AZ
Так отставать будут только в Федоре скорей с таким подходом и если есть security issue то быстрей в апстриме пофиксят, соберут и выкатят апдейт.
А что делать, если не фиксят в апстриме?
Size: a a a
2020 March 27
A
А что делать, если не фиксят в апстриме?
Пока только не фиксят в федоре.
AZ
Дропать приложение?
AZ
Пока только не фиксят в федоре.
Это потому что софт написан недавно и мейнтейнеры не померли/не сдали дипломы :) что потом делать?
AZ
И кстати прикольно, я не знал, что динамическая линковка не в почете у Раста
AZ
В rust можно сказать что вообще нет такого понятия как динамическая линковка. Точней технически можно, но на деле никто не использует и не будет. Потому что ЯП изначально проектировался так. Бинарь получится точь такой же если с апстрим форматом соберу и с тем что в федоре люди которыми делать нечего будут собирать 100500 крейтов для того же приложения. А Си софт можно динамически собирать со всеми вытекающими плюсами.
И кстати эта проблема в будущем скорее всего будет и у с/с++ программ. Она уже начинает появляться с приходом относительно удобного пакетного менеджера
A
Это потому что софт написан недавно и мейнтейнеры не померли/не сдали дипломы :) что потом делать?
Почему ты думаешь что всё это не порешается в апстриме?
https://blog.rust-lang.org/2019/09/30/Security-advisory-for-cargo.html
An audit of existing crates published to crates.io using the package key has been performed and there is no evidence that this vulnerability has been exploited in the wild. Our audit only covers the crates currently published on crates.io: if you notice crates exploiting this vulnerability in the future please don't hesitate to email security@rust-lang.org in accordance with our security policy.
https://blog.rust-lang.org/2019/09/30/Security-advisory-for-cargo.html
An audit of existing crates published to crates.io using the package key has been performed and there is no evidence that this vulnerability has been exploited in the wild. Our audit only covers the crates currently published on crates.io: if you notice crates exploiting this vulnerability in the future please don't hesitate to email security@rust-lang.org in accordance with our security policy.
AZ
Почему ты думаешь что всё это не порешается в апстриме?
https://blog.rust-lang.org/2019/09/30/Security-advisory-for-cargo.html
An audit of existing crates published to crates.io using the package key has been performed and there is no evidence that this vulnerability has been exploited in the wild. Our audit only covers the crates currently published on crates.io: if you notice crates exploiting this vulnerability in the future please don't hesitate to email security@rust-lang.org in accordance with our security policy.
https://blog.rust-lang.org/2019/09/30/Security-advisory-for-cargo.html
An audit of existing crates published to crates.io using the package key has been performed and there is no evidence that this vulnerability has been exploited in the wild. Our audit only covers the crates currently published on crates.io: if you notice crates exploiting this vulnerability in the future please don't hesitate to email security@rust-lang.org in accordance with our security policy.
Ровно по таким же причинам, как для других яп это не фиксится
AZ
Раст в этом плане не является чем-то особенным
A
Раст в этом плане не является чем-то особенным
Так и идиотизм пакетить каждый крейт руками тоже не является чем-то особенным. Если есть меинтенер раст приложения и если нужно бэкпортировать фикс, он его бэкпортирует. А в новом крейте не может быть уязвимости, когда в старом не было? Бред же.
AZ
Так и идиотизм пакетить каждый крейт руками тоже не является чем-то особенным. Если есть меинтенер раст приложения и если нужно бэкпортировать фикс, он его бэкпортирует. А в новом крейте не может быть уязвимости, когда в старом не было? Бред же.
Ну такая же политика сейчас у нас в федоре
AZ
Всегда стараемся держать только свежие версии, потому что в них исправления и бла-бла-бла. Почему библиотек всех это касается, а крейтов нет?
AZ
Тут уж надо определиться, на каком стуле сидеть
A
Ну такая же политика сейчас у нас в федоре
Всё же скорей ты не представляешь и если бы ты мог сравнивать и сам прочуствовать что такое rust и go и что на эту обезьянью работу уходить больше времени и сил чем у самого разработчика на написание приложения. Армию наймешь кто будет бампать версии и отправлять на ревью по 100500 compat пакетов в тормозную RHBZ которая открывается по три часа? Платить будешь им или как завлекать посоветуешь?
A
И опять же, если ты еще не понял. Вышла новая версия приложения, там супер важный фикс. Ты начинаешь собирать его в федоре, тут выясняется что тебе нужно еще обновить 100500 крейтов и создать 500 compat пакетов. Тем временем апстримный формат и пакет уже давно собран и готов. Game over.
AZ
Всё же скорей ты не представляешь и если бы ты мог сравнивать и сам прочуствовать что такое rust и go и что на эту обезьянью работу уходить больше времени и сил чем у самого разработчика на написание приложения. Армию наймешь кто будет бампать версии и отправлять на ревью по 100500 compat пакетов в тормозную RHBZ которая открывается по три часа? Платить будешь им или как завлекать посоветуешь?
Смотри, я прекрасно понимаю, что такое пакетировать библиотеки и насколько это больно (я пакетировал и пакетирую либы в плюсовый пакетный менеджер, хоть и не занимаюсь мейнтейнерством самих приложений, которые эти зависимости используют) - я прекрасно осознаю, насколько это обезьянья работа.
AZ
Так может проблема в том, что создание пакета для крейта занимает так много времени?
A
Так может проблема в том, что создание пакета для крейта занимает так много времени?
Может. Так видно хотя бы на горизонте чтобы ее кто-то решал или собирался хотя бы? Нет? Тогда может пока нужно сменить хотя бы временно политику пакования раст/go софта?
AZ
Я повторю свою мысль - Раст и Го ничем не особенны в этом плане. Тот же JS имеет такие же проблемы. И С./C++ программы, я
надеюсь и очень буду рад, тоже будут иметь такие же проблемы