AZ
Нет, каждая зависимость — это потнциально всё равно костыльный код, который кто-то может внезапно забросить.
ну а ты конечно же напишешь лучше?
Size: a a a
2020 January 06
AZ
И получится ситуация как в JS, когда одна зависимость на пять строк сломалась — вся экосистема полетела.
Это потому что не должно быть возможности удалять пакеты
AZ
разного уровня проблемы
EG
Это потому что не должно быть возможности удалять пакеты
Это неважно.
Если где-то в твоём дереве зависимостей появится уязвимость, а владельца репозитория переехал автобус — всё плохо.
Если где-то в твоём дереве зависимостей появится уязвимость, а владельца репозитория переехал автобус — всё плохо.
EG
ну хотя с какими фичами собирать. если с умолчательными, то 45 зависимостей получается. если со всеми то за 60 уходит
29 зависимостей на моей системе с дефолтами.
AZ
Это неважно.
Если где-то в твоём дереве зависимостей появится уязвимость, а владельца репозитория переехал автобус — всё плохо.
Если где-то в твоём дереве зависимостей появится уязвимость, а владельца репозитория переехал автобус — всё плохо.
ну тогда уберешь зависимость, вч ем проблема?
EG
ну тогда уберешь зависимость, вч ем проблема?
Как я её уберу, если она косвенная?
AZ
"а вдруг в серде будет проблема - пишем своё серде" - норм логика?
AZ
Как я её уберу, если она косвенная?
верно, автор этой либы убирает уязвимость и чинит во всей экосистеме которая от него зависит
AZ
все довольны
EG
верно, автор этой либы убирает уязвимость и чинит во всей экосистеме которая от него зависит
Не убирает, его переехал автобус.
AZ
Не убирает, его переехал автобус.
у тебя автобус должен переехать сразу двух людей
AL
Как я её уберу, если она косвенная?
пинганешь автора той твоей зависимости, что на теперь неподдерживаемую полагается
EG
у тебя автобус должен переехать сразу двух людей
Нет, всего одного, если эта зависимость используется в многих местах.
AZ
того кто запилил уязвимость, и того кто его юзает и кто является твоей промежуточной зависимостью
EG
Тогда мне придётся пинговать кучу людей, и за этим ещё как-то следить.
AZ
смотри
AZ
есть ты-реквест-гипер
EG
И самое главное, что на самом деле все эти зависимости не нужны, чтобы послать HTTP-запрос.
AZ
Проблему нашли в гипере. Если перехало автора реквеста то автор гипера сделает патч-версиюкоторая зафиксит проблема