Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
Сообщение от opennews (??), 18-Фев-26, 23:50
Майкл Уинсер (Michael Winser), сооснователь инициативы Alpha-Omega, нацеленной на повышение безопасности открытого ПО, выступил на конференции FOSDEM 2026 с докладом, поднимающим вопрос устойчивости инфраструктуры при нынешних моделях финансирования каталогов пакетов PyPI (Python), npm (Node.js), Crates.io (Rust), RubyGems (Ruby) и Maven Central (Java). При экспоненциальном росте числа загрузок и объёма хранимых данных финансирование отмеченных каталогов практически не увеличивается, что создаёт риски нарушения их устойчивой работы и мешает развитию механизмов для выявления вредоносных пакетов и защиты от атак через зависимости... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64823
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 18-Фев-26, 23:50	+7 +/–
Ну так пусть сделают возможность сделать официальные зеркала.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #7, #17, #33, #38, #48, #53, #83

2. Сообщение от Аноним (2), 18-Фев-26, 23:51	+2 +/–
Если девупсы массово научатся хотя бы в ```RUN --mount=type=cache,target=<cachedir>```, то уже от этого объем трафика значительно сократится
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #8, #10

3. Сообщение от Аноним (9), 19-Фев-26, 00:08	–1 +/–
Хорошие цифры. Именно поэтому васяны не смогут создавать нечто подобное. Не потому что у них нет денег, а потому что они не захоят их платить.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 19-Фев-26, 00:08	+5 +/–
Проблема глубже. Нужен стабильный поток финансов. Не представляю, где его взять без принудительной монетизации (скажем, для корпораций, как сделали в докере)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9

5. Сообщение от Аноним83 (?), 19-Фев-26, 00:09	+8 +/–
Потому что модель подобного ущербная, как и паттерны использования. Дурацкие девляпсы вообще мозг не включают, работают не приходя в сознание: им надо чтобы каждый раз виртуалка с нуля создавалась и каждый раз туда вытягивала всё зависимости. Пограмисты тоже не лучше: наплодили лефтпадов на каждый чих.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #88

6. Сообщение от Аноним83 (?), 19-Фев-26, 00:11	+8 +/–
Заставить всех кешировать очень просто: нужно порезать скорость отдачи до каких то весьма неудобных значений, чтобы каждый пакет тянулся хотя бы минут 5-10, даже если он на полтора килобайта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Аноним (7), 19-Фев-26, 00:12	–1 +/–
> Ну так пусть сделают возможность сделать официальные зеркала. У нужно будет платить за содержание еще и всех зеркал? Да ты финансовый гения, я посмотрю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13

8. Сообщение от Фонтимос (?), 19-Фев-26, 00:12	+3 +/–
Девупсы лучше пусть донаты почаще отстегивают со своих барышей на инфраструктуру реп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (9), 19-Фев-26, 00:13	+/–
Сообщество™ могло бы донатить. Но оно не будет, тк "вы что?! платить?!!" Поэтому есть классный способ - подписка на услугу: "Пара баксов в месяц и получаешь доступ. Для студентов скидки." Но Cообщество™ это тоже не приемлит, тк обирают халяву. Для старых пакетов возможно подошел бы вариант с торрентом... но тут могут быть технические трубности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #12, #19, #58

10. Сообщение от q (ok), 19-Фев-26, 00:15	+/–
Проблема контейнеров в том, что они слоеные и невоспроизводимые. Если изменился нижний слой, иди пересобирай верхние. Решение -- сделать content-addressable storage на уровне отдельных файлов, как в Nix. Тогда бы и трафик экономился, потому что пришлось бы докачивать лишь отдельные файлы, а не the whole fucking layer. Но контейнерам до этого еще чесать и чесать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #80

11. Сообщение от Аноним83 (?), 19-Фев-26, 00:18	+5 +/–
Не было у нас на работе девляпса, зато был статический билдер: заходишь туда по ссш, делаешь git pull, потом git checkout и запускаешь скрипт который собирает всё минуты за 4. Ну да, просто рук не хватало туда билд агента упихать чтобы он там на тачке это сам делал... Пришёл девляпс, сделал всё по красоте: теперь там какая то виртуалка на каждый запрос билда из гуя создаётся с нуля, туда клонируется с нуля репа с исходниками гигабайт на 5, потом доставляются пакеты и потом оно начинает собиратся. Итого минут 10-15 чтобы получить тот же результат. Наверное нормальные девопсы где то есть в природе, просто их безос выкупил и держит на острове и никому не показывает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #90

12. Сообщение от Аноним (4), 19-Фев-26, 00:18	+/–
Донаты — это несерьезно. Сегодня донаты есть, а завтра — нет. Монетизация должна быть принудительная. По—хорошему, платить должны все. Речь идет об профессиональном инструменте. Студентам можно бесплатный доступ давать после верификации. Это идеальный вариант. Начать можно с корпов, их легче «прижать». В Docker Inc мудро поступили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #89

13. Сообщение от Аноним (9), 19-Фев-26, 00:18	+2 +/–
Ну, идея не лишина смысла. Это могут быть разные оганизации. Например если развернуть отдельной зеркало в ЕС или татах, то их могли бы финансировать какие-то местные объединения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #18

14. Сообщение от Аноним (15), 19-Фев-26, 00:24	–1 +/–
Можно просто ввести ограничения. Например обязательная регистрация. Тогда будет видно кто сколько качает. Но это может вызвать подгорание у идейных анонов и прочих шизокакиров. Можно поступить проще. Бесплатный анон - качаешь медленно. Зарегистрировался? Первые N гигабайт быстро, потом медленно. Хочешь всегда быстро? Вот прайс на подписки. Это бы быстро научило всяких девляпсов кешировать скачанное, разворачивать свои локальные хранилища и не наглеть. Хотя последнее мало вероятно.
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Аноним (15), 19-Фев-26, 00:31	–3 +/–
> заходишь туда по ссш И ты каждому даешь доступо по ссш? > делаешь git pull, потом git checkout Ок, а если кому-то тоже надо, то он просто ждет?)) > репа с исходниками гигабайт на 5 Репа на 5Гб собиралась 4 минуты? Обожаю байки с опеннета))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #23, #24, #26

17. Сообщение от Аноним (17), 19-Фев-26, 00:32	–2 +/–
Вот именно. Да хоть стопитсот неофициальных, ведь проблема решается элементарно криптографически, если у всех официальный самообновляемый клиент со вшитым сертификатом/публичным ключом. Как у Debian, хотя бы. Ведь, я надеюсь, там все пакеты подписаны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #47

18. Сообщение от Аноним (4), 19-Фев-26, 00:33	–2 +/–
Неправильно перекладывать ответственность на местные объединения. Платить должен тот кто качает пакеты. Принудительно. За каждый скачанный байт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #35, #49

19. Сообщение от Аноним (19), 19-Фев-26, 00:35	+6 +/–
Ты как-то странно и глупо ехиднячаешь по поводу сообщества, подразумевая что оно только берёт. При том что всё что распространяется через эти каталоги сообществом сделано и поддерживается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #21

21. Сообщение от Аноним (-), 19-Фев-26, 00:40	–7 +/–
> подразумевая что оно только берёт Если бы оно только брало, то это было бы еще терпимо. Так оно еще варежку открывает)) > При том что всё что распространяется через эти каталоги сообществом сделано Да ну! Тебе в голову не приходило, что люди, которые пишут либы, и люди, которые их качают, это два практически непересекающихся множества? > и поддерживается. Если бы оно ими поддерживалось, то самой проблемы и данной новости не было бы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от localhostadmin (ok), 19-Фев-26, 00:55	+/–
> И ты каждому даешь доступо по ссш? Его можно дать только тому, кто будет эти комманды выполнять. Или просто создать бесправного пользователя, который будет в сети иметь доступ только к тому, что надо и выполнять только нужные комманды > Репа на 5Гб собиралась 4 минуты? > Обожаю байки с опеннета)) Откуда ты знаешь, что там за репа? Может он написал какой-нибуть жирный сайтик на питоне и сделал ему обвязки на сях или расте? Тогда эти обвязки вполне могут 4 минуты собираться > Ок, а если кому-то тоже надо, то он просто ждет?)) Что ему надо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

24. Сообщение от пох. (?), 19-Фев-26, 01:12	+1 +/–
> И ты каждому даешь доступо по ссш? он еще и собранный ими КОД собирается у себя выполнять, представляешь? > Ок, а если кому-то тоже надо, то он просто ждет?)) у нас операционки - многозадачные. просто собирает свой билд рядом, в чем проблема -то? >> репа с исходниками гигабайт на 5 > Репа на 5Гб собиралась 4 минуты? если из этих гигабайтов 4 никому ненужная история за пятнадцать лет, а оставшийся один это графические элементы, десяток пдфов и два скрипта - действительно, непонятно, чего так долго-то. shallow clone это ж секретная технология с острова Безноса, кто ее узнал - назад дороги нет, только через акулий желудок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #30

25. Сообщение от пох. (?), 19-Фев-26, 01:16	–4 +/–
девляпсы не очень в этом виноваты - большинство дурацких "каталогов пакетов" не позволяют нормально создать себе один раз кэш и раздавать его при сборке. Поэтому все разваливается и нельзя исправить очепятку в хеловроте, потому что росопозор заблокировал npm, с которого нужно скачать лефтпад. Но наши специалисты уже работают над этим, мы вам непременно сообщим когда пересоберем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #32, #63

26. Сообщение от Аноним83 (?), 19-Фев-26, 01:20	+2 +/–
Каждому разработчику. Но в общем конечно да, пока было несколько человек это не было проблемой, но от девляпса ожидалось что он автоматизирует этот заход и последующие действия, а не будет динамически создавать виртуалки с нуля. Да, там реп в сумме на 5гб. Но большая часть закеширована, те ОС и пакеты не собираются каждый раз с нуля. И в оставшейся репе на пару гигов один гиг занят статическим файлом, а остальное компилится за 2,5 минуты когда есть прогретый ccache, которому естессно неоткуда взятся на динамическом билдере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #85

29. Сообщение от funny.falcon (?), 19-Фев-26, 01:27	+4 +/–
И в этом смысле решение Go выглядит довольно разумно: нет центрального репозитория, качайте каждый пакет с его git репы. А большинство реп на GitHub, который принадлежит Microsoft. В итоге, мелкомягкие оплачивают банкет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #36

30. Сообщение от Аноним83 (?), 19-Фев-26, 01:27	+/–
Да, там большая история коммитов во всех основных репах, потому они так много весят сами по себе и клонируются/разворачиваются долго. Честно говоря я планировал сделать чтобы можно было параллельно собирать, но не сделал, потратил это время на оптимизацию сборки по скорости :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #72

31. Сообщение от Аноним (34), 19-Фев-26, 01:28	+/–
Пускай корпорации и опличивают инфраструктуру, раз бесплатно пользуются трудом сообщества.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45, #75

32. Сообщение от Аноним83 (?), 19-Фев-26, 01:29	+1 +/–
Мне кажется позволяют, хоть и не в явном виде. Как минимум можно пустить их через сквид. Как максимум всякие pip/uv хламят всё скаченное в одну папку, её можно тупо по сети куда то смонтировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #61

33. Сообщение от Аноним (-), 19-Фев-26, 01:37	–2 +/–
Зачем тратить денег на создание официального зеркала, если эти же деньги можно задонатить официальному? С экономической точки зрения это имеет больше смысла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

34. Сообщение от Аноним (34), 19-Фев-26, 01:40	+1 +/–
>качайте каждый пакет с его git репы Буквально всегда так было, пока не пришли эффективные менеджеры. Это, к тому же, отчасти закрывает проблему с распространением пакетов с вирусами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #64

35. Сообщение от Fareast (ok), 19-Фев-26, 02:16	+4 +/–
вы перепутали дверь, здесь другая идеология
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #74, #86, #95

36. Сообщение от Сладкая булочка (?), 19-Фев-26, 02:54	–1 +/–
go собирается из исходников. А теперь представь как будет конечный пользователь собирать uv или numpy у себя локально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #79

37. Сообщение от Аноним (37), 19-Фев-26, 03:18	+/–
Эта проблема уже давно была решена нами: децентрализованное хранение пакетов, например отдача через торрент. Пусть авторы сами раздают свои пакеты, а каталог всего лишь хранит меда-данные и подписку целостности. А вообще цетро-помойки как такие каталоги - это зло.
Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от Аноним (38), 19-Фев-26, 03:18	–1 +/–
схренали вообще что-то должны делать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

39. Сообщение от Аноним (39), 19-Фев-26, 03:37	+/–
>189 Гбит/с >одна лишь оплата каналов связи без спонсорства Fastly составила бы около 1.8 миллионов долларов в месяц Каналы связи столько не стоят. 400 Гбит/с можно взять за 10999 евро в месяц: https://zet.net/ip-transit-prices.php В оригинальной статье, видимо, насчитали миллионов за услугу CDN, которую принято продавать по лютому оверпрайсу.
Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Fareast (ok), 19-Фев-26, 04:10	+1 +/–
Почитал комменты, мало дельных предложений, низкоуровневые хотелки противоречащие вышестоящим приоритетам open-source software не в счет, скучно...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78

42. Сообщение от Аноним (42), 19-Фев-26, 05:30	+/–
В чем проблема использовать BitTorrent?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

43. Сообщение от Аноним (43), 19-Фев-26, 06:49	+/–
Сидировать тоже мало кто будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (45), 19-Фев-26, 06:53	–1 +/–
Вроде же выделили, >138 открытых проектов получили по 10 тысяч долларов для работы над повышением безопасности.
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от Аноним (45), 19-Фев-26, 06:54	+/–
Микротранзакции наше ( не твое ), все) Конь их Heroes, получил микротрансакциями больше чем Starcraft.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

46. Сообщение от anonymous (??), 19-Фев-26, 07:18	+2 +/–
Не работает прямая скачка - переходите на p2p. Насколько я помню у FSF даже какая-то особая приблуда есть - gnunet
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (49), 19-Фев-26, 07:37	–3 +/–
> стопитсот Общее правило использования жаргона - знать, что означает. Иначе смешно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #59, #71

48. Сообщение от Аноним (49), 19-Фев-26, 07:39	+/–
Для нужных проектов зеркала поддерживают универы и провайдеры. Ненужные просто хотят денег. Но вряд ли получат - они не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

49. Сообщение от Аноним (49), 19-Фев-26, 07:40	+/–
Можно не качать. И вам придется идти работать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

50. Сообщение от jura12 (ok), 19-Фев-26, 07:45	+/–
Пусть кто чем пользуется тот сам и раздает. Не может раздавать не пользуется. Все просто.
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Аноним (51), 19-Фев-26, 08:24	+/–
К слову, не раз видел проекты, в релизах которых укладывают зависимости нужных версий, причём нередко тянут из апстрима, а не из каталогов. Насчёт crates.io - не так давно сборочные файлы для deb-пакетов Debian и производных смотрел, там тоже не всё тянут с каталога или вообще не тянут. А с librsvg ещё прикольнее, там, похоже сами мейнтейнеры втащили более 300 пакетов папочкой в файлы сборки deb-файлов https://salsa.debian.org/gnome-team/librsvg/-/tree/debian/la...
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от Хрю (?), 19-Фев-26, 08:29	+4 +/–
Сначала сделали экосистему в которой на каждый чих надо лезть в инет, а теперь плачут "а кто будет всё оплачивать" +). Забавные. Может, если сделать по человечески, то и траты упадут? А то пока дальше "дайте денег" На сайте сделать howto, как кешировать использованные пакеты, как сделать локальное зеркало для компании. Снизить канал. Бинго - все побегут это делать, трафик упадёт, и много денег не нужно будет. Но делать свой "каталог" единственным и критическим, скорее всего намного более денежно, раз так не делают. Так что идут они лесом со своими решениями ими же созданным проблем.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54, #65

53. Сообщение от Аноним (53), 19-Фев-26, 08:29	+/–
Проблему с трафиком и ДОСТУПНОСТЬЮ в разных частях многополярного мира надёжно решают официальные зеркала и цифровые подписи. Например можно сделать как в Gentoo: Официальные зеркала: * https://www.gentoo.org/downloads/mirrors/#RU Утилита для выбора самого быстрого ближайшего зеркала: * https://packages.gentoo.org/packages/app-portage/mirrorselect Система распространения публичных ключей и цифровых подписей: * https://packages.gentoo.org/categories/sec-keys * hkps://keys.gentoo.org * https://www.gentoo.org/downloads/signatures/ Утилиты для проверки целостности и цифровых подписей: * https://packages.gentoo.org/packages/app-portage/gemato * https://packages.gentoo.org/packages/app-portage/gverify Заинтересованные в репозиторих организации будут делать свои локальные зеркала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

54. Сообщение от Аноним (53), 19-Фев-26, 08:59	+3 +/–
> Сначала сделали экосистему в которой на каждый чих надо лезть в инет Это чтобы всех за яйца держать и кому надо малварь подбрасывать. За подброску малвари раньше платили и система окупалась. Теперь, видимо, малварь через прошивки к железу раздают и им платить перестали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #55

55. Сообщение от Fareast (ok), 19-Фев-26, 09:03	+1 +/–
народная поговорка: по себе людей не судят (С)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #56, #93

56. Сообщение от Аноним (53), 19-Фев-26, 09:14	+/–
Малварь не раздавал!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

57. Сообщение от Аноним (57), 19-Фев-26, 09:17	+/–
Трафик и хранение решается очень просто с ipfs и торрент технологиями Просто не храните у себя данные, храните ссылки. Делов то!
Ответить | Правка | Наверх | Cообщить модератору

58. Сообщение от Аноним (58), 19-Фев-26, 09:25	+2 +/–
"Если каждому давать - поломается кровать" Любители заявить про "донатьте" никогда не задумывались сколько именно сервисов они используют и как "пара баксов" превращается в ощутимый процент зарплаты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #91

59. Сообщение от Аноним (58), 19-Фев-26, 09:26	+1 +/–
пит буль
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

60. Сообщение от Аноним (60), 19-Фев-26, 09:41	+1 +/–
> Проблемы с финансированием > ни один из которых, судя по проведённым расчётам, не способен полностью компенсировать все затраты > введение платы [...] неизбежно приведёт к > появлению сторонних зеркал, предлагающих бесплатный доступ > стоимость создания альтернативного каталога стремится к нулю Мне одному кажется, что тут в одном параграфе прямо противоречащие друг другу заявления? Или это кривой перевод? Сперва "проблемы с финансами, денег не хватает" - и тут же "иначе появятся бесплатные зеркала" и "стоимость создания альтернытив стремится к нулю".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66, #87

61. Сообщение от пох. (?), 19-Фев-26, 09:43    Скрыто ботом-модератором	+/–
ну мы все любим, конечно, костыли и подпорочки, но если эти ребята (на самом деле были бы)  заинтересованы в уменьшении нагрузки (а не в попытках получать деньжат ничего не делая) - они могли бы что-то сделать не требующее поисков куда оно там упало и ручного копирования. Любой дистрибутив линукса позволяет делать локальные зеркала. (Не смотря на то что имеют и автоматические кэши скачанных пакетиков.) И там где нужна воспроизводимость а не каждые десять минут новое состояние - эти самые зеркала держат. А у нас лудшие умы додумались до python wheels, которые в теории можно было бы таскать вместе с проектом, но только совсем уж мамкины криптоанархисты будут такой фигней вручную страдать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

63. Сообщение от Perlovka (ok), 19-Фев-26, 09:48	+/–
>большинство дурацких "каталогов пакетов" не позволяют нормально создать себе один раз кэш и раздавать его при сборке. Виндовые "специалисты" такие специалисты. Sonatype Nexus вполне себе создает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

64. Сообщение от пох. (?), 19-Фев-26, 09:53	+/–
>>качайте каждый пакет с его git репы > Буквально всегда так было, пока не пришли эффективные менеджеры. Это, к тому > же, отчасти закрывает проблему с распространением пакетов с вирусами. наоборот, открывает невиданные доселе возможности. Потому что за солянкой из миллиарда васянских шитхабов и шитляпов с лефтпадами вообще никто не сможет уследить, ее невозможно никаким вменяемым способом отзеркалить локально и при каждой сборке ты будешь получать новую неведомую фигню. Впрочем это вы конечно до полумеры только додумались. Грамотный современный девляпс-подход предполагает raw.githubusercontent а не какие-то там еще репо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

65. Сообщение от пох. (?), 19-Фев-26, 09:58    Скрыто ботом-модератором	+/–
> Сначала сделали экосистему в которой на каждый чих надо лезть в инет, > а теперь плачут "а кто будет всё оплачивать" +). Забавные. Может, > если сделать по человечески, то и траты упадут? Ну нет, это ты вот сейчас фигню какую-то ляпнул. Во-первых, а кто делать будет - вот эти вот, программисты-на-пихоне?! Или может сообщество хруста (щас-щас-щас, уже CoC.md написали, и того гляди начнут обдумывать консептьюальный дизигн)? А во-вторых а куда потом тех кто это все "поддерживает" девать-то?! Неее, так дело не пойдет. Просто дайте денег!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

66. Сообщение от пох. (?), 19-Фев-26, 09:59	+/–
> Сперва "проблемы с финансами, денег не хватает" - и тут же "иначе > появятся бесплатные зеркала" и "стоимость создания альтернытив стремится к нулю". все правильно написано. У пацанов проблемы с финансами, денег не хватает. Им. А для тебя стоимость стремится к нулю, но придется помучаться с нескучным тулсетом нескучного йезычка потому что там старательно сделали чтоб потруднее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

71. Сообщение от Аноним (71), 19-Фев-26, 10:29	+/–
Вай-вай-вай, какие тонкости эстетики!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

72. Сообщение от Аноним (58), 19-Фев-26, 10:30	+/–
shallow clone?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #81

73. Сообщение от мелстрой (?), 19-Фев-26, 10:43	+/–
Ну
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #77

74. Сообщение от Аноним (74), 19-Фев-26, 10:45	–1 +/–
Потреблять на халяву и ничего не возврщать, как завещал борода? Да, заметно. Ответ на вопрос "что случится когда халява закончится?" вы хотя бы обдумывали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #76

75. Сообщение от Аноним (74), 19-Фев-26, 10:47	+/–
Не, ты что-то попутал. Это сообщество пользуется трудом корпораций. И вопит каждый раз когда заходит речь про монетизацию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #92

76. Сообщение от Fareast (ok), 19-Фев-26, 11:12	+1 +/–
> Потреблять на халяву и ничего не возврщать, как завещал борода? > Да, заметно. > Ответ на вопрос "что случится когда халява закончится?" вы хотя бы обдумывали? Вы путаете "халяву" со свободой. Столлман завещал не "брать бесплатно", а владеть тем, что ты используешь. Свободное ПО — это не про ценник в ноль долларов, а про право контролировать программу на своём компьютере, изучать её и исправлять. Что касается "ничего не возвращать" — Open Source живёт за счёт вклада крупнейших корпораций и тысяч волонтёров именно потому, что это выгодно всем участникам, а не из-за альтруизма.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

77. Сообщение от Аноним (77), 19-Фев-26, 11:38	+/–
Контра качается, Лавеха мутится. На мази. Четка. Л**шки покупают скины, За 150k. Четка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

78. Сообщение от Fareast (ok), 19-Фев-26, 11:39	+/–
Комментарии можно разделить на несколько групп мнений: критики корпоративного паразитизма, скептики безопасности, сторонники «смерти старой модели», прагматики-инфраструктурщики и ироничные наблюдатели. По мне так обычная жизненная ситуация не имеющая отношение к самой модели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

79. Сообщение от Аноним (79), 19-Фев-26, 11:43	+/–
>А теперь представь как будет конечный пользователь собирать uv или numpy у себя локально. These are generic installation instructions.    The `configure' shell script attempts to guess correct values for various system-dependent variables used during compilation.  It uses those values to create a `Makefile' in each directory of the package. It may also create one or more `.h' files containing system-dependent definitions.  Finally, it creates a shell script `config.status' that you can run in the future to recreate the current configuration, a file `config.cache' that saves the results of its tests to speed up reconfiguring, and a file `config.log' containing compiler output (useful mainly for debugging `configure').    If you need to do unusual things to compile the package, please try to figure out how `configure' could check whether to do them, and mail diffs or instructions to the address given in the `README' so they can be considered for the next release.  If at some point `config.cache' contains results you don't want to keep, you may remove or edit it.    The file `configure.in' is used to create `configure' by a program called `autoconf'.  You only need `configure.in' if you want to change it or regenerate `configure' using a newer version of `autoconf'. The simplest way to compile this package is:   1. `cd' to the directory containing the package's source code and type      `./configure' to configure the package for your system.  If you're      using `csh' on an old version of System V, you might need to type      `sh ./configure' instead to prevent `csh' from trying to execute      `configure' itself.      Running `configure' takes awhile.  While running, it prints some      messages telling which features it is checking for.   2. Type `make' to compile the package.   3. Optionally, type `make check' to run any self-tests that come with      the package.   4. Type `make install' to install the programs and any data files and      documentation.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

80. Сообщение от Хру (?), 19-Фев-26, 11:51	+/–
Беда с этим CAS в том, что на множестве небольших файлов у тебя количество индекс-блобов порвет все разумные пределы. Тестирую вот как раз решение для кеширования с поиощью Kopia
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

81. Сообщение от Хру (?), 19-Фев-26, 11:55	+/–
Внезапно, и такое бывает - например как любимая всеми Гугля жмотит включить где надо git-lfs, чтобы не качать 150% от фактически получаемого при скачивании репа (по траф). И это Гугол, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

83. Сообщение от Bob (??), 19-Фев-26, 11:55	+/–
А разве её нет? Пусть основной репозиторий держат на гитхабе и загрузки оттуда дают, зеркалируя со своего локального зеркала. А по хорошему - пора в менеджеры пакетов прикручивать p2p как у винды с обновами. Торрент клиент в любом linux дистре должен быть с коробки, как и качалка. Консольные. Например aria2c. Процесс для обнов ОС и/или софта: кинул на сервак свои пакеты / инфу получил ответ: новое / нужное и hash по hash в p2p роемся ближайше, вокруг
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

84. Сообщение от Аноним (84), 19-Фев-26, 11:56    Скрыто ботом-модератором	+/–
Пацаны я выяснил русским денег не дадут!
Ответить | Правка | Наверх | Cообщить модератору

85. Сообщение от Хру (?), 19-Фев-26, 11:56	+/–
Проблема в постановке задачи. Сделать шаблон виртуалки раз в сутки создаваемый, и навесить автоскейлинг. Ну или статический пул держать, если прям жмет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

86. Сообщение от Аноним (86), 19-Фев-26, 11:56	+/–
Платить должен тот, чьи пакеты качают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

87. Сообщение от Аноним (-), 19-Фев-26, 11:57	+/–
> Сперва "проблемы с финансами, денег не хватает" - и тут же "иначе > появятся бесплатные зеркала" и "стоимость создания альтернытив стремится к нулю". Вот пусть и появляются. Если кто может дешевле и лучше - "и пусть победит сильнейший". А без PyPI (Python), npm (Node.js), Crates.io (Rust), RubyGems (Ruby) и Maven Central (Java) - лично я как-нибудь переживу. Поэтому - не дам за это все ни цента.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

88. Сообщение от Bob (??), 19-Фев-26, 11:58	+/–
Надо просто прикрутить p2p, что в докер. Что в менеджер пакетов Linux. Что на Github. hash совпал? - качаем, братишка)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

89. Сообщение от Аноним (89), 19-Фев-26, 12:02	+/–
А теперь сделай так, что бы твои действия соотносились с твоим словами! Иначе кто ты получается? Поли... ...! Быстро взял свою ЗП и спустил на сообщество! Мозила "оценит" твой вклад!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

90. Сообщение от Bob (??), 19-Фев-26, 12:04	+/–
Тут нужен p2p, чтобы всасывало всё тупо с соседних машин. Даже offline (образов виртуалок). В торрентах это ретрекер,на уровне провайдера, вродь. Но вполне и по стране запилить можно. когда бредятины Яровой не было - провайдеры частенько зеркалировали репы популярных дистров, тупо у себя в локалке. А дальше и в RU-IX. А потом даже в СНГ. И при бомжах скоростях на Global инет лет 15-20, вполне можно было тащить 100+ мегабит по локалке / стране / снг. как и ворох другой всякой всячины)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

91. Сообщение от Аноним (89), 19-Фев-26, 12:04    Скрыто ботом-модератором	+/–
Просто у них нету семьи и родных! Кроме как потратить на подписки они ничего не способны! Ну а те кто гордится этим - совсем ё...Ся!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

92. Сообщение от Аноним (89), 19-Фев-26, 12:10	+/–
А теперь быстро перешёл от слов к делу! Возьми и заплати! Либо не неси твою чушь про деньги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

93. Сообщение от Жироватт (ok), 19-Фев-26, 12:21	+/–
Таки что вы говог'хите, г'ходной! Таки вот вам бесплатно самый людший пейджег'х! Таки он пг'хосто г'хаботает и не делает нам нэг'хвы!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

94. Сообщение от Аноним (94), 19-Фев-26, 12:39	+/–
> Проблемы с финансированием ... Crates.io (Rust) ... Опять? Было же уже такое.
Ответить | Правка | Наверх | Cообщить модератору

95. Сообщение от Аноним (95), 19-Фев-26, 13:15	+/–
Это ты что-то запутался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

96. Сообщение от Двачер (?), 19-Фев-26, 13:35    Скрыто ботом-модератором	+/–
>  ipfs говорили уже?, там вроде были зеркала  много чего. Религия не позволяет? > торренты.... Проблема p2p решений в том, что постоянно много кто коммитит новые версии своих говнопакетов, и децентрализованные системы слишком медленные, увы...
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема