору

88. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 23:22 
> Здесь я всё таки рассуждаю на тему лицензии, а не моральных ориентиров проекта GNU,

Ну.. ты сам спросил про различие в философии)

> и единственное принципиальное отличие в лицензиях - требование к сохранению свободы производного ПО, т.е. копилефт. Может я невнимательный, но я не увидел в тексте GPL строк прл урезание зарплат, госконтроль и прочие смертоубийственные вещи.

Возможно, но я не отделяю проект GNU от лицензии - тк лицензия это отражение тех самых 4 "свобод".

> О Qt: Учитывая, что GPL не запрещает такое двойное лицензирование, проблема не так широка.

Не, как раз оно показывает, что заработать денег с gpl можно только двойным лицензированием.

> GPL же в этом случае отличается разве что тем, что создать такой "уникальный патчсет" может только изначальный автор, путём двойного лицензирования, например.

Не обязательно.
Если ты предоставляешь SAAS, например сделал свою версию ядра и сдаешь их в аренду как сервис, то открывать ничего не нужно.
Или сделал версию для "внутреннего использования".

> Я наоборот вижу в этом более широкую защиту прав создателя произведения.

Ее могут дать только BSL подобные лицензии, которые могут ограничивать коммерческую деятельность.
Но фанатики не считают их свободными (тут опять придется возвращать к философии).

> К MIT: она не обязывает публиковать код изменений, что в целом можно обозначить, как закрытие кода. Следуя стратегии "embrace, extend and extinguish" так можно, при желании, и загубить чужой проект.

GPL тоже не обязывает в случае предоставления услуг.

Ответить | Правка | Наверх | Cообщить модератору

89. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от АнонимичныйАноним (?), 17-Дек-24, 23:34 
Философия лицензии, не проекта, как   такового. Я бы всё же разделял лицензию и проект, поскольку не всё, что есть в манифесте GNU, отражено в лицензии.

Про SaaS: вот вы и придумали ещё один метод продавать GPL =)
Хотя для этого сценария существует AGPL. Всё же необходимы разные лицензии для разных ситуаций: так, например, код ядра не имеет значимости для запущенного на этом ядре веб-сервиса, следовательно он пользователю и не нужен, поскольку с ним пользователь не взаимодействует.

По поводу BSL, она запрещает выполнение кода как таковое (если я правильно понял её заявление о "production use"). Логично, что это несвободная лицензия. В случае же с GPL требования звучат буквально как: "Вы можете делать всё, что хотите, пока ваша производная работа остаётся под той же лицензией".

Ответить | Правка | Наверх | Cообщить модератору

90. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 23:59 
> Хотя для этого сценария существует AGPL

Нет конечно, не подходит.
Потому что всякие амазоны-гуглы просто будут брать свой код под AGPL и предоставлять услугу. И им даже строчки кода менять не нужно. А если и будут менять - то скорее всего оно будет прибито к их сервисам, и никакого толку тебе от этого открытого кода не будет.

За счет своего размера, наличия инфры, демпинга и/или других нерыночных методов, они будут зарабатывать, а ты сосать лапу.

Ответить | Правка | Наверх | Cообщить модератору

84. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (84), 17-Дек-24, 23:02 
> Но GPL запрещает при этом закрывать исходный код

Это не так. GPL запрещает закрывать любой код, который линкуется с GPL.
Т.е. даже если в твой огромный проект попадет хотя бы одна строчка под жпл - то внезапно ВЕСЬ твой код обязать стать под GPL. Очень справедливо?))

И эта вирусная особенность GPL стала причиной создания LLVM.
Потому что в какой-то момент гнутикам ударила moча в голову и когда GCC перевели на GPLv3, они решили что раз вы компилите свой код gcc, то вы обазаны открыть ваш код код GPL!

Объясняли они это так:
"when you compile a program with gcc, parts of GCC itself, called the runtime library (and before that, crt0), are combined directly with your program in the output binary. The binary, therefore, is both a derivative work of your source code and a derivative work of the runtime library. If GCC were pure GPL, every binary compiled with GCC would need to be licensed under the terms of GPL."

После такого выбрыка их накормили продуктами жизнедеятельности, а все разумные люди и фирмы задумались о более адекватной альтернативе, и вложились в ллвм. Почуяв, что пахнет жареным, гну сделали в 2008-2009 году "GCC Runtime Library Exception", где с барского плеча таки позволят использовать gcc без заражения гну.

Но кто знает что им взбредет в голову в условном GPLv4. К тому же то же ядро уже прекрасно компилируется llvm, не смотря на все мерзкие попытки прибить ядро к единому идеологически-верному компилятору через gnu c extentions, прям в лучших традициях EEE мелкософта.

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

87. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от АнонимичныйАноним (?), 17-Дек-24, 23:13 
Выше ответил на первый абзац вашего сообщения.

Насчёт компилятора: хорошо, что одумались, и добавили исключение.

Про расширения GNU могу сказать, что иногда они действительно удобны. Не могу винить разработчиков их использующих. Некоторые из этих вещей давно следует добавить в стандарт, однако машина бюрократии неповоротливая и медленная, отсюда и появляются неофициальные расширения (Щас от этого же страдает Wayland).

Ответить | Правка | Наверх | Cообщить модератору

97. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (97), 18-Дек-24, 03:00 
Теперь понятно почему многие сидели на 2.95 до последнего.
Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

7. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –4 +/
Сообщение от marten (ok), 17-Дек-24, 11:58 
Мда, доверять тулзе, отвечающей за безопасность, на сайте которой флажки всякие висят, я бы не стал
Ответить | Правка | Наверх | Cообщить модератору

10. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (47), 17-Дек-24, 12:05 
Фотки Vincent и Nora в студию!
Ответить | Правка | Наверх | Cообщить модератору

29. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (29), 17-Дек-24, 13:49 
Штош.
Так и делай.
Не доверяй.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

45. Скрыто модератором  +/
Сообщение от похнапоха. (?), 17-Дек-24, 16:37 
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

50. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от scut (?), 17-Дек-24, 17:13 
Зато можно было бы доверять, если бы там аквафреш был?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

98. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (97), 18-Дек-24, 03:03 
Любые флаги признак ангажированности. Защита будет для любимчиков.
Ответить | Правка | Наверх | Cообщить модератору

8. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (8), 17-Дек-24, 12:04 
> sq network search https://keys.qubes-os.org/keys/qubes-release-4.2-signing-key...

Чтобы иметь определенный уровень доверия к ключу, необходимо получить несколько цепочек доверия от вашего ключа к требуемуму. Для этого надо: https://www.linux.org.ru/forum/security/17817595?cid=17818179

Ответить | Правка | Наверх | Cообщить модератору

13. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (27), 17-Дек-24, 12:29 
Писать что-то секурное на языке, который не вызывает доверия это моветон. Это лишь вопрос времени когда в тулинг или в сторонний пакет залетит какая-нибудь бяка и сделает дыру.
Ответить | Правка | Наверх | Cообщить модератору

17. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 12:40 
> Писать что-то секурное на языке, который не вызывает доверия это моветон.

У кого не вызывает?
Например разработчкики ТОР считают его лучше и безопаснее чем другие варианты.

> Это лишь вопрос времени когда в тулинг или в сторонний пакет залетит какая-нибудь бяка и сделает дыру.

Слава богу в СИ так не может быть!
И никаких примеров типа Bvp47 или XZ не было)

Ответить | Правка | Наверх | Cообщить модератору

20. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Аноним (27), 17-Дек-24, 12:46 
У всех нормальных людей. Ты к ним не относишься. У тебя главная стратегия не вижу зла значит его нет. Думать хотя бы на шаг вперёд это же голова может заболеть.
Ответить | Правка | Наверх | Cообщить модератору

23. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –2 +/
Сообщение от Аноним (-), 17-Дек-24, 13:15 
> У всех нормальных людей.

О, т.е. бывшие разрабы gnupg, которые решили писать секвою, - это не нормальные люди?
Один ты - Аноним - тут стоишь в белом такой умный и красивый.

> У тебя главная стратегия не вижу зла значит его нет

Всегда есть большее зло. Есть призрачный шанс подменить что-то где-то, а есть более чем реальная сишечка, на которой что диды писать не умели, что нынешние смузехлебы.
Можешь посмотреть сколько дыреней было из-за тулинга или стороннего пакета, а сколько из-за рукоопов, которые в очередной раз не шмогли посчитать размер буфера перед записью.

Ответить | Правка | Наверх | Cообщить модератору

36. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Агоним (?), 17-Дек-24, 15:30 
Так ты и на расте писать не умеешь и старый зачем тогда Раст?
Ответить | Правка | Наверх | Cообщить модератору

40. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +3 +/
Сообщение от Аноним (37), 17-Дек-24, 15:35 
А ты никогда не думал, почему они теперь "бывшие"?
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

56. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Анонимусс (?), 17-Дек-24, 17:51 
> А ты никогда не думал, почему они теперь "бывшие"?

Потому что их задолбало копаться в той... кодовой базе.
И они решили сделать свое, но учитывая ошибки GnuPG.

Ответить | Правка | Наверх | Cообщить модератору

82. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (37), 17-Дек-24, 22:41 
в своей то помойке куда приятней ковыряться...
Ответить | Правка | Наверх | Cообщить модератору

48. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от fuggy (ok), 17-Дек-24, 16:56 
Такое ощущение что новости специально пишут ради упоминания "сделано на Rust". И после этого происходит перепись растохейтеров, в то время как все крупные компании и специалисты по безопасности продолжают писать проекты и радоваться отсутствию уязвимостей с указателями.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

55. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (55), 17-Дек-24, 17:47 
> Такое ощущение что новости специально пишут ради упоминания

Нет конечно. Новость как новость.
Тут "Код написан на языке Rust и распространяется под лицензией GPLv2+."
В соседней про гиперленд "Код написан на языке С++ и распространяется под лицензией BSD."
Еще чуть раньше (миракл) "Код проекта написан на языке C++ и распространяется под лицензией GPLv3."
Даже шаблон одинаковый.

Но у местной публики при упоминании "раста" начинается форменное помешательство.

> продолжают писать проекты

Так это же писать нужно)))

Ответить | Правка | Наверх | Cообщить модератору

67. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (58), 17-Дек-24, 19:02 
Потому что раст жрёт память и статически линкует. А ещё постоянно пополняется новыми API, потому что выясняется, что старые API оказались в который уже раз плохо спроектированы. Очевидно, что на таком языке можно написать что-то memory-safe, но юзабельное и supply-chain-safe - никогда. А значит ффтопку его со всеми поделками на нём.
Ответить | Правка | Наверх | Cообщить модератору

74. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 20:56 
> Потому что раст жрёт память

Раст занимает сравнимо с сишкой на любой софтине больше хелловорда.
При этом позволяет на порядок больше из коробки.
То что рукоопые мейнтейнеры не научились его готовить - это не проблема раста.

> и статически линкует.

Раст умеет линковаться динамически. Проблема в том, что все либы в линуксе пока что сишные. А линковать к ним просто убивает весь смысл софта на расте - проблема в любой из них будет проблемой всей софтины.

> А ещё постоянно пополняется новыми API, потому что выясняется,
> что старые API оказались в который уже раз плохо спроектированы.

А вот давайте примеры плохих АПИ. (сейчас выяснится что вы их предоставить не в состоянии)))
Раст пополняется новыми апи потому что развивается, в отличие от.

Ответить | Правка | Наверх | Cообщить модератору

99. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (97), 18-Дек-24, 03:13 
>Раст умеет линковаться динамически. Проблема в том, что все либы в линуксе пока что сишные.

То есть, в теории, растоплагины к растопрограмме можно написать с не сишным апи/аби?

Ответить | Правка | Наверх | Cообщить модератору

92. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (92), 18-Дек-24, 01:08 
>А значит ффтопку его со всеми поделками на нём.

Ты для себя так решил - превосходно!
Но меня всегда поражает однобокость глобальных критиков! Неужели им не хватает мозгов осознать, что у других людей могут быть другие критерии, другая точка зрения и, соответственно, другие выводы?

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

72. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (70), 17-Дек-24, 20:33 
> Но у местной публики при упоминании "раста" начинается форменное помешательство.

В этом и вопрос.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

75. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 21:02 
> В этом и вопрос.

А, это как раз не вопрос.
У них просто тяжелейшая трава от упоминания раста в каждой сишной CVE по памяти.
Ну т.е. примерно в 80-90% CVE))).

Доходило даже до того, что достаточно было в такой новости написать что-то вроде "никогда такого не было и вот опять" вообще не упоминая раст, как ылитка погроммирования начинала заплевывать монитор желчью "при чем тут раст!!111 сишка будет жить вечно!!".

Выглядит достаточно забавно)) В каждой новости пишу что-то такое)

Ответить | Правка | Наверх | Cообщить модератору

62. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Пётрнахуевертел (?), 17-Дек-24, 18:44 
Железобеттон курите? Вот сколько бредить так можно? Какой "не вызывает доверия"? А что вызывает доверия? Вот давай чёткий пример и пояснение. Пакетная экосистема язика != сам язик.

Дайте угодаю - вашь контр аргумент будит втирать что-то про то, как пакетные манагеры дистрибутивов идту и аудит каждого пакета библиотек проводят, за упокавание которого они отвечают. Да, и сами вы же сперва читаете весь код библиотеки целиком, с учетением архитектуры, и afl++ запускаете только так, так как только из исходников всё строите.

Давай не загаситься, а реально тогда довести свою демагогию тупую до конца. Переубедите меня.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

66. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (58), 17-Дек-24, 18:59 
Daniel Kahn Gillmor вызывает доверие. Но несильно.
Ответить | Правка | Наверх | Cообщить модератору

39. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (37), 17-Дек-24, 15:34 
>Например, API не позволяет случайно экспортировать материал секретного ключа и подстраховывает от пропуска важных действий при обновлении цифровой подписи.

А можно сразу писать так, что бы в АПИ не попадали куски кода, которые могут "случайно экспортировать материал секретного ключа"?
Или это фантастика?
(сначала наговнокодят, а потом доблестно бегут бороться с ошибками)

Ответить | Правка | Наверх | Cообщить модератору

101. Скрыто модератором  +/
Сообщение от qwe (??), 18-Дек-24, 06:01 
Ответить | Правка | Наверх | Cообщить модератору

41. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (37), 17-Дек-24, 15:35 
А можно сразу писать так, что бы в АПИ не попадали куски кода, которые могут "случайно экспортировать материал секретного ключа"?
Или это фантастика?
Ответить | Правка | Наверх | Cообщить модератору

54. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от nume (ok), 17-Дек-24, 17:37 
Для приложения или библиотеки на rust - стабильный релиз, полноценность и версия 1.0 это великое достижение которое мало кому удаётся там))
Ответить | Правка | Наверх | Cообщить модератору

78. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от 12yoexpert (ok), 17-Дек-24, 21:51 
так я и подпустил веб-рукожопов на раст к своему GPG
Ответить | Правка | Наверх | Cообщить модератору

79. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 22:21 
> так я и подпустил веб-рукожопов на раст к своему GPG

лол, типа тебя кто-то будет спрашивать))
завтра правительство развитых стран выдаст указ "никаких програм от дырявых" и от сишки откажутся.

Ответить | Правка | Наверх | Cообщить модератору

80. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от senaemail (ok), 17-Дек-24, 22:30 
Сколько нерешённых задач или решённых не до конца, но почему-то постоянно берутся переписывать то что уже есть и работает.
Ответить | Правка | Наверх | Cообщить модератору

85. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (-), 17-Дек-24, 23:02 
> Сколько нерешённых задач или решённых не до конца, но почему-то постоянно берутся переписывать то что уже есть и работает.

Так оно и есть "нерешенное до конца".
Т.е - не работающее.

Есть просто плохие инструменты. Которые приводят к ошибкам, затрагивающих кучу людей.
Например Heartbleed - чтение памяти за пределами отведённого буфера наверное самая известная, но не единственная.
Ведь тысячи их (с)


Ответить | Правка | Наверх | Cообщить модератору

91. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от senaemail (ok), 17-Дек-24, 23:59 
> Есть просто плохие инструменты. Которые приводят к ошибкам, затрагивающих кучу людей.
> Например Heartbleed - чтение памяти за пределами отведённого буфера наверное самая известная,
> но не единственная.
> Ведь тысячи их (с)

Что характерно, Heartbleed был в openssl, но его на расте не переписали. Интересно почему.

Ответить | Правка | Наверх | Cообщить модератору

95. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (95), 18-Дек-24, 02:45 
Так GPG, если верить тем, кто его использует не только для красоты, как раз-таки работает из рук вон плохо. Неудивительно что за десятилетия существования он так и не получил популярности.
Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру