p
И заменить через 5 лет точно не получится для большинства языков. Это будет выбор между разными дырявыми версиями.
Size: a a a
2021 August 22
АП
Окей, не пять лет. Вышла уязвимость. К актуальной версии. Есть патч к библиотеке и изменения не касаются api/abi. Но, пока разработчик на go/rust не пересоберет - обновить нельзя. В общем, у статической сборки свои преимущества, у динамической свои, но как-то мне этот монолит не нравится.
W
Если честно, уже как докапывание звучит)
p
Ну у вас же там ci/cd вот это всё. Один коммит меняющий версию зависимости и проблема решена.
IS
Потом в саппорт приходят письма типа "товарищи ученые, у нас в подвале что-то гудит".
А это клиент шаловливыми ручками наменял DLL в продукте, да еще и язык перепутал)
А это клиент шаловливыми ручками наменял DLL в продукте, да еще и язык перепутал)
IS
Думаю речь о чужих решениях, а не in-house.
PD
Хм, подложил новую библиотеку, прогнал тесты. В случае проблем - откатил.
В чем проблемы?
В чем проблемы?
p
Её всё равно должен кто-то собрать :)
p
В любом случае идти на поклон к вендору
W
А мы сейчас про "заменил либу" в своём софте, или чужом?
А то тут у нас тесты и ci, а тут - ужос, надо ждать разраба и пересобирать)
А то тут у нас тесты и ci, а тут - ужос, надо ждать разраба и пересобирать)
IS
Какие тесты? Александр предлагал DLL в продуктах типа MS Word менять.
PD
Хм, даже если в чужом, почему нет тестов?
Если это какой-нибудь энтерпрайз, то у него свои тесты на поставленные решения. И если вендор отвалился или тупит, то принятие решение о замене какой-нибудь библиотеки на свежую минорную версию с пофиксенным критическим security багом - совершенно нормальное.
Если это какой-нибудь энтерпрайз, то у него свои тесты на поставленные решения. И если вендор отвалился или тупит, то принятие решение о замене какой-нибудь библиотеки на свежую минорную версию с пофиксенным критическим security багом - совершенно нормальное.
PD
Ну, в MS Word - не знаю, зачем оно может быть нужно. А в каком-нибудь публичном CMS - вполне нормально и правильно.
p
Тут боль в том, что тесты тебя не спасут.
PD
Ну, вообще это реальные кейсы и вполне спасают )
p
от memory corruption?
PD
Я не вижу разницы между обновлением библиотеки продукта или обновлением системных библиотек или версии докера.
Все равно нужно перетестировать.
Все равно нужно перетестировать.
PD
А при чем тут memory corruption?
p
Потому что подгруженная dso может работать, но вполне себе портить память или подтекать. И делать она это будет, например, только при использовании в нескольких потоках.
PD
Ну вот это тесты и эксплуатация и покажет.
Но минорная версия с пропатченным security bug - вряд ли.
А если это jar - тем более вряд ли.
И даже подтекание памяти может быть лучше, нежели отзыв PCI DSS )
Но минорная версия с пропатченным security bug - вряд ли.
А если это jar - тем более вряд ли.
И даже подтекание памяти может быть лучше, нежели отзыв PCI DSS )