The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Первый стабильный релиз PGP-инструментария sq от проекта Sequoia"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Первый стабильный релиз PGP-инструментария sq от проекта Sequoia"  +/
Сообщение от opennews (??), 17-Дек-24, 11:23 
После семи лет разработки сформирован релиз инструментарий командной строки sq 1.0, предназначенного для работы с артефактами  OpenPGP. Инструментарий подготовлен проектом Sequoia PGP, также развивающим  библиотеку функций с реализацией стандарта OpenPGP (RFC-4880). Выпуск 1.0 отмечен как первый стабильный релиз проекта, означающий стабилизацию кодовой базы и прекращение внесение изменений, нарушающих совместимость. Код написан на языке Rust и распространяется под лицензией GPLv2+...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62421

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +4 +/
Сообщение от Аноним (1), 17-Дек-24, 11:23 
ls -lh /usr/bin/*gpg* | grep -v sq

-rwxr-xr-x 1 root root 1.2M ноя  1 14:49 /usr/bin/gpg
lrwxrwxrwx 1 root root    3 ноя  1 14:49 /usr/bin/gpg2 -> gpg
-rwxr-xr-x 1 root root 414K ноя  1 14:49 /usr/bin/gpg-agent
-rwxr-xr-x 1 root root 947K ноя  1 14:49 /usr/bin/gpgcompose
-rwxr-xr-x 1 root root 159K ноя  1 14:49 /usr/bin/gpgconf
-rwxr-xr-x 1 root root 143K ноя  1 14:49 /usr/bin/gpg-connect-agent
-rwxr-xr-x 1 root root  35K ноя  1 14:49 /usr/bin/gpgparsemail
-rwxr-xr-x 1 root root 572K ноя  1 14:49 /usr/bin/gpgsm
-rwxr-xr-x 1 root root  79K ноя  1 14:49 /usr/bin/gpgsplit
-rwxr-xr-x 1 root root 136K ноя  1 14:49 /usr/bin/gpgtar
-rwxr-xr-x 1 root root 479K ноя  1 14:49 /usr/bin/gpgv
-rwxr-xr-x 1 root root 191K ноя  1 14:49 /usr/bin/gpg-wks-server
-rwxr-xr-x 1 root root 3.5K ноя  1 14:49 /usr/bin/gpg-zip
-rwxr-xr-x 1 root root 3.0K окт 31 20:19 /usr/bin/migrate-pubring-from-classic-gpg

ls -lh /usr/bin/*sq
-rwxr-xr-x 1 root root 11M ноя 30 15:09 /usr/bin/gpg-sq
-rwxr-xr-x 1 root root 21M ноя 29 19:29 /usr/bin/sq

Вся суть растоподелок.

Ответить | Правка | Наверх | Cообщить модератору

9. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –2 +/
Сообщение от Проходил мимо (?), 17-Дек-24, 12:05 
Открой для себя команду strip, юный падаван.
Ответить | Правка | Наверх | Cообщить модератору

12. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Anony (?), 17-Дек-24, 12:16 
Для растовых программ strip почти не помогает, только upx
Ответить | Правка | Наверх | Cообщить модератору

31. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Проходил мимо (?), 17-Дек-24, 14:00 
Да вы что! А мужики-то и не знали!
Наверное это чудо, что у меня растовые программы после стрипа ужимаются с 13 и более Мб до нескольких сот килобайт.
Ответить | Правка | Наверх | Cообщить модератору

47. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –3 +/
Сообщение от Аноним (47), 17-Дек-24, 16:54 
А проверка выходов за границы массивов не исчезает?
Ответить | Правка | Наверх | Cообщить модератору

102. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +3 +/
Сообщение от Проходил мимо (?), 18-Дек-24, 08:18 
Вообще strip удаляет отладочную информацию. Но лучше один раз проверить, верно?

Тест 1:
fn  main()
{
    //  Породим массив
    let a: [i32;4] = [ 0, 1, 2, 3 ];
    println!("Элемент по индексу 4 = {}", a[4] );
}
Результат: ошибка при компиляции
error: this operation will panic at runtime
--> src/main.rs:5:43
  |
5 |     println!("Элемент по индексу 4 = {}", a[4] );
  |                                           ^^^^ index out of bounds: the length is 4 but the index is 4
  |
  = note: `#[deny(unconditional_panic)]` on by default

error: could not compile `rust_array_example` (bin "rust_array_example") due to previous error

Тест 2:
fn  main()
{
    //  Породим массив
    let a: [i32;4] = [ 0, 1, 2, 3 ];
    for i in 0..5
    {
        println!("Элемент по индексу {} = {}", i, a[i] );
    }
}
Результат:
$ ./target/debug/rust_array_example
Элемент по индексу 0 = 0
Элемент по индексу 1 = 1
Элемент по индексу 2 = 2
Элемент по индексу 3 = 3
thread 'main' panicked at src/main.rs:7:51:
index out of bounds: the len is 4 but the index is 4
note: run with `RUST_BACKTRACE=1` environment variable to display a backtrace

$ du -s -h ./target/debug/rust_array_example
13M     ./target/debug/rust_array_example
Пробуем сделать strip
$ strip ./target/debug/rust_array_example
$ du -s -h ./target/debug/rust_array_example
376K    ./target/debug/rust_array_example

Повторное тестирование:
Элемент по индексу 0 = 0
Элемент по индексу 1 = 1
Элемент по индексу 2 = 2
Элемент по индексу 3 = 3
thread 'main' panicked at src/main.rs:7:51:
index out of bounds: the len is 4 but the index is 4
note: run with `RUST_BACKTRACE=1` environment variable to display a backtrace

Вывод: удаление отладочной информации никак не влияет не проверку выхода за границы массива

Ответить | Правка | Наверх | Cообщить модератору

147. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от luid (ok), 19-Дек-24, 13:56 
> Вывод: удаление отладочной информации никак не влияет не проверку выхода за границы массива

Как так получилось, что у вас отсутствуют буквально _базовые_ знания, для чего нужна отладочная информация.

Ответить | Правка | Наверх | Cообщить модератору

32. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Проходил мимо (?), 17-Дек-24, 14:07 
Специально для вас только что скомпилировал одну их простеньких программ и показываю эффект от применения strip:
du -s -h ./target/debug/zmailbox_info
13M     ./target/debug/zmailbox_info
strip ./target/debug/zmailbox_info
du -s -h ./target/debug/zmailbox_info
528K    ./target/debug/zmailbox_info
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

35. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 15:05 
> Специально для вас только что скомпилировал одну их простеньких программ и показываю эффект от применения strip:

Ого вот это магия!
Думаю растохейтеры просто в шоке))


Ответить | Правка | Наверх | Cообщить модератору

154. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от 12yoexpert (ok), 20-Дек-24, 04:23 
не то чтобы в шоке, просто пытаюсь представить, сколько этот sq весит нестрипнутый, раз стрипнутый 21 мегабайт
Ответить | Правка | Наверх | Cообщить модератору

37. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –2 +/
Сообщение от Аноним (37), 17-Дек-24, 15:30 
Подскажите
1) насколько у вас дисковое пространство в дефиците?
2) оно всегда таким остается по размеру, или полный размер распаковывается именно в память?
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

58. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (58), 17-Дек-24, 18:01 
df -h
Файловая система            Размер Использовано  Дост Использовано% Cмонтировано в
/dev/mapper/Admin-system       42G          42G   72M          100% /
devtmpfs                      4.0M            0  4.0M            0% /dev
tmpfs                         987M         3.1M  984M            1% /dev/shm
tmpfs                         395M         1.5M  393M            1% /run
tmpfs                         5.0M          16K  5.0M            1% /run/lock
tmpfs                         1.0M            0  1.0M            0% /run/credentials/systemd-journald.service
tmpfs                         987M            0  987M            0% /tmp
/dev/mapper/Admin-home        183G          33G  141G           19% /home
tmpfs                         198M          72K  198M            1% /run/user/1000
tmpfs                         1.0M            0  1.0M            0% /run/credentials/getty@tty3.service
Ответить | Правка | Наверх | Cообщить модератору

153. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (153), 20-Дек-24, 03:59 
Простите работаю с Raspberry Pi с 8Гб флешки вынужден ужимать все.
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

16. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от 12yoexpert (ok), 17-Дек-24, 12:40 
почему он должен что-то делать с бинарниками в случае пакетного дистра? думаешь, мейнтейнеры тупые и не догадались?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

19. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (19), 17-Дек-24, 12:44 
>file /usr/bin/sq
>/usr/bin/sq: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=0ecb384f72cc30a572ec4a200edaf19b59b9b83a, for GNU/Linux 3.2.0, stripped

Я его не стрипал, он такой в пакете идёт.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

24. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (24), 17-Дек-24, 13:15 
Он уже стрипнутый
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

42. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (42), 17-Дек-24, 15:36 
# strip -R .* /usr/bin/sq

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

15. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –2 +/
Сообщение от Аноним (-), 17-Дек-24, 12:37 
> ls -lh /usr/bin/*gpg* | grep -v sq
> Вся суть растоподелок.

Э? А сказать то что хотел?
На твой 20МБ макстрон не помещается современный софт?
Что ты готов пользоваться дырявостью, зато сэкономить пару мегабайтов?

Ну не пользуйся, тебя же некто не заставляет (пока, хехе))

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Аноним (19), 17-Дек-24, 12:41 
Проблема не в "макстроне", и не в "дырявости". Проблема - в принципиальном вредительстве разработчиков Rustа, Cargo, и Sequoia. Смузи не из той субстанции перепили. Продолжают и нахваливают. Делали бы нормально - занимало бы ещё меньше, чем gpg.
Ответить | Правка | Наверх | Cообщить модератору

22. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –5 +/
Сообщение от Аноним (-), 17-Дек-24, 13:10 
> Проблема - в принципиальном вредительстве разработчиков

Где ты увидел вредительство? Они наоборот спасают индустрию.

> Делали бы нормально - занимало бы ещё меньше, чем gpg.

Ахаха! Ну покажи мастер-класс))
Сейчас какбэ не 70е, размер приложения дааавно не главное.

  

Ответить | Правка | Наверх | Cообщить модератору

25. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (-), 17-Дек-24, 13:20 
> Проблема - в принципиальном вредительстве разработчиков Rustа, Cargo, и Sequoia.

То что твои ожидания от опенсорса не совпали с реальностью - это твои проблемы.
Каждый программер может делать софт как считает нужным.

> Делали бы нормально

А нормально это как?
Вот так opennet.ru/opennews/art.shtml?num=48741 ?
Так opennet.ru/opennews/art.shtml?num=46812,
или все таки так opennet.ru/opennews/art.shtml?num=44988 ?
Последняя особенно эпична тк жила в 98 года)

> занимало бы ещё меньше, чем gpg.

А зачем меньше? У меня фотка кота может занимать столько же.
Зачем мне экономить байтики? Просто чтобы померяться пис.. т.е пакетами, у кого меньше?

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

27. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (27), 17-Дек-24, 13:28 
Тебе какие то сказки на уровне бабаек рассказали и ты их боишься. Какие реальные проблемы созданы ты даже  объяснить не состоянии. Тебе дали четкую команду тут бояться, а сюда топить. Зачем почему это не твоя задача, твоя задача лаять на караван как мелкая собачонка.
Ответить | Правка | Наверх | Cообщить модератору

30. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Moomintroll (ok), 17-Дек-24, 13:52 
> А нормально это как?
> Вот так opennet.ru/opennews/art.shtml?num=48741 ?

"Проблема вызвана отсутствием должной проверки имени файла, которое может включаться в подписанное или зашифрованное сообщение в качестве информации об исходном файле."

> Так opennet.ru/opennews/art.shtml?num=46812,

"Уязвимость позволяет восстановить содержимое закрытого ключа RSA через проведение атаки по сторонним каналам (side-channel attacks) на базе техники FLUSH+RELOAD."

> или все таки так opennet.ru/opennews/art.shtml?num=44988 ?

"... а утечка приходятся на второй вспомогательный ключ, 20 байт случайных данных для которого могут быть предсказаны из последовательности для первого ключа"


Ни разу не про ошибки работы с памятью. А подобные (логические?) ошибки можно и в расте сделать, равно как и в любом другом языке.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

34. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 15:03 
> Ни разу не про ошибки работы с памятью. А подобные (логические?) ошибки можно и в расте сделать, равно как и в любом другом языке.

Во-первых я нигде не писал про "проблемы с памятью", а ответил на высокопафосный пассаж "Делали бы нормально".
Если для Анонима (19) это "нормально", то.. ну у него такие стандарты для качества, чего не его осуждать.

А во-вторых, раз ты уже спросил
cvedetails.com/cve/CVE-2022-47629/
cvedetails.com/cve/CVE-2022-3515/ - оба два product performs a calculation that can produce an integer overflow

cvedetails.com/cve/CVE-2021-3345/ - a heap-based buffer overflow
cvedetails.com/cve/CVE-2016-4579/ - out-of-bounds read and crash (хорошо что крашнулось, а не рута подарило)

Дальше мне искать лениво, уж как-то сам.

Ответить | Правка | Наверх | Cообщить модератору

44. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (37), 17-Дек-24, 15:41 
>а ответил на высокопафосный пассаж "Делали бы нормально".

"Нормально делай - нормально будет" ©

Ответить | Правка | Наверх | Cообщить модератору

51. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Вирт (?), 17-Дек-24, 17:22 
>  Смузи не из той субстанции перепили.

Не агитирую за Rust, но ты по хотя бы мат. часть выучил.
Такой размер, потому что std библиотека, и все зависимости влинкованы статически,
а большинство зависимостей gpg это разделяемые бибилотеки.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

53. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (58), 17-Дек-24, 17:33 
А я и выучил. Кто виноват, что они там статически? Правильно - вот именно те, кого перечислили. Разработчики Cargo и Rust виноваты в том, что заточили ЯП именно под это. Разработчики Секвои - что выбрали этот помойный ЯП, и что раз уж выбрали - даже не почесались отвязаться от Cargo и компилировать всё с помощью CMake, а линковаться - с сишными либами, раз растовая экосистема такое говно.
Ответить | Правка | Наверх | Cообщить модератору

59. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (-), 17-Дек-24, 18:12 
> отвязаться от Cargo и компилировать всё с помощью CMake

Боже! Даже не предлагайте тянуть это омнище в экосистему раста!
Его и без раста в приличном обществе лучше лишний раз не упоминать.

> а линковаться - с сишными либами

Писать на расте и линковаться с си?
Весь же смысл отказаться от дыряшки настолько, насколько это вообще реально.


Ответить | Правка | Наверх | Cообщить модератору

93. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (-), 18-Дек-24, 02:31 
> компилировать всё с помощью CMake

А потом в CMakeLists.txt будет добавлена лишняя точка, и... https://www.opennet.dev/opennews/art.shtml?num=60888
Хотя чего можно ожидать от системы сборки из экосистемы дырявых языков.

> а линковаться - с сишными либами

Писать криптографию на расте и линковаться с непонятно какой дыряшкой, где очередной Tan наавтоконфигурировал? А месье знает толк в извращениях.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

117. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (117), 18-Дек-24, 14:39 
Да, лучше с целым деревом из 100500 зависимостей, где одна маленькая неприметная - как раз от Jia Tan.
Ответить | Правка | Наверх | Cообщить модератору

141. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от ТожеРусский (ok), 19-Дек-24, 10:14 
Чел, никакой магии там нет. Если он больше размером, значит он больше делает или делает другое (вместо вызова каких-то динамических библиотек). У раста нет какого-то ощутимого оверхеда в размере файла из-за того, что он раст.

Например, GnuPG на коленке сам парсит командную строку, а Sequoia использует топовую стороннюю библиотеку для этого - `clap`. Клап тебе и подскажет правильное название команды/флага, если ты опечатался, и кофе заварит, и хелп красиво нарисует, и значения аргументов сразу в структуру проставит и ещё много чего.

Или вот, GnuPG для регулярок использует выдернутый из Tcl сишный файл 1986 года рождения, с непонятно какими свойствами и фичами. А Sequoia использует топовую популярную либу `regex`, которая давно уже победила все устаревшие сишные наработки.

Ну и так далее. Размер бинаря - это не просто размер, он со смыслом.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +8 +/
Сообщение от Аноним (1), 17-Дек-24, 11:25 
>для загрузки сборок с проверкой их достоверности достаточно будет выполнить команду: sq download

Ну да, давайте ещё просмотрщик видео и нейросетевую модель детекции QR-кодов в бинарь втащим, чего уж мелочиться.

Ответить | Правка | Наверх | Cообщить модератору

43. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (37), 17-Дек-24, 15:39 
Ну, в последних релизах новомодных архиваторов(с компрессором), уже требуется мощная видеокарта, сами понимаете для чего. Даже примеры звуковых файлов на опеннете выкладывали и обсуждали, что там этот архиватор нафантазировал.
Почему бы и тут не начать фантазировать шифрование с помощью нейросетки?
Ответить | Правка | Наверх | Cообщить модератору

46. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от fuggy (ok), 17-Дек-24, 16:38 
Тоже показалось странным. Нарушают юниксвей. Это же по сути аналог wget & gpg verify.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

112. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (112), 18-Дек-24, 13:19 
В gnupg тоже есть функции скачивания ключей.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

119. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (117), 18-Дек-24, 14:47 
Спасибо, что напомнили, что gpg тоже небезгрешен. Да, hkps - это реализация HTTP. Но в NEEDED я не вижу ни libssl.so, ни libcurl.so, через которые и надо было реализовывать криптографию и HTTP. Вместо горождения NIH-чучхе лучше бы выпилили чучхе-хлам из gpg.
Ответить | Правка | Наверх | Cообщить модератору

142. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от ТожеРусский (ok), 19-Дек-24, 10:20 
Да, не юниксвей какой-то. Слишком всё просто и удобно. No pain - no gain! Надо же как следует задолбаться, попыхтеть, или хотябы просто иметь возможность применить свои широченные знания, что бы почувствовать всю крутоту того, что ты - в линуксе. А тут, блин, одно слово написал, и уже всё готово. Ну кто так делает?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

148. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Анониссимус (?), 19-Дек-24, 15:50 
Действительно, хорошая иллюстрация! Только не одно слово, а два. И ещё три хитромудрёных ключа. И ещё три аргумента к ним. У -- Удобство! Не то что этот ваш дедовский юниксвей треклятый.
Ответить | Правка | Наверх | Cообщить модератору

149. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от ТожеРусский (ok), 19-Дек-24, 16:59 
Насколько понимаю, `sq verify` делает только проверку, а `sq download` - и скачивает, и делает проверку. Причём, `sq download` не только проверяет, но ещё и удаляет скаченное, если проверка дала отрицательный результат. Поэтому и непонятно, в чём претензия-то? Что кому-то удобно сделали?

В растовском сообществе с самого начала установили определённую культуру как среди общения людей, так и в поведении софта: помощь друг другу, помощь людям. Это отражается на дружелюбности общения и на поведении софта, когда софт делают максимально удобным, с максимально понятными сообщениями об ошибках (вплоть до того, что компилятор раста может не просто сказать, что у вас тут ошибка, а ещё и объяснить, почему она произошла и как её исправить).

Причём это - в целом отображение американской культуры. Они правда очень дружелюбные и готовые помогать, в сравнении с другими культурами. Такая культура, разумеется, не очень понятна некоторым другим людям, их это бесит.

Ответить | Правка | Наверх | Cообщить модератору

152. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Анониссимус (?), 20-Дек-24, 02:17 
Вы неправильно меня поняли. Претензия вовсе не к sq, не к rust, и не к американской культуре. А к тем, кто называет ЭТО удобным способом скачивания, аргументируя тем, что там всего одно слово. Нет дядь, слов там ровно шесть (за вычетом урлов/путей).
Ответить | Правка | Наверх | Cообщить модератору

4. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –5 +/
Сообщение от Аноним (-), 17-Дек-24, 11:37 
> Инструментарий включён в состав дистрибутива Red Hat Enterprise Linux 10 в качестве альтернативы GnuPG,
> задействован для работы с PGP в пакетных менеджерах DNF и RPM

Шикарно.
В след. RHEL можно будет внести небольшие несовместимости с гнутостью. А потом еще немного. И еще. Потом перевести поддержку гнутости в опциональную и как итог закопать.

Жаль только лицуха у сековои такая же раковая как у оригинала.
Хорошо хоть v2 only.

Ответить | Правка | Наверх | Cообщить модератору

70. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (70), 17-Дек-24, 20:30 
В новости ошибка там LGPL v2 or any later version.
Ответить | Правка | Наверх | Cообщить модератору

71. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от АнонимичныйАноним (?), 17-Дек-24, 20:32 
А можно мне вот чуть-чуть объяснений, почему именно GNU GPL - плохо? Я искренне не понимаю, и хочу разобраться в ситуации, для общей эрудиции как минимум.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

73. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –2 +/
Сообщение от Аноним (-), 17-Дек-24, 20:43 
> А можно мне вот чуть-чуть объяснений, почему именно GNU GPL - плохо?

Дело в идее, и манифесте, как ее воплощении.
Вкратце - попытка поставить пользователей выше чем создателей, загнать программистов под государсво и/или принудить к попрошайничеству.
Это, слава богу-машине, не случилось, но общество приучили к "опенсорсный == бесплатный".

> Я искренне не понимаю, и хочу разобраться в ситуации, для общей эрудиции как минимум.

Тут уже как минимум три анона разбирали его цитаты, можешь поискать по gnu manifesto
Вот один из тредов
opennet.ru/openforum/vsluhforumID3/131642.html#230

ЧСХ в каждый подобный подобный тред прибегают индивиды которые начинают с "вы все врете!!11", а когда получают ссылку на цитаты, то начинается "вы его неправильно поняли".

Ответить | Правка | Наверх | Cообщить модератору

77. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +3 +/
Сообщение от АнонимичныйАноним (?), 17-Дек-24, 21:48 
А принципиальное отличие в философии какое? Условной MIT и GNU GPL.

Обе разрешают использовать исходный код в любых целях, в том числе коммерческих. Продавать софт под GPL тоже в целом возможно, как и зарабатывать на нём, чем, собственно говоря, RedHat и Suse занимаются.

Но GPL запрещает при этом закрывать исходный код, т.е. пользуясь своей свободой ограничивать свободу другого, что в целом, как мне кажется, логично.

"Свобода одного человека заканчивается там, где начинается свобода другого"

Если же очень хочется встроить что-то, написанное другими людьми, и при этом не давать ничего взамен, можно нанять программистов, которые перепишут GPL участки. При этом если программа очень сильно зависит от GPL кода, и надо будет переписать слишком много, то она считается производной работой не зря. А если это какая-то мизерная библиотечка, то ничего не мешает.

Ответить | Правка | Наверх | Cообщить модератору

81. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 22:31 
> А принципиальное отличие в философии какое?

Вы манифест прочитали? Про урезание зп, про наказание неприсоединившихся, про госорган распределения доходов  и тд? Ничего подобного нет ни в мит, ни в бсд.
Потому что там просто лицензия и свобода. А тут, как вы правильно написали, философия.

> Продавать софт под GPL тоже в целом возможно

М... а вы пробовали? Пока что получается только у всяких Qt, причем коммерческую версию лицухи, наличие которой только доказывает что жпл фиг продашь. Сейчас даже бинарные сборки продавать сложно, потому что всегда найдется добрый самаритянин из "сообщества", который будет кричать "на платите ему, вот тут можно скачать бизплатна!!111"

> как и зарабатывать на нём, чем, собственно говоря, RedHat и Suse занимаются.

Они продают поддержку, а не софт. Софт даже шапке продавать сложно - посмотри сколько набежало паразитов вроде Альма-Роки-хз-что-Линуксов на то, что делает РедХат.
При этом кто реально работает можно посмотреть напр. в гите ядра: сколько там будет кода/коммитов от шапки, а сколько от этих прилипал. Но защитить свой код они никак не могут - лицензия не позволяет.
А поддержка означает, что лучше быть "незаменимым" - чтобы только ты разбирался в коде, и нет смысла писать "хороший код" - иначе зачем поддержка.

> Но GPL запрещает при этом закрывать исходный код

С МИТ ты тоже не можешь закрыть код. Ты можешь дописывать новый под другой лицензией. Что позволяет гнутиками заражать мит и бсд гну-лицензией. Что с моей точки зрения единственный фундаментальный недостаток этих лицензий.

> можно нанять программистов, которые перепишут GPL участки

Намного лучше вообще подходит к GPL на пушечный выстрел.
Впрочем народ поумнел за последние годы, да и пропаганда от гну-секты стала работать менее эффективно.
Как результат количество проектов со свободными лицензиями очень сильно выросло, а с ограничивающими вроде gpl - упало.

Ответить | Правка | Наверх | Cообщить модератору

86. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от АнонимичныйАноним (?), 17-Дек-24, 23:08 
Здесь я всё таки рассуждаю на тему лицензии, а не моральных ориентиров проекта GNU, и единственное принципиальное отличие в лицензиях - требование к сохранению свободы производного ПО, т.е. копилефт. Может я невнимательный, но я не увидел в тексте GPL строк прл урезание зарплат, госконтроль и прочие смертоубийственные вещи.

О Qt: Учитывая, что GPL не запрещает такое двойное лицензирование, проблема не так широка. А до бинарных сборок, их в целом продавать выгодно только если твой код полностью закрыт(как в проприетарном ПО), или если ты имеешь уникальный патчсет, недоступный никому(как я понимаю, это и достигается в коммерческой версии Qt), GPL же в этом случае отличается разве что тем, что создать такой "уникальный патчсет" может только изначальный автор, путём двойного лицензирования, например. Я наоборот вижу в этом более широкую защиту прав создателя произведения.

У меня нет статистики по поводу того, сколько денег потеряла RedHat из за совместимых проектов, поэтому выскажусь насчёт второго пункта: "лицензия не позволяет защитить свою работу". От чего именно она должна разрешить защиту? От копирования их кода? Выходит странновато: мы берём ваш код, но наш вы не трогайте. Продавать поддержку можно и к хорошему коду, например предоставляя хостинг. В целом бизнес-модели придумать можно.

К MIT: она не обязывает публиковать код изменений, что в целом можно обозначить, как закрытие кода. Следуя стратегии "embrace, extend and extinguish" так можно, при желании, и загубить чужой проект.

И последнее: всё таки я старался подчеркнуть тот факт, что если работа не является действительно производной от GPL-кода, то вырезать из нее GPL-код это далеко не невожможная задача. В противном же случае, увы, придётся считаться с правами автора кода на его защиту.

Ответить | Правка | Наверх | Cообщить модератору

88. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 23:22 
> Здесь я всё таки рассуждаю на тему лицензии, а не моральных ориентиров проекта GNU,

Ну.. ты сам спросил про различие в философии)

> и единственное принципиальное отличие в лицензиях - требование к сохранению свободы производного ПО, т.е. копилефт. Может я невнимательный, но я не увидел в тексте GPL строк прл урезание зарплат, госконтроль и прочие смертоубийственные вещи.

Возможно, но я не отделяю проект GNU от лицензии - тк лицензия это отражение тех самых 4 "свобод".

> О Qt: Учитывая, что GPL не запрещает такое двойное лицензирование, проблема не так широка.

Не, как раз оно показывает, что заработать денег с gpl можно только двойным лицензированием.

> GPL же в этом случае отличается разве что тем, что создать такой "уникальный патчсет" может только изначальный автор, путём двойного лицензирования, например.

Не обязательно.
Если ты предоставляешь SAAS, например сделал свою версию ядра и сдаешь их в аренду как сервис, то открывать ничего не нужно.
Или сделал версию для "внутреннего использования".

> Я наоборот вижу в этом более широкую защиту прав создателя произведения.

Ее могут дать только BSL подобные лицензии, которые могут ограничивать коммерческую деятельность.
Но фанатики не считают их свободными (тут опять придется возвращать к философии).

> К MIT: она не обязывает публиковать код изменений, что в целом можно обозначить, как закрытие кода. Следуя стратегии "embrace, extend and extinguish" так можно, при желании, и загубить чужой проект.

GPL тоже не обязывает в случае предоставления услуг.

Ответить | Правка | Наверх | Cообщить модератору

89. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от АнонимичныйАноним (?), 17-Дек-24, 23:34 
Философия лицензии, не проекта, как   такового. Я бы всё же разделял лицензию и проект, поскольку не всё, что есть в манифесте GNU, отражено в лицензии.

Про SaaS: вот вы и придумали ещё один метод продавать GPL =)
Хотя для этого сценария существует AGPL. Всё же необходимы разные лицензии для разных ситуаций: так, например, код ядра не имеет значимости для запущенного на этом ядре веб-сервиса, следовательно он пользователю и не нужен, поскольку с ним пользователь не взаимодействует.

По поводу BSL, она запрещает выполнение кода как таковое (если я правильно понял её заявление о "production use"). Логично, что это несвободная лицензия. В случае же с GPL требования звучат буквально как: "Вы можете делать всё, что хотите, пока ваша производная работа остаётся под той же лицензией".

Ответить | Правка | Наверх | Cообщить модератору

90. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 23:59 
> Хотя для этого сценария существует AGPL

Нет конечно, не подходит.
Потому что всякие амазоны-гуглы просто будут брать свой код под AGPL и предоставлять услугу. И им даже строчки кода менять не нужно. А если и будут менять - то скорее всего оно будет прибито к их сервисам, и никакого толку тебе от этого открытого кода не будет.

За счет своего размера, наличия инфры, демпинга и/или других нерыночных методов, они будут зарабатывать, а ты сосать лапу.

Ответить | Правка | Наверх | Cообщить модератору

103. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 18-Дек-24, 08:19 
>Потому что всякие амазоны-гуглы просто будут брать свой код под AGPL и предоставлять услугу.

Тогда непонимаю зачем вы обсираете копилефт?

Ответить | Правка | Наверх | Cообщить модератору

155. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от йцукен (??), 20-Дек-24, 23:54 
очевидно, он либо полезный дурик либо на стипендии. копилефт как и "сишку", которая фактически народная, он ненавидит за то, что хозяина нету и прибрать к рукам не получится. и за то что люди вкладывали годами в это ресурсы и теперь другие люди могут зарабатывать, а не покупать у его обожаемых дружелюбных корпоративщиков
Ответить | Правка | Наверх | Cообщить модератору

111. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от fuggy (ok), 18-Дек-24, 12:59 
> С МИТ ты тоже не можешь закрыть код. Ты можешь дописывать новый под другой лицензией. Что позволяет гнутиками заражать мит и бсд гну-лицензией. Что с моей точки зрения единственный фундаментальный недостаток этих лицензий.

MIT это лицензия для корпораций. Когда ты пишешь код под MIT, это значит ты бесплатно работаешь на корпорацию. Кроме если работник корпорации пишет для самой корпорации или это код уровня isArray пакета.

Кажется все стали забывать как Intel просто взяли операционку Minix Эндрю Таненбаума и встроили в свой Intel ME не заплатив ни копейки. Что он потом сожалел об этом. Разве это не заставляет задуматься использовать копилефт лицензии.

Но вы продолжаете бояться того, что гнутики используют открытый MIT проект в другом открытом GPL проекте. Вы же сами выкинули код под MIT с лицензией: "делайте что хотите", и продолжаете обижаться на участников своего лагеря  из движения за свободное ПО. Не в ту сторону воюете. В то время как корпорации используют MIT/BSD код, ничего не возвращаю, на них вы не обижаетесь. Корпораты успешно протолкнули свою повестку. Посмотрим кому это выгодно, у кого есть мотив хейтить GPL. Потеряют ли конечные пользователи что программа выпущена под лицензией MIT->GPL ? - Нет. Потеряют ли компании от того что не смогут включать GPL код в проприетарные продукты? - Да. Выводы сделайте сами.

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

113. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 18-Дек-24, 13:40 
> MIT это лицензия для корпораций.

GPL это лицензия для корпораций. Она не дает возможность разработчику заработать на своем труде и единственно что ему остается - сидеть на игле у корпов. Ну или ходит с протянутой рукой.
Ядро линукса это просто шикарно показывает. При этом те, кто оплачивают разработку решают как оно будет. Захотели - дропнули 386, захотели - впендюрили раст, захотели - дропнули иксы. И копилефтность не помогает с этим бороться вот никак. Потому что у вас будет открытый код, но не тот, который вам хочется.

MIT же дает сделать часть кода открытым, а на другой части - зарабатывать себе на хлеб с маслом.
Или с икрой, как повезет.

> В то время как корпорации используют MIT/BSD код, ничего не возвращаю, на них вы не обижаетесь.

Да, потом что лицензизия подразумевает свободу. Ее можно открыть и закрыть.
Но после заражения гну-раком - свобода заканчивается. GPL извращает свободу МИТ/БСД, он забирает право использовать код как тебе хочется. GPL делает лицензию менее свободной.

> Потеряют ли конечные пользователи что программа выпущена под лицензией MIT->GPL ? - Нет.

Так вот в этом и загвоздка. GPL ставить б̶е̶с̶п̶о̶л̶е̶з̶н̶ы̶х̶ ̶п̶о̶т̶р̶е̶б̶л̶я̶  пользователей выше чем создателей. Они не в состоянии ничего сделать с кодом и вечно живут в страхе что "придет корпа и закроет код!!!уууу!!!!"
При этом сами могу только надеяться, что придет очередной немамонт и бесплатно поработает на "благодарное" сообщество и заодно на корпов.

> Потеряют ли компании от того что не смогут включать GPL код в проприетарные продукты? - Да.

Нет. Потеряют пользователи, потому что в продукт будет заложена разработка с нуля.

> Выводы сделайте сами.

Давно уже сделали. Теперь остается доносить это до новых пользователей.
И учитывая падение популярности гнурака за последние годы - делаю это не зря.
It Ain't Much But It's Honest Work

Вообще посмотрите сколько реально полезного софта для людей сделано на gpl, и сколько на свободных лицензиях.
Ради интереса, вы сейчас написали сюда через gpl браузер?))

Ответить | Правка | Наверх | Cообщить модератору

125. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от fuggy (ok), 18-Дек-24, 17:22 
> GPL это лицензия для корпораций. Она не дает возможность разработчику заработать на своем труде и единственно что ему остается - сидеть на игле у корпов.

Слишком жирно. Если это так, почему корпораты как огня боятся GPL. B все Gnu утилиты (coreutils) переписывают на Rust под MIT/BSD.

> MIT же дает сделать часть кода открытым, а на другой части - зарабатывать себе на хлеб с маслом.

GPL позволяет применить двойное лицензирование как и любая другая лицензия. И на другой части зарабатывать на хлеб с маслом. А с MIT на хлеб с маслом будут зарабатывать только корпорации. Да что уж там даже спасибо не скажут, что и показала ситуация с Minix, про которую ты умолчал. Или каким образом MIT разработчик будет зарабатывать на хлеб поведай? В случае GPL им бы пришлось или выпрашивать двойное лицензирование за плату или возвращать вклад в проект.

> GPL извращает свободу МИТ/БСД, он забирает право использовать код как тебе хочется. GPL делает лицензию менее свободной.

Передёргиваешь. Во-первых, автор добровольно выбирает GPL лицензию. GPL программа даёт тебе права, не нравится не принимай лицензию. Тебе никто ничего не должен. Во-вторых, GPL сохраняет свободу для всех конечных пользователей. Напомню под свободами подразумевается без ограничений: запускать, изучать исходный код, распространять и вносить изменения. В отличие от MIT где включённой в проприетарную программу для конечных пользователей не остаётся свобод. Подписывай EULA, а ещё DRM и так уж и быть можешь запустить, но изучать код и декомпилировать нельзя. Что остаётся у конечных пользователей? Поэтому GPL и является более свободной чем пермиссивные.

Так ты так и не ответил на вопрос. Почему если MITики выкидывают код под лицензией "делайте что хотите", они обижаются когда их код попадает в GPL программу? Ведь в этом случае всё происходит согласно с их лицензией, под которой они распространяют. К чему эти причитания про вирусность GPL.

Напомню что сами корпораты очень любят копилефт, например SSPL. Но MITики вместо того чтобы жаловаться на вирусность проприетарных лицензий жалуются на свободные лицензии. То есть выступают против FOSS движения.

> GPL ставить пользователей выше чем создателей.

Так если для MIT пользователи не нужны. Тогда зачем они вообще код выкладывают. Их кто-то прям заставляет под GPL писать что ли.

> Потеряют пользователи, потому что в продукт будет заложена разработка с нуля.

Так это проблемы для корпорации. Если они не хотят использовать и развивать готовые GPL наработки и выпускать GPL программу. Пользователи только спасибо скажут, что GPL программа получится быстрее, дешевле и надёжнее, так как не придётся писать свои велосипеды.

> потому что в продукт будет заложена разработка с нуля

Что и требовалось доказать. Выпуская программу под MIT, это значит работать бесплатно на корпорации. Они только спасибо скажут. "Хороший мальчик" продолжай в том же духе. Выгодоприобретателем от MIT лицензий являются корпорации, ведь им "не придётся разрабатывать велосипед с нуля", а можно взять MIT на халяву.

> Теперь остается доносить это до новых пользователей. И учитывая падение популярности гнурака за последние годы - делаю это не зря.

Да к сожалению агентам корпораций удаётся агитировать работать бесплатно. Если уж говоря о MIT программах, то большинство изначально написано работниками за зарплату, предлагая бетатест, поддержку и фиксинг багов переложить на бесплатное "сообщество". А потом как только программа начинает приносить прибыль, закрывают community версию и меняют на проприетарную.

Из последнего https://www.opennet.dev/opennews/art.shtml?num=60820 изменили с BSD на проприетарную.

Ответить | Правка | Наверх | Cообщить модератору

128. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 18-Дек-24, 18:29 
> Слишком жирно. Если это так, почему корпораты как огня боятся GPL.

Согласен, слишком жирно. Код ядра на 80%+ написан корпами. Где они боятся... не понятно.

> Или каким образом MIT разработчик будет зарабатывать на хлеб поведай?

Я вроде на это уже отвечал: "MIT же дает сделать часть кода открытым, а на другой части - зарабатывать себе на хлеб с маслом."

Но если этого не достаточно, то перейдем к практическим примерам:
Напр. nginx. Основной код под BSD, но та малая часть, что нет позволила автору неплохо заработать на хлебушек.
LibreOffice - MPL. Зарабатывают на "Professional Support" (что бы это не значило) и обучении.
FF - MPL. Зарабатывает на гугле. И так далее.
А приводить в пример один единственных Minix просто глупо.

Потому что для того, чтобы выпускать GPL под dual license нужно как минимум принимать патчи с CLA.
А раз все подписывают CLA, то и GPL имеешь право заменить на все что угодно.

Следовательно:
- или gpl не защищает код, т.к. у автора есть свобода его закрыть,
- или ты фиг сделаешь dual licence и фиг заработаешь.

Поэтому все розказни про "как на жпл можно заработать" оставь для промывки мозгов неофитам.
И давай приводи реальные примеры кто и как заработал на gpl коде, а не на поддержке.

> Во-первых, автор добровольно выбирает GPL лицензию

Да, разумеется. Их обманом ввела в заблуждение группа людей по предварительному сговору. Смекаешь?
И какое-то время пропаганда GPL секты была очень сильна - все эти выступление, рассказы про "свободу", комми-наезды на корпорации, отлично промывали мозги новичкам.

> Напомню под свободами подразумевается

Кем подразумевается? Комми-Столлманом? Копирастами из OSI?
Какое мне дело до мнения сектантов и их кумиров?
Если Столлмана слушать, то можно и до е**ли детишек опуститься.

> они обижаются когда их код попадает в GPL программу?

Они не обижаются. А просто печалятся о несовершенстве мира, когда один делают вещь свободной, а другие - начинают ограничивать. Понятно что это плата за то, что МИТ и остальные остаются свободными.
Но паразитов это никак не оправдывает.

> вирусность проприетарных лицензий жалуются на свободные лицензии

Зачем показывать свое невежество?
Проприетарные лицензии не вирусные. Мне не нужно перелицензировать МИТ чтобы использовать в проприетари.
А жпл как раз вирусная - все к чему она прикасается превращается в ж...пл.

> То есть выступают против FOSS движения.

Не вижу ничего плохого выступать против GNU и OSI. Наоборот, дело богоугодное))

> Выпуская программу под MIT, это значит работать бесплатно на корпорации.

Выпуская программу под MIT ты оставляешь себе шанс продать результаты труда кому-то.
Выпуская под GPL - у тебя шансы стремятся к нулю. (еще раз попрошу примеры для GPL)))

> Из последнего https://www.opennet.dev/opennews/art.shtml?num=60820 изменили с BSD на проприетарную.

Из последнего https://www.opennet.dev/opennews/art.shtml?num=49449
Немножко подтерлись AGPLv3 и заменили на более честную SSPL, которую напр. копирасты из OSI отказываются признавать свободной.
А ведь MongoDB имели на это полное право. Как раз из-за CLA.

Ответить | Правка | Наверх | Cообщить модератору

134. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от fuggy (ok), 18-Дек-24, 20:21 
> MPL

Хороший список продолжай. Если ты не в курсе, MPL это копилефт лицензия или вирусная, если тебе понятнее. Так что для начала подтяни теорию. C двойным GPL можно привести примеры QT (GPL), MySQL (GPL), MongoDB (AGPL до изменения на проприетарную). Так если корпорации вносят в GPL Linux (могут когда хотят), тогда откуда жалобы что GPL лицензия плохая.

Само собой CLA это обман разработчиков, которые вносят вклад. Поэтому корпорасты и используют MIT, чтобы не создавать этой неловкой оказии. Да вы вносите код под MIT, и они свободно могут перелицензировать в проприетарь даже не спрашивая разработчика, в отличие от GPL. Если уж так хочется именно лицензирование с возможностью включения в проприетарь, можно использовать LGPL. Тогда и не будет проблем с тем что корпораты бояться GPL кода и код останется под свободной лицензией. Или более честно оказывать поддержку реализации платных фичей в GPL программе. Так даже выгоднее для корпораций будет, ведь им не придётся писать с нуля, и даже отдельного менеджера нанимать.

> Комми-Столлманом? Копирастами из OSI?

Так если и комми и корпорасты из OSI согласны с определениями. И только один Аноним не согласен. Наверно стоит признать что мы говорим об одних и тех же терминах свободного ПО.

> просто печалятся о несовершенстве мира, когда один делают вещь свободной, а другие - начинают ограничивать

То есть приприетарное ПО не только не ограничивает, но и не лишает свободы декомпиляции, изучения исходного кода, внесения изменений? Ведь MITики же должны быть довольны, что их поделку используют в свободном ПО. Ведь они сами завещаются в лицензии "to deal in the Software without restriction, including without limitation the rights to ...". Соответственно перелицензирование в GPL их устраивает, иначе бы они не разрешали это в тексте лицензии.

> Проприетарные лицензии не вирусные

Ну да SSPL и RSAL вообще не вирусные. Которые заражаются вообще весь код, который даже не связан с ними и требуют обязательно выложить его под SSPL. Они даже более вирусные чем GPL и даже больше чем AGPL.

> Мне не нужно перелицензировать МИТ чтобы использовать в проприетари

Нужно. Это и есть перелицензирование MIT в EULA. Только с той разницей что EULA это не конкретная лицензия, а у каждого своя.

> Не вижу ничего плохого выступать против GNU и OSI

Так погоди. Ты выступаешь за открытый код с MIT лицензией, но выступаешь против GNU и OSI. MIT это и есть FOSS. Так что попахивает шизофренией.

> MIT ты оставляешь себе шанс продать результаты труда кому-то

Ха-ха кому ты её продашь. Ведь корпораты её уже взяли на халяву. Интересно какую идеологическую цель преследуют MIT разработчики? С последователями GPL всё понятно, ведь есть философия GNU/FSF и они следуют ей. Какую цель преследуют MITики выкладывая свой код бесплатно? Если они хотят продать результат труда, не проще ли устроится на работу?

> подтерлись AGPLv3 и заменили на более честную SSPL. Как раз из-за CLA

Смотрим

> Текст SSPL основан на AGPLv3, плюс требование поставки не только кода самого приложения, но и исходных текстов всех компонентов, вовлечённых в предоставление облачного сервиса
> подобное требование не позволит использовать MongoDB в сервисах, запущенных на базе Linux
> то создателям облачных сервисов с MongoDB придётся использовать BSD-системы или купить платную версию MongoDB

Всё честно. Отличный выстрел себе в ногу. Чтобы запускать Mongo на linux им придётся перелицензировать ядро под SSPL, что невозможно. А значит пользователям придётся покупать платную версию.

И не забыли прижать бесплатный труд BSDешников, которые бесплатно годами пили фичи и правили баги, воспользовавшись CLA, говоря про Redis.

Ответить | Правка | Наверх | Cообщить модератору

136. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 18-Дек-24, 22:40 
> Если ты не в курсе, MPL это копилефт лицензия или вирусная, если тебе понятнее.
> Так что для начала подтяни теорию.

Предлагаю тебе начать с себя. MPL, в отличие от гнурака, не заражает чужой код.
Ты можешь спокойно использовать MPL как хочешь, если оно лежит отдельно:
"you can combine the MPL software with proprietary code, as long as you keep the MPL code in separate files"

> C двойным GPL можно привести примеры QT (GPL), MySQL (GPL), MongoDB
> (AGPL до изменения на проприетарную).

Не, не, не. С dual-licence каждый может, потому что зарабатывает НЕ gpl.
Ты попробуй без него, чтобы не было, как ты сказал, "обмана разработчиков" через CLA.
А без CLA ты фиг сделаешь dual-licence. Вот такая вот печалька.

> Само собой CLA это обман разработчиков, которые вносят вклад.

А почему сторонники GNU и GPL так поступают?
Напомню, что сама GNU многие годы просила/требовала/уговаривала подписывыть Copyright Assignments Agreement, чтобы права принадлежали "лудшим зощитникам шво6одки", ну т.е. самим гнутикам.
В итоге их предсказуемо послали в жо... даже gnu-тые софтины, вроде GCC в 2021 году.
Или напр. taler.net/pdf/copyright.pdf - как раз сегодня новость вышла о нем.
И после такого они ̶з̶а̶п̶р̶е̶щ̶а̶ю̶т̶ ̶к̶о̶в̶ы̶р̶я̶т̶ь̶с̶я̶ ̶в̶ ̶н̶о̶с̶у̶  что-то бугуртят на митовцев и корпов?))

> Да вы вносите код под MIT, и они свободно могут перелицензировать
> в проприетарь даже не спрашивая разработчика, в отличие от GPL.

Но и я могу перелицензировать код, которые добавляют корпы в свою проприетарь, даже не спрашивая корпов. Паритет однако.

> Так если и комми и корпорасты из OSI согласны с определениями.

Не "корпорасты из OSI", а "копирасты из OSI", ну будьте же внимательнее!
Если не в курсе, то эти прекрасные люди пытались зарегистрировать термин "open source" как торговую марку.
До такой наглости и мерзости редкий копираст бы додумался.

> То есть приприетарное ПО не только не ограничивает, но и не лишает
> свободы декомпиляции, изучения исходного кода, внесения изменений?

А кто сказал что ваша свобода "изучения исходного кода и внесения изменений" должна быть выше свободы автора?))

> оответственно перелицензирование в GPL их устраивает, иначе бы они не разрешали это в тексте лицензии.

К сожалению, MIT появился в 1987, а первый гнурак - в 1989.

> Ну да SSPL и RSAL вообще не вирусные.

А с чего они вдруг стали проприетарными? Потом что FSF так сказала?))
Это что ни на есть копилефтные лицензии в его терминальной стадии - заражаем вообще всё.
Удивительно что не прописали обязанность отдать первенца.

> Нужно. Это и есть перелицензирование MIT в EULA. Только с той разницей
> что EULA это не конкретная лицензия, а у каждого своя.

Нет, не нужно. Чтобы использовать MIT код мне достаточно сделать copyright notice, сохранить оригинальный license text и согласиться с as is самого кода.

> Ты выступаешь за открытый код с MIT лицензией, но выступаешь против GNU и OSI.

Да, именно так. Но не только с MIT, а с MPL, BSD, Apache и другими лицензиями, которые не ограничивают свободу.

> MIT это и есть FOSS.

А я нигде и не писал что против FOSS.
Тут проблема скорее с конкретным организациями, которые пытаются себе присвоить его.

> Ха-ха кому ты её продашь. Ведь корпораты её уже взяли на халяву.

Еще раз, читай внимательно. Я не буду открывать весь код.
И корпората будет выбор - или дописывать недостающее самому, или сэкономить время и скорее всего деньги и просто купить.

> Интересно какую идеологическую цель преследуют MIT разработчики?

Кто как, разработчиков же много и они не лоботомированы идеологией, как некоторые.
Кто хочет заработать. Кто-то хочет подарить свой код всему миру и не хотят чтобы что-то ограничивало его использование. Кто-то хочет самоутвердиться.

> И не забыли прижать бесплатный труд BSDешников, которые бесплатно годами пили фичи
> и правили баги, воспользовавшись CLA, говоря про Redis.

Так BSD это и так позволяло и без всяких CLA, разве не?


Ответить | Правка | Наверх | Cообщить модератору

139. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от fuggy (ok), 19-Дек-24, 00:25 
MPL это копилефт на уровне файла, LGPL - копилефт на уровне библиотеки, GPL - копилефт на уровне программы. Внеся изменения в MPL файл, весь код в нём становится MPL. LGPL достаточно для тебя? Ведь он тоже позволяет комбинировать с проприетарным кодом. То есть твоя грань (копилефт на полшишечки) проходит здесь?

Так CLA для обмана в основном использую только корпорации, две ссылки выше это подтверждают. Что-то не было такого чтобы GNU что-то там перелицензировали в проприетарь.

Ну да действительно кому нужна программа с доступным исходным кодом для изучения. А кто сказал что промежуточный поставщик имеет право ограничивать свободу автора разрешить изучать код для любого желающего. Это и закрепляет GPL копилефт, что любой в цепочке от автора, через промежуточного издателя, до конечного потребителя обладают равным правами данными автором. Есть идеи получше как это сделать без копилефта? В пермиссивных же любой промежуточный поставщик может отобрать свободу данную автором (rights to use, copy, modify, merge, publish, distribute далее по тексту) изучать и декомпилировать код. Да конечно, ведь по мнению корпораций пользователи не должны распоряжаться тем за что заплатили.

Конечно SSPL и RSAL это копилефтные в высокой степени. Но копилефт != свободное ПО. Ты же сам сказал, что считаешь SSPL более честной чем AGPL. Но ведь по твоей точке зрение они ещё более далеки от MIT чем GPL. Хотя GPL не запрещает коммерческое использование. Кстати, LGPL достаточно ограничивает твою свободу как автора кода?

Так что это за программа такая, у которой недописана главная часть? Просто билд скрипт без исходников? Это как машина без двигателя чтоли? Какой тогда смысл для обычного пользователя не корпората пользоваться недописанной программой или он тоже должен сам дописать недостающее? И что мешает в GPL/LGPL так же не дописывать нужные части и продавать их?

Так была community edition под которую BSDешники пилили фичи. А CLA была в AGPL MongoDB, которая сменила лицензию на другую, не под которой был вклад от разработчиков. В итоге как только компании потребовалось больше денег, они просто прикрывают community версию BSDешников. Что ещё раз подтверждает. Когда ты пишешь код под MIT/BSD, это значит ты бесплатно работаешь на корпорацию. Может кому-то и нравится бесплатно работать на корпоратов, но попахивает мазохизмом.

Ответить | Правка | Наверх | Cообщить модератору

145. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 19-Дек-24, 13:01 
> LGPL достаточно для тебя? Ведь он тоже позволяет комбинировать с проприетарным кодом.

Нет конечно, при использовании LGPL статически, он заражает все LGPL.
Ты же должен знать такие нюансы. Зачем тогда писать "он тоже позволяет комбинировать с проприетарным кодом".

> Что-то не было такого чтобы GNU что-то там перелицензировали в проприетарь.

Так и перелицензирование и не у GNU штука не частая.
Но GNU перелицензировали GPLv2 в GPLv3, а все эти писульки позволяют им придумать еще более безумную GPLv4 и перелицензировать в нее НЕ спрашивая мнение авторов. Это абсолютно тоже самое что сделали AGPL -> SSPL.

Вот поэтому их и послали, причем не только gcc.
Просто осознали, что там крыша уже протекла полностью и нужно быть готовым к любому выбрыку.
Ведь ты, по факту, даешь им пустой лист со своей подписью.
Слава богу фин сделал все чтобы v2 осталось как есть.

> Хотя GPL не запрещает коммерческое использование.

Конечно не запрещает, просто делает это практически невозможным.
Это как устроиться на работу сейчас в некоторых странах с определенным цветом паспорта.
Никто ничего не запрещает и даже есть пара саксесс сторей. Но удачки, хехе)))

> Так что это за программа такая, у которой недописана главная часть? Это как машина без двигателя чтоли?

Почему ты приписываешь мне то, чего я не говорил?
Возьмем тот же Nginx. У него открытая часть полнофункциональна? Да, для 99% юзеров.
Кому-то нужно что-то эдакое и они готовы платить? Вот им и продается дополнительные функции за деньги.

> И что мешает в GPL/LGPL так же не дописывать нужные части и продавать их?

Мешает лицензия вестимо. Потому что как только ты это допишешь - оно будет доступно всем.
И на этом твой заработок закончится.

> они просто прикрывают community версию BSDешников.

Забавно что до вас не доходит, что ни МИТ, ни БСД не возможно закрыть.
Можно только начать писать НОВЫЙ код под другой лицензией.
Весь код, который был по МИТ так и остался под МИТ - никто не ходит по домам и удаляет старые исходники.
И никто не запрещает продолжать ее писать под МИТ кому-то другому, просто берешь старую версию, дружное "сообщество" и пишешь лучше чем вот те редиски))

И вы возмущаетесь что корпа, которая годами давал бесплатно пользоваться своим продуктом в обмен на бетатест, внезапно передумала. Вот гады, как они посмели!))

Ответить | Правка | Наверх | Cообщить модератору

146. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от fuggy (ok), 19-Дек-24, 13:47 
>> Хотя GPL не запрещает коммерческое использование.
> Конечно не запрещает, просто делает это практически невозможным.

Ты не то имеешь в виду. Я в любой коммерческой фирме могу использовать LibreOffice и MySQL. Потому что лицензия не запрещает использовать для любых целей. А в тех что ты называешь более "справедливой" запрещает использовать для коммерческих целей или для saas поставки.

> корпа, которая годами давал бесплатно пользоваться своим продуктом в обмен на бетатест

Вот это подарок. Корпорация позволяла пользоваться тем, что что было написано частью комьюнити. Конечно они могут и дальше билдить старую версию из исходников. Пока они не могут лишить и этого. Только в новой версии будут добавлены изменения в API, которые вызовут несовместимости.

> Redis Inc. потребовала передать ей клиентскую библиотеку Rust redis-rs, написанную независимыми разработчиками.

А вот действительно из свежего. Прямо взяла и потребовала отдать чужую работу. И конечно она бы не стала продолжать поддерживать совместимость с форками, добавив больше изменений в свой протокол для несовместимости.

Ответить | Правка | К родителю #145 | Наверх | Cообщить модератору

150. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 19-Дек-24, 17:06 
> Ты не то имеешь в виду.

А, не так понял. Подумал что речь все еще идет о способе заработка.

> А в тех что ты называешь более "справедливой" запрещает
> использовать для коммерческих целей или для saas поставки.

А где у меня написано про "справедливость"?
Там было более "честную" - они сразу говорят пользователям как планирую ее использовать.
Но если задуматься, то и более справедливую - тот кто пишет код, тот и зарабатывает.
А не всякие "поставщики услуг" вроде гуглоамазонов, которые рубят бабло и ничего не возвращают, потому что ничего не меняют, зато в любой момент могут в легкую вытеснить тебя просто своим размером.
Ведь им и так хорошо)))

Ну и "запрещает использовать для коммерческих целей или для saas поставки" немного не соответствует действительности. Вы можете использовать для коммерческих целей. Просто нужно соблюдать лицензию.
Это очень сложно, но все еще возможно.
В отличие от напр. СС NC

> Корпорация позволяла пользоваться тем, что что было написано частью комьюнити.

Угу. А потом начинаешь смотреть, а сколько же накодило это "комьюнити" и даже удивляешься, что они вякало раззевают. Открываешь список контрибьюторов - а там подавляющую часть кода написали чуваки на зп у самой фирмы. Это раз.
Во-вторых - при использовании свободных лицензий у "сообщества" нет обязанности возвращать код.
Они это делают добровольно по разным причинам - кто-то хочет поблагодарить разрабов, кто-то чешит самолюбие, кто-то хочет чтобы фикс попал ко всем пользователям, кто-то не хочет тянуть свою ветку, делать сборки и все время решать конфликты. Это же не обязаловка, как у некоторых.

> Только в новой версии будут добавлены изменения в API, которые вызовут несовместимости.

А зачем вам их новые апи? Фсё, прошла любовь, повяли помидоры. Вы с ними разошлись.
Пилите новые апи сами. Хотите - сохраняйте совместимость с оригиналом, не хотите - вендерлокайте на себя.

>> Redis Inc. потребовала передать ей клиентскую библиотеку Rust redis-rs, написанную независимыми разработчиками. А вот действительно из свежего. Прямо взяла и потребовала отдать чужую работу.

Не отдать работу. А переименовать либу или передать управление.
Потому что либа более чем похожа на официальную либу.
То что «название библиотеки является нарушением товарного знака» тебе любой суд скажет.
Поэтому это просто разрабы "гении" - назвать либу с использованием зарегистрированной trademark.

> И конечно она бы не стала продолжать поддерживать совместимость с форками

А разве у них есть обязанность поддерживать совместимость с форками?)) Вот то-то и оно.

Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

151. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (-), 19-Дек-24, 18:34 
Я тут новость принес. С лора, потому что тут не было

"ScyllaDB переходит на несвободную лицензию" Было AGPL, стало BSL.
"Ну и шо, помог тебе твой жпл сынку?" (с)

И вангую что таких переходов будет все больше и больше.


linux.org.ru/news/opensource/17825411


Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

131. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (131), 18-Дек-24, 19:09 
> Ничего подобного нет ни в мит, ни в бсд.

Потому что ты там всёй этой фигни не нафантазировал.

Заявления в духе "ставит пользователей выше разработчиков" - полная чушь и верный маркер, что чушезаявитель текст лицензии не читал, не понял, но осуждает.

В отношении своего кода GPL - это обыкновенный копирайт, в котором явно разрешены свободы копирования, распростарнения, изучения и модификации, в том числе в отношении производных работ, на тех же условиях. Условия не отзывны для уже опубликованного кода, но единоличный собственник СПО не обязан продолжать его дальнейшую разработку на этих условиях в дальнейшем, как и продолжать предоставлять код. Эти обязанности наступают только когда он начинает использовать чужой/совместный код. До тех пор он может сменить лицензию или применить двойное лицензирование (как в проекте Qt, который по-сути продаёт право не раскрывать слинкованный с ним код).

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

84. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (84), 17-Дек-24, 23:02 
> Но GPL запрещает при этом закрывать исходный код

Это не так. GPL запрещает закрывать любой код, который линкуется с GPL.
Т.е. даже если в твой огромный проект попадет хотя бы одна строчка под жпл - то внезапно ВЕСЬ твой код обязать стать под GPL. Очень справедливо?))

И эта вирусная особенность GPL стала причиной создания LLVM.
Потому что в какой-то момент гнутикам ударила moча в голову и когда GCC перевели на GPLv3, они решили что раз вы компилите свой код gcc, то вы обазаны открыть ваш код код GPL!

Объясняли они это так:
"when you compile a program with gcc, parts of GCC itself, called the runtime library (and before that, crt0), are combined directly with your program in the output binary. The binary, therefore, is both a derivative work of your source code and a derivative work of the runtime library. If GCC were pure GPL, every binary compiled with GCC would need to be licensed under the terms of GPL."

После такого выбрыка их накормили продуктами жизнедеятельности, а все разумные люди и фирмы задумались о более адекватной альтернативе, и вложились в ллвм. Почуяв, что пахнет жареным, гну сделали в 2008-2009 году "GCC Runtime Library Exception", где с барского плеча таки позволят использовать gcc без заражения гну.

Но кто знает что им взбредет в голову в условном GPLv4. К тому же то же ядро уже прекрасно компилируется llvm, не смотря на все мерзкие попытки прибить ядро к единому идеологически-верному компилятору через gnu c extentions, прям в лучших традициях EEE мелкософта.

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

87. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от АнонимичныйАноним (?), 17-Дек-24, 23:13 
Выше ответил на первый абзац вашего сообщения.

Насчёт компилятора: хорошо, что одумались, и добавили исключение.

Про расширения GNU могу сказать, что иногда они действительно удобны. Не могу винить разработчиков их использующих. Некоторые из этих вещей давно следует добавить в стандарт, однако машина бюрократии неповоротливая и медленная, отсюда и появляются неофициальные расширения (Щас от этого же страдает Wayland).

Ответить | Правка | Наверх | Cообщить модератору

97. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (97), 18-Дек-24, 03:00 
Теперь понятно почему многие сидели на 2.95 до последнего.
Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

104. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 18-Дек-24, 08:24 
Ты неправильно понял. Редко, но бывали случаи, когда свежайшие верстт GCC иногда компилировали с ошибками, для стабилизации нужно немного подождать.
Ответить | Правка | Наверх | Cообщить модератору

106. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от Аноним (-), 18-Дек-24, 08:44 
>И эта вирусная особенность GPL стала причиной создания LLVM. Потому что в какой-то момент гнутикам ударила moча в голову и когда GCC перевели на GPLv3

Это ложь.
Вдруг, корпорации осознали что единственный компилятор применяемый в реальной разработке и поддерживающий современные стандарты это GCC. Им не нравилось, что он имел копилефт лицензию. На развитие LLVM первым деньги дал Apple и первые несколько лет он курировал разработку LLVM, остальные подтянулись потом. На то, что GCC перешёл на третью версию корпорациям было пофик. Недовольство выказывали в основном пермиссивщики. Копирасты сами себе злобные Буратино, за период с 1990-2010 гг. они клали болn на Чистую Сишку, продвигая свои тормознутые JAVA и неповоротливые C++.
В итоге их компиляторы застыли на стандарте "ANSI 1989".

И что значит, "моча ударила в голову", попрошу вас выбирать выраженния. Появление третьей версии GPL это очередной этап борьбы за Свободу. Оказалось, что копирасты сумели приспособится и использовать в своих чёрных делах GPLv2, например позволяя связывать проприетарные блобы со свободными библиотеками. Возникло такое омерзительное явление, как тивоизация.

Будьте уверены если копирасты и проприетарщики продолжат гадить, Свободное Сообщество придумает и четвёртую версию GPL. Соратники, борьба за Свободу продолжается! Впереди нас ждёт битва за Свободное железо!

Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

108. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (-), 18-Дек-24, 11:13 
> Это ложь.

Нет, это просто "неудобная" для гнутиков история, которую они не хотят вспоминать.
ebb.org/bkuhn/blog/2009/01/27/gcc-exception.html

> На то, что GCC перешёл на третью версию корпорациям было пофик.

Угу. А на угрозы заразить гнураком все что гцц компилирует - нет.

> они клали болn на Чистую Сишку,

Ого, вот это самомнение!

> продвигая свои тормознутые JAVA и неповоротливые C++.

Все правильно делали. С++ на порядки лучше дыряшки. И уже давно доказал это.
"Тормознутые JAVA и неповоротливые C++" вытеснили сишку отовсюду, кроме мк наверное.
И то, уже давно можно писать на плюсах для всего жирнее 8битного хлама.

> это очередной этап борьбы за Свободу.

За комми-свободу оправдателя "любителей потыкать лолю"? Свободу потре6лядей?
Спасибо, нам такая "свобода" не нужна.

> Свободное Сообщество придумает и четвёртую версию GPL.

Я же так и написал - moча в голову ударит, и придумают)) Сейчас гнурак и так критически теряет популярность, а с новыми генитальными идеями бородача... так вообще останется только в легаси хламе.

> Впереди нас ждёт битва за Свободное железо!

Угу)) В свободном софте вы все уже пpocрали настолько, что корпы вам по губам водят "открытыми дровами невидии" и "добавлением раста в ядро". Теперь осталось тоже самое сделать со "свободным" железом.

Ответить | Правка | Наверх | Cообщить модератору

133. Скрыто модератором  +/
Сообщение от _ (??), 18-Дек-24, 20:19 
Ответить | Правка | Наверх | Cообщить модератору

135. Скрыто модератором  +/
Сообщение от Аноним (-), 18-Дек-24, 21:41 
Ответить | Правка | Наверх | Cообщить модератору

7. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –4 +/
Сообщение от marten (ok), 17-Дек-24, 11:58 
Мда, доверять тулзе, отвечающей за безопасность, на сайте которой флажки всякие висят, я бы не стал
Ответить | Правка | Наверх | Cообщить модератору

10. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (47), 17-Дек-24, 12:05 
Фотки Vincent и Nora в студию!
Ответить | Правка | Наверх | Cообщить модератору

29. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (29), 17-Дек-24, 13:49 
Штош.
Так и делай.
Не доверяй.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

45. Скрыто модератором  +/
Сообщение от похнапоха. (?), 17-Дек-24, 16:37 
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

50. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от scut (?), 17-Дек-24, 17:13 
Зато можно было бы доверять, если бы там аквафреш был?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

98. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от Аноним (97), 18-Дек-24, 03:03 
Любые флаги признак ангажированности. Защита будет для любимчиков.
Ответить | Правка | Наверх | Cообщить модератору

143. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –1 +/
Сообщение от ТожеРусский (ok), 19-Дек-24, 10:22 
Думаешь, там скрытый код тебя по айпи вычислит и накажет в стиле израильских пейджеров? Врядли, это ж опенсорс, там миллион глаз и сразу подобное бы заметили.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (8), 17-Дек-24, 12:04 
> sq network search https://keys.qubes-os.org/keys/qubes-release-4.2-signing-key...

Чтобы иметь определенный уровень доверия к ключу, необходимо получить несколько цепочек доверия от вашего ключа к требуемуму. Для этого надо: https://www.linux.org.ru/forum/security/17817595?cid=17818179

Ответить | Правка | Наверх | Cообщить модератору

13. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –2 +/
Сообщение от Аноним (27), 17-Дек-24, 12:29 
Писать что-то секурное на языке, который не вызывает доверия это моветон. Это лишь вопрос времени когда в тулинг или в сторонний пакет залетит какая-нибудь бяка и сделает дыру.
Ответить | Правка | Наверх | Cообщить модератору

17. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 12:40 
> Писать что-то секурное на языке, который не вызывает доверия это моветон.

У кого не вызывает?
Например разработчкики ТОР считают его лучше и безопаснее чем другие варианты.

> Это лишь вопрос времени когда в тулинг или в сторонний пакет залетит какая-нибудь бяка и сделает дыру.

Слава богу в СИ так не может быть!
И никаких примеров типа Bvp47 или XZ не было)

Ответить | Правка | Наверх | Cообщить модератору

20. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Аноним (27), 17-Дек-24, 12:46 
У всех нормальных людей. Ты к ним не относишься. У тебя главная стратегия не вижу зла значит его нет. Думать хотя бы на шаг вперёд это же голова может заболеть.
Ответить | Правка | Наверх | Cообщить модератору

23. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  –2 +/
Сообщение от Аноним (-), 17-Дек-24, 13:15 
> У всех нормальных людей.

О, т.е. бывшие разрабы gnupg, которые решили писать секвою, - это не нормальные люди?
Один ты - Аноним - тут стоишь в белом такой умный и красивый.

> У тебя главная стратегия не вижу зла значит его нет

Всегда есть большее зло. Есть призрачный шанс подменить что-то где-то, а есть более чем реальная сишечка, на которой что диды писать не умели, что нынешние смузехлебы.
Можешь посмотреть сколько дыреней было из-за тулинга или стороннего пакета, а сколько из-за рукоопов, которые в очередной раз не шмогли посчитать размер буфера перед записью.

Ответить | Правка | Наверх | Cообщить модератору

36. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Агоним (?), 17-Дек-24, 15:30 
Так ты и на расте писать не умеешь и старый зачем тогда Раст?
Ответить | Правка | Наверх | Cообщить модератору

40. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +3 +/
Сообщение от Аноним (37), 17-Дек-24, 15:35 
А ты никогда не думал, почему они теперь "бывшие"?
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

56. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Анонимусс (?), 17-Дек-24, 17:51 
> А ты никогда не думал, почему они теперь "бывшие"?

Потому что их задолбало копаться в той... кодовой базе.
И они решили сделать свое, но учитывая ошибки GnuPG.

Ответить | Правка | Наверх | Cообщить модератору

82. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (37), 17-Дек-24, 22:41 
в своей то помойке куда приятней ковыряться...
Ответить | Правка | Наверх | Cообщить модератору

140. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (140), 19-Дек-24, 09:10 
>Например разработчкики ТОР считают его лучше и безопаснее чем другие варианты.

У этих и GitLab с JavaScript и дырами раз в месяци без анонимного доступа безопаснее чем trac. Вопрос только, что значит "безопаснее". Для кого? Для жоп тех, кого за яйца держат - да безопаснее.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

48. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от fuggy (ok), 17-Дек-24, 16:56 
Такое ощущение что новости специально пишут ради упоминания "сделано на Rust". И после этого происходит перепись растохейтеров, в то время как все крупные компании и специалисты по безопасности продолжают писать проекты и радоваться отсутствию уязвимостей с указателями.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

55. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Аноним (55), 17-Дек-24, 17:47 
> Такое ощущение что новости специально пишут ради упоминания

Нет конечно. Новость как новость.
Тут "Код написан на языке Rust и распространяется под лицензией GPLv2+."
В соседней про гиперленд "Код написан на языке С++ и распространяется под лицензией BSD."
Еще чуть раньше (миракл) "Код проекта написан на языке C++ и распространяется под лицензией GPLv3."
Даже шаблон одинаковый.

Но у местной публики при упоминании "раста" начинается форменное помешательство.

> продолжают писать проекты

Так это же писать нужно)))

Ответить | Правка | Наверх | Cообщить модератору

67. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (58), 17-Дек-24, 19:02 
Потому что раст жрёт память и статически линкует. А ещё постоянно пополняется новыми API, потому что выясняется, что старые API оказались в который уже раз плохо спроектированы. Очевидно, что на таком языке можно написать что-то memory-safe, но юзабельное и supply-chain-safe - никогда. А значит ффтопку его со всеми поделками на нём.
Ответить | Правка | Наверх | Cообщить модератору

74. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 20:56 
> Потому что раст жрёт память

Раст занимает сравнимо с сишкой на любой софтине больше хелловорда.
При этом позволяет на порядок больше из коробки.
То что рукоопые мейнтейнеры не научились его готовить - это не проблема раста.

> и статически линкует.

Раст умеет линковаться динамически. Проблема в том, что все либы в линуксе пока что сишные. А линковать к ним просто убивает весь смысл софта на расте - проблема в любой из них будет проблемой всей софтины.

> А ещё постоянно пополняется новыми API, потому что выясняется,
> что старые API оказались в который уже раз плохо спроектированы.

А вот давайте примеры плохих АПИ. (сейчас выяснится что вы их предоставить не в состоянии)))
Раст пополняется новыми апи потому что развивается, в отличие от.

Ответить | Правка | Наверх | Cообщить модератору

99. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (97), 18-Дек-24, 03:13 
>Раст умеет линковаться динамически. Проблема в том, что все либы в линуксе пока что сишные.

То есть, в теории, растоплагины к растопрограмме можно написать с не сишным апи/аби?

Ответить | Правка | Наверх | Cообщить модератору

118. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (37), 18-Дек-24, 14:44 
>Проблема в том, что все либы в линуксе пока что сишные.

Так вот в чем проблема не популярности раста - Торвальдс виноват! А я то думал - программисты, которые не хотят использовать раст для системных библиотек.
У меня есть к вам предложение - напишите свой линукс на расте, с растовскими библиотеками, и линкуйте себе в загончике до потери сознания.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

120. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (117), 18-Дек-24, 15:05 
>Раст занимает сравнимо с сишкой на любой софтине больше хелловорда.

Не звезди. Как раст может занимать сравнимо с сишкой, если программа на сишке зависит от вороха динамических либ, тех же, от которых зависит вся остальная система, а программа на расте тащит внутри себя по десять версий каждой либы, с вырезанными кусками, иррелелевантными для каждой зависящей от неё либы, статически слинкованно?

>Раст умеет линковаться динамически

Это грязная ложь. Нет, не умеет. By design. И язык, и система пакетов, и практики в этой экосистеме - все заточены под статическую линковку и намеренно несовместимы с динамической. Там даже в компиляторе проверка есть - если файл с метаинформацией для линковки с модулём порождён другой версией компилятора раста, то линковка будет заблокирована. Да, с сишными либами он умеет линковаться динамически через unsafeы. С растовыми - "идите, жрите из лохани что дают, пользователи раста". Они  жрут, и нахваливают.

>А вот давайте примеры плохих АПИ. (сейчас выяснится что вы их предоставить не в состоянии))). Раст пополняется новыми апи потому что развивается, в отличие от.

Любое старое API, для которого был выпущен новый аналог, который "лучше". Ни в одном другом ЯП такой отвратительной пролиферации этой кучи мусора нет. Когда API стабилизируют и порежут весь хлам, тогда себе и можно будет башку засорять им. А засорять себе башку API, которое через месяц станет неактуальным - нафига мне такое?

>А вот давайте примеры плохих АПИ.

Я их все не упомню, но недавно я охренел от того, что наряду с предыдущими API (там было что-то про строки, уже точно не помню, то ли массив слайсов, то ли строка), зачем-то добавили API, которое делает ровно то же самое, как и два последовательных вызова (то есть вместо someString.method_a().method_b() теперь предлагается делать someString.method_a_and_b(), потому что типа так эффективнее, видимо в компиляторе Rust не осилили оптимизатор написать так, чтобы он эту идиому method_a().method_b() автоматически превращал в оптимизированный код, а пользователю компилятора башку большим количеством всякого хлама, полученного через композицию, не засирал )

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

126. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от fuggy (ok), 18-Дек-24, 17:53 
> Да, с сишными либами он умеет линковаться динамически через unsafeы

Что мешает так же подключать rust либы? Rust умеет компилироваться в dylib/cdylib (*.so), staticlib (*.a), а не только rlib для последующей линковки. See: The Rust Reference/Linkage

> засорять себе башку API, которое через месяц станет неактуальным

Всё просто указывает edition и работаешь со старым стабильным API. See: The Rust Edition Guide/What are Editions? Ты же когда на C++ пишешь не каждый же месяц на новое API переписываешь как только вышло -std=c++23. Много проектов которые до сих пор на -std=c++11 сидят.

Ответить | Правка | Наверх | Cообщить модератору

92. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (92), 18-Дек-24, 01:08 
>А значит ффтопку его со всеми поделками на нём.

Ты для себя так решил - превосходно!
Но меня всегда поражает однобокость глобальных критиков! Неужели им не хватает мозгов осознать, что у других людей могут быть другие критерии, другая точка зрения и, соответственно, другие выводы?

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

121. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (117), 18-Дек-24, 15:10 
Благодаря этим людям софтварная экосистема превратилась в то, что невозможно использовать. Иными словами - они отправили адекватных людей в каменный век, а потребителей заставили платить. Они беспрерывно молиться должны, чтобы им не привелось получить причитающуюся им награду за это.
Ответить | Правка | Наверх | Cообщить модератору

123. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 18-Дек-24, 15:58 
> Благодаря этим людям софтварная экосистема превратилась в то, что невозможно использовать.

Э? У всех получается, а у тебя нет?
Возможно стоит взять линейку и проверить прямоту рук. Но эт так предположение.

> Иными словами - они отправили адекватных людей в каменный век,

А эти "адекватные" из каменного века вообще вылазили?

> а потребителей заставили платить.

Странно. Я скачал линукс и не заплатил ни копейки. Как же так?
Возможно кто-то (не будем показывать пальцем) просто пи.. преувеличивает?

> Они беспрерывно молиться должны, чтобы им не привелось получить причитающуюся им награду за это.

Надеюсь награда будет хорошей? Денег дадут за хорошую работу. Ну или хотя бы пиццу с кофе.

Или ты про всякое рукоприкладство от б-ла?
Типа придут поехавшие луддиты и сожгут им дом?
Или будут поджидать с бейсбольной битой?

Ответить | Правка | Наверх | Cообщить модератору

107. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Проходил мимо (?), 18-Дек-24, 08:44 
К сожалению, чтобы на Rust слинковать проект статически, надо очень сильно извернуться. В этом он очень сильно проигрывает GoLang, который по умолчанию делает именно статический бинарник.

Что касается вашего утверждения "постоянно пополняется новыми API, потому что выясняется, что старые API оказались в который уже раз плохо спроектированы" то, на мой взгляд, оно имеет очень отдаленное отношение к реальному положению вещей. Некоторые вещи там действительно со временем меняются, но, по моим наблюдениям, речь обычно идет больше об изменениях, направленных на более точное описание сути происходящих процессов.
Например был метод
pub fn trim_left(&self) -> &str
Его объявили устаревшим начиная с версии 1.33 и заменили на метод
pub fn trim_start(&self) -> &str
Делает он то же самое - удаляет из начал строки пустые символы - но само название более точно отображает суть процесса, так как в арабских языках строки идут справа налево и первоначальное название могло вызвать путаницу у арабских программистов.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

109. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 18-Дек-24, 11:19 
Отличный пример, кстати.

Они нашли неоднозначность, признали ее и исправили.
В других языках это бы затянулось на годы заседания комитетов. И все равно не факт что исправили бы.
Скорее добавили вторую функцию рядом, чтобы не дай бог не сломать совместимость с кодом двадцатилетней давности. Эпохи же они не придумали))

Ответить | Правка | Наверх | Cообщить модератору

72. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (70), 17-Дек-24, 20:33 
> Но у местной публики при упоминании "раста" начинается форменное помешательство.

В этом и вопрос.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

75. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 21:02 
> В этом и вопрос.

А, это как раз не вопрос.
У них просто тяжелейшая трава от упоминания раста в каждой сишной CVE по памяти.
Ну т.е. примерно в 80-90% CVE))).

Доходило даже до того, что достаточно было в такой новости написать что-то вроде "никогда такого не было и вот опять" вообще не упоминая раст, как ылитка погроммирования начинала заплевывать монитор желчью "при чем тут раст!!111 сишка будет жить вечно!!".

Выглядит достаточно забавно)) В каждой новости пишу что-то такое)

Ответить | Правка | Наверх | Cообщить модератору

62. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Пётрнахуевертел (?), 17-Дек-24, 18:44 
Железобеттон курите? Вот сколько бредить так можно? Какой "не вызывает доверия"? А что вызывает доверия? Вот давай чёткий пример и пояснение. Пакетная экосистема язика != сам язик.

Дайте угодаю - вашь контр аргумент будит втирать что-то про то, как пакетные манагеры дистрибутивов идту и аудит каждого пакета библиотек проводят, за упокавание которого они отвечают. Да, и сами вы же сперва читаете весь код библиотеки целиком, с учетением архитектуры, и afl++ запускаете только так, так как только из исходников всё строите.

Давай не загаситься, а реально тогда довести свою демагогию тупую до конца. Переубедите меня.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

66. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (58), 17-Дек-24, 18:59 
Daniel Kahn Gillmor вызывает доверие. Но несильно.
Ответить | Правка | Наверх | Cообщить модератору

144. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от ТожеРусский (ok), 19-Дек-24, 10:28 
Само ничего никуда не залетит, см Cargo.lock. Читаешь код всех зависимостей, прибиваешь версии, и готово. На Си тебе пришлось бы сделать либо тоже самое, либо самому с нуля всё написать. Логика подсказывает, что писать всё с нуля дольше, чем прочитать чужой код. Впрочем, если приспичило всё написать с нуля (можно начать прям с бутлоадера или даже с UEFI кода в материнке), то уж лучше это делать на Расте, а не Сях всё равно.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

39. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Аноним (37), 17-Дек-24, 15:34 
>Например, API не позволяет случайно экспортировать материал секретного ключа и подстраховывает от пропуска важных действий при обновлении цифровой подписи.

А можно сразу писать так, что бы в АПИ не попадали куски кода, которые могут "случайно экспортировать материал секретного ключа"?
Или это фантастика?
(сначала наговнокодят, а потом доблестно бегут бороться с ошибками)

Ответить | Правка | Наверх | Cообщить модератору

101. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от qwe (??), 18-Дек-24, 06:01 
> (сначала наговнокодят, а потом доблестно бегут бороться с ошибками)

Если бы с ошибками! Борются с последствиями этих ошибок.

Ответить | Правка | Наверх | Cообщить модератору

54. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от nume (ok), 17-Дек-24, 17:37 
Для приложения или библиотеки на rust - стабильный релиз, полноценность и версия 1.0 это великое достижение которое мало кому удаётся там))
Ответить | Правка | Наверх | Cообщить модератору

80. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от senaemail (ok), 17-Дек-24, 22:30 
Сколько нерешённых задач или решённых не до конца, но почему-то постоянно берутся переписывать то что уже есть и работает.
Ответить | Правка | Наверх | Cообщить модератору

85. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 17-Дек-24, 23:02 
> Сколько нерешённых задач или решённых не до конца, но почему-то постоянно берутся переписывать то что уже есть и работает.

Так оно и есть "нерешенное до конца".
Т.е - не работающее.

Есть просто плохие инструменты. Которые приводят к ошибкам, затрагивающих кучу людей.
Например Heartbleed - чтение памяти за пределами отведённого буфера наверное самая известная, но не единственная.
Ведь тысячи их (с)


Ответить | Правка | Наверх | Cообщить модератору

91. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +1 +/
Сообщение от senaemail (ok), 17-Дек-24, 23:59 
> Есть просто плохие инструменты. Которые приводят к ошибкам, затрагивающих кучу людей.
> Например Heartbleed - чтение памяти за пределами отведённого буфера наверное самая известная,
> но не единственная.
> Ведь тысячи их (с)

Что характерно, Heartbleed был в openssl, но его на расте не переписали. Интересно почему.

Ответить | Правка | Наверх | Cообщить модератору

105. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +2 +/
Сообщение от Аноним (-), 18-Дек-24, 08:39 
Что характерно, переписали, называется Rustls.
Ответить | Правка | Наверх | Cообщить модератору

114. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от senaemail (ok), 18-Дек-24, 14:05 
> Что характерно, переписали, называется Rustls.

Любопытно, вроде бы действительно есть, уже больше 3х лет. Есть даже биндинги[1] к c/c++ Но почему же никто не спешит этим пользоваться? У меня в Дебиане все слинкованы с openssl.

1. https://github.com/rustls/rustls-ffi

Видимо есть какой-то нюанс? Производительность хреновая? Никто не верит в безопасность раста?

Должна же быть какая-то причина, почему никто не хочет использовать эту возможно безопасную библиотеку? Или всё ещё не готова к использованию?

Ответить | Правка | Наверх | Cообщить модератору

122. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 18-Дек-24, 15:50 
> Любопытно, вроде бы действительно есть, уже больше 3х лет. Есть даже биндинги[1] к c/c++ Но почему же никто не спешит этим пользоваться? У меня в Дебиане все слинкованы с openssl.

Думаю причин куча.
Например, что мейнтенеры дебиана это сумасшедшие)
Дабы на быть голословным, посмотрим какой там squid - packages.debian.org/stable/web/squid
Видим squid 5.7-2
А потом читаем такую новость
"В прокси-сервере Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены" opennet.ru/opennews/art.shtml?num=59915
Т.е в "стейбл" лежит заведомо уязвимый squid, дырявый по самое немогу, причем годами.

Второй пример - раст в дебиане 1.6.3 - Aug. 11, 2022.

Так что даже когда другие перейдут на современные версии пакетов - там будет какое-то окаменевшее с кучей незакрытых дыр.

Но в общем програмеры очень консервативные, типа "работает - не трогай", даже если оно работает плохо.
Особенно "диды".


Ответить | Правка | Наверх | Cообщить модератору

130. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от senaemail (ok), 18-Дек-24, 18:41 
>> Любопытно, вроде бы действительно есть, уже больше 3х лет. Есть даже биндинги[1] к c/c++ Но почему же никто не спешит этим пользоваться? У меня в Дебиане все слинкованы с openssl.
> Т.е в "стейбл" лежит заведомо уязвимый squid, дырявый по самое немогу, причем
> годами.

При чём тут squid и мейнтейнеры Дебиана? Если будет фикс, они его включат, на то они и мейнтейнеры Дебиана. Они же не занимаюстя разработкой софта, они просто пакеты мейнтейнят.

Если кто-то перейдёт на rustls-ffi, то новая версия со временем появится в Дебиане. Просто почему-то никто не переходит.


Ответить | Правка | Наверх | Cообщить модератору

124. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Анонимусс (-), 18-Дек-24, 16:18 
> Видимо есть какой-то нюанс?

Это ведь что-то нужно делать. Нужно привязываться к другой инфраструктуре.
Большинству просто лень и пофиг на уязвимости. И дебианцы это прекрасный пример.
Они лучше задокументируют cve как существующую и... ничего, пусть лежит в репе, зато все будут знать что там дыра.

Кстати, именно дебианцы умудрились пропатчить openssl, добавив туда уязвимость.
Так что на дебиан я бы ориентировался в последнюю очередь - им процессы важнее результата.

> Производительность хреновая?

И тут вроде бы все хорошо. Большая часть быстрее чем openssl [1], но с чем-то еще нужно работать.
Напр. год назад у них была проблема с ChaCha20 - производительность была ниже чем у OpenSSL [2].
Вроде уже исправили.

> Никто не верит в безопасность раста?

Верят. Поэтому добавляют поддержку в Lets Encrypt [3], nginx [4] и тд.
Просто это не быстрый процесс.

> Должна же быть какая-то причина, почему никто не хочет использовать эту возможно безопасную библиотеку?

Те, кто хочет, уже использует.
Те, кому пофиг, тем пофиг. Логично, правда?))

[1] memorysafety.org/blog/rustls-performance-outperforms/
[2] memorysafety.org/blog/rustls-performance/
[3] letsencrypt.org/docs/client-options/ - rustls-acme, tokio-rustls-acme
[4] phoronix.com/news/Rustls-With-Nginx

Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

127. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от senaemail (ok), 18-Дек-24, 18:29 
>> Видимо есть какой-то нюанс?
> Это ведь что-то нужно делать. Нужно привязываться к другой инфраструктуре.
> Большинству просто лень и пофиг на уязвимости. И дебианцы это прекрасный пример.

Если это дроп-ин замена, то ничего делать не надо, кроме пары строк в зависимостях. Но если сишная обвязка несовместима с openssl, то это, конечно, большое препятствие.

> Те, кто хочет, уже использует.
> Те, кому пофиг, тем пофиг. Логично, правда?))

Что-то лучшее и при этом более-менее совместимое всегда внедряется очень быстро, если нет каких-то препятствий. Видимо они есть.

Ответить | Правка | Наверх | Cообщить модератору

95. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (95), 18-Дек-24, 02:45 
Так GPG, если верить тем, кто его использует не только для красоты, как раз-таки работает из рук вон плохо. Неудивительно что за десятилетия существования он так и не получил популярности.
Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

110. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 18-Дек-24, 11:24 
> Так GPG, если верить тем, кто его использует не только для красоты, как раз-таки работает из рук вон плохо

Потому что апи проектировали аутисты для наркоманов.
Или наркоманы для аутистов? Сложно точно утверждать.

Тут один анон хорошо расписал малую часть "гениальнейших" решений.
Не буду забирать его лавры, поэтому просто процитирую:

- нельзя так просто взять и подписать файл ключом в файле, нужно его перед этим импортнуть в gpg home, даже если и временный,
- абсолютно любая команда мутирует gpg home, сделать его read only не получится,
- в связи с ущербным дизайном полностью отсутствуют builtin-модули для ansible: нельзя идемпотентно убедиться, что ключ в файле импортирован,
- чтоб получить fingerprint под-ключа по его capability и по uid главного ключа, придется накатать нехилый такой скриптец, самостоятельно парсящий with-colon-вывод.
- gpgme генерит и исполняет консольные команды и парсит вывод, вместо внятного API, работающего напрямую

Ответить | Правка | Наверх | Cообщить модератору

116. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от senaemail (ok), 18-Дек-24, 14:25 
>> Так GPG, если верить тем, кто его использует не только для красоты, как раз-таки работает из рук вон плохо
> Потому что апи проектировали аутисты для наркоманов.
> Или наркоманы для аутистов? Сложно точно утверждать.

Возможно апи надо доработать, улучшить и т.п. Однако для этого не надо же переписывать всё на расте :)

Ответить | Правка | Наверх | Cообщить модератору

137. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от Аноним (-), 18-Дек-24, 22:49 
> Возможно апи надо доработать, улучшить и т.п.

Возможно. А вы когда-либо пробовали такое провернуть?
Сразу же начинается:
- у меня все работает!
- да, апи "немножко по дe6ильному написан" (c), но все уже привыкли, не переучиваться же!
- вы что, вы обязаны сохранить обратную совместимость! иначе у меня полторы башпортянки сломаются!
...
И это еще не дошли до обсуждения как именно нужно менять)))

> Однако для этого не надо же переписывать всё на расте :)

Вот иногда... хотя кого я обманываю, очень даже часто когда, проще и быстрее переписать с нуля, чем договориться со всеми заинтересованными сторонами и мимокрокодилами.


Ответить | Правка | Наверх | Cообщить модератору

138. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от senaemail (ok), 18-Дек-24, 23:56 
> Вот иногда... хотя кого я обманываю, очень даже часто когда, проще и
> быстрее переписать с нуля, чем договориться со всеми заинтересованными сторонами и
> мимокрокодилами.

Ну да, в результате несколько дублирующих друг друга по странным причинам (типа не смогли договориться) проектов, в то время как есть реально нерешённые проблемы. Плохой апи в gpg это в бесконечно число раз лучше, чем полное отстутсвие свободного решения в другой области.

Ответить | Правка | Наверх | Cообщить модератору

115. "Первый стабильный релиз PGP-инструментария sq от проекта Seq..."  +/
Сообщение от senaemail (ok), 18-Дек-24, 14:11 
> Так GPG, если верить тем, кто его использует не только для красоты,
> как раз-таки работает из рук вон плохо. Неудивительно что за десятилетия
> существования он так и не получил популярности.

В Дебиане давно используется не для красоты, а для подписи пакетов и для голосования, не помню чтобы сильно жаловался кто-то. Но может я пропустил.

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру