forum.opennet.ru

Составление сообщения

Исходное сообщение

"Разработчики bzip2 потеряли контроль над доменом bzip.org"
Отправлено myhand, 11-Авг-18 13:52

> нет, последнее время они держат гит-репы - вероятнее всего, изначально клоны оригиналов
> (не проверял), с напиханными в них своими мусорными деталями.
Может вы от греха подальше сперва все-таки проверите, прежде чем объяснять мейнтейнеру Дебиан что он что-то там "напихивает"?
В orig ничего не пихается.  Единственная известная мне причина модификации оригинального архива - если там с лицензиями проблема, чтобы в non-free не попасть.  При этом, как минимум, из архива должны _выпихивать_ нечто, а не наоборот.
> почти разумный подход был у rpm, когда ничего никогда не переименовывалось,
> архив запаковывался внутрь src.rpm (и можно signed) и был с ним
Ничего разумного в потакании помойке нету.  Если можно навести какую-никакую стандартизацию, то почему нет?
> попробуй потом угадай из чего
Зачем гадать?  apt-cache search, apt-get download...  Какую уж такую страшную проблему составляет преобразование "-" в "_" - теряюсь в догадках.
>> Ну, оно ж туда не откуда-нибудь попадает, а от мейнтейнера пакета.
> а это кто? Вот и я говорю - студент с излишком свободного времени, осиливший написать rules.
> Или поправить две строки в брошенном предыдущим (поскольку тот выпустился и нанялся
> в орацле), что чаще теперь бывает. Скан паспорта и резюме с
> пяти прошлых мест работы у кандидатов не требуют.
Знаний стандартов проекта покуда таки требуют.  Плюс еще ftp-masterы есть.  Даже если у вас есть право загрузить пакет - не значит, что он попадет в архив.
>> А зачем людям надо работу машины делать?  Если апстрим подписывает как-то архив или хоть
>> чексуммы выкладывает
> то достаточно захватить его сайт, чтобы выложить что-то свое. Чексуммы пересчитает скрипт
> в недрах сайта, "зачем работу машины делать".
Вы не поняли.  Есть какой-то проект.  Никто не мешает ему выпускать релизы, подписывая их открытым ключем, например.  Если апстрим такое делает - у мейнтейнеров Debian есть штатные средства для автоматической проверки целостности при импорте архива.   Если апстрим не чешется, чтобы такую возможность своим пользователям предоставить - у них ее и не будет, включая Debian.
> хрен-с-горы подписал, всьо чотко. Это ж не репо дистрибутива, где ключей один-два-три и не
> больше, и там действительно возникают вопросы, если подписать другим. Это интернет,
> где подписей больше чем времени на их детальные проверки
И с этим есть решение.  Есть Web of Trust Дебиана.  Ничто не мешает апстриму стать туда включенным.
Ну а если ничего подобного авторы софтины не делают - да, действительно, возможны все прелести с захватом сайта и т.д.  Бдительных мейнтейнеров на безалаберных авторов софта не напасешься, увы.

Исходное сообщение
"Разработчики bzip2 потеряли контроль над доменом bzip.org" Отправлено myhand, 11-Авг-18 13:52
> нет, последнее время они держат гит-репы - вероятнее всего, изначально клоны оригиналов > (не проверял), с напиханными в них своими мусорными деталями. Может вы от греха подальше сперва все-таки проверите, прежде чем объяснять мейнтейнеру Дебиан что он что-то там "напихивает"? В orig ничего не пихается. Единственная известная мне причина модификации оригинального архива - если там с лицензиями проблема, чтобы в non-free не попасть. При этом, как минимум, из архива должны _выпихивать_ нечто, а не наоборот. > почти разумный подход был у rpm, когда ничего никогда не переименовывалось, > архив запаковывался внутрь src.rpm (и можно signed) и был с ним Ничего разумного в потакании помойке нету. Если можно навести какую-никакую стандартизацию, то почему нет? > попробуй потом угадай из чего Зачем гадать? apt-cache search, apt-get download... Какую уж такую страшную проблему составляет преобразование "-" в "_" - теряюсь в догадках. >> Ну, оно ж туда не откуда-нибудь попадает, а от мейнтейнера пакета. > а это кто? Вот и я говорю - студент с излишком свободного времени, осиливший написать rules. > Или поправить две строки в брошенном предыдущим (поскольку тот выпустился и нанялся > в орацле), что чаще теперь бывает. Скан паспорта и резюме с > пяти прошлых мест работы у кандидатов не требуют. Знаний стандартов проекта покуда таки требуют. Плюс еще ftp-masterы есть. Даже если у вас есть право загрузить пакет - не значит, что он попадет в архив. >> А зачем людям надо работу машины делать? Если апстрим подписывает как-то архив или хоть >> чексуммы выкладывает > то достаточно захватить его сайт, чтобы выложить что-то свое. Чексуммы пересчитает скрипт > в недрах сайта, "зачем работу машины делать". Вы не поняли. Есть какой-то проект. Никто не мешает ему выпускать релизы, подписывая их открытым ключем, например. Если апстрим такое делает - у мейнтейнеров Debian есть штатные средства для автоматической проверки целостности при импорте архива. Если апстрим не чешется, чтобы такую возможность своим пользователям предоставить - у них ее и не будет, включая Debian. > хрен-с-горы подписал, всьо чотко. Это ж не репо дистрибутива, где ключей один-два-три и не > больше, и там действительно возникают вопросы, если подписать другим. Это интернет, > где подписей больше чем времени на их детальные проверки И с этим есть решение. Есть Web of Trust Дебиана. Ничто не мешает апстриму стать туда включенным. Ну а если ничего подобного авторы софтины не делают - да, действительно, возможны все прелести с захватом сайта и т.д. Бдительных мейнтейнеров на безалаберных авторов софта не напасешься, увы.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> нет, последнее время они держат гит-репы - вероятнее всего, изначально клоны оригиналов 
>> (не проверял), с напиханными в них своими мусорными деталями.

> Может вы от греха подальше сперва все-таки проверите, прежде чем объяснять мейнтейнеру 
> Дебиан что он что-то там "напихивает"?

> В orig ничего не пихается.  Единственная известная мне причина модификации оригинального 
> архива - если там с лицензиями проблема, чтобы в non-free не 
> попасть.  При этом, как минимум, из архива должны _выпихивать_ нечто, 
> а не наоборот.

>> почти разумный подход был у rpm, когда ничего никогда не переименовывалось, 
>> архив запаковывался внутрь src.rpm (и можно signed) и был с ним

> Ничего разумного в потакании помойке нету.  Если можно навести какую-никакую стандартизацию, 
> то почему нет?

>> попробуй потом угадай из чего

> Зачем гадать?  apt-cache search, apt-get download...  Какую уж такую страшную 
> проблему составляет преобразование "-" в "_" - теряюсь в догадках.

>>> Ну, оно ж туда не откуда-нибудь попадает, а от мейнтейнера пакета.
>> а это кто? Вот и я говорю - студент с излишком свободного времени, осиливший написать rules.
>> Или поправить две строки в брошенном предыдущим (поскольку тот выпустился и нанялся 
>> в орацле), что чаще теперь бывает. Скан паспорта и резюме с 
>> пяти прошлых мест работы у кандидатов не требуют.

> Знаний стандартов проекта покуда таки требуют.  Плюс еще ftp-masterы есть.  
> Даже если у вас есть право загрузить пакет - не значит, 
> что он попадет в архив.

>>> А зачем людям надо работу машины делать?  Если апстрим подписывает как-то архив или хоть 
>>> чексуммы выкладывает 
>> то достаточно захватить его сайт, чтобы выложить что-то свое. Чексуммы пересчитает скрипт 
>> в недрах сайта, "зачем работу машины делать".

> Вы не поняли.  Есть какой-то проект.  Никто не мешает ему 
> выпускать релизы, подписывая их открытым ключем, например.  Если апстрим такое 
> делает - у мейнтейнеров Debian есть штатные средства для автоматической проверки 
> целостности при импорте архива.   Если апстрим не чешется, чтобы 
> такую возможность своим пользователям предоставить - у них ее и не 
> будет, включая Debian.

>> хрен-с-горы подписал, всьо чотко. Это ж не репо дистрибутива, где ключей один-два-три и не 
>> больше, и там действительно возникают вопросы, если подписать другим. Это интернет, 
>> где подписей больше чем времени на их детальные проверки

> И с этим есть решение.  Есть Web of Trust Дебиана.  
> Ничто не мешает апстриму стать туда включенным.

> Ну а если ничего подобного авторы софтины не делают - да, действительно, 
> возможны все прелести с захватом сайта и т.д.  Бдительных мейнтейнеров 
> на безалаберных авторов софта не напасешься, увы.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру