Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Сопровождающий libxml2 отказался от особого отношения к устранению уязвимостей"	+/–
Сообщение от opennews (??), 21-Июн-25, 11:31
Ник Велнхофер (Nick Wellnhofer), сопровождающий библиотеку libxml2, объявил, что отныне будет трактовать уязвимости как обычные ошибки. Сообщения об уязвимостях не будут рассматриваться в приоритетном порядке, а станут исправляться по мере появления свободного времени. Информация о сути уязвимости будет размещаться в публичном доступе сразу, не дожидаясь формирования патча и распространения исправления в дистрибутивах и операционных сиcтемах. Ник также снял с себя полномочия сопровождающего библиотеку libxslt и высказал сомнения в том, что найдётся кто-то готовый взять на себя её поддержку... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63437
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. Скрыто модератором	–12 +/–
Сообщение от Аноним (1), 21-Июн-25, 11:31
Это программистский террор. Пусть уходит с поста мейнтейнера, а либу передаст в редхат или Гугл, им есть вера, они не обманут.
Ответить | Правка | Наверх | Cообщить модератору

2. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+13 +/–
Сообщение от iPony128052 (?), 21-Июн-25, 11:32
А что так можно было?
Ответить | Правка | Наверх | Cообщить модератору

	7. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+7 +/–
	Сообщение от Аноним (7), 21-Июн-25, 11:38
	«Вам никто ничего не должен»
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (1), 21-Июн-25, 13:12
	"Ваши ожидания это ваши проблемы"
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (59), 21-Июн-25, 13:24
	Проблемы? Иди и переписывай на Раст, чего до автора докопался?
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+1 +/–
	Сообщение от Аноним (33), 21-Июн-25, 12:32
	Годами опенсорс специально не доделывают, чтобы зарабатывать на поддержке. Вы узнали об этом только сейчас?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	56. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+3 +/–
	Сообщение от 12yoexpert (ok), 21-Июн-25, 13:23
	прививку тоже сделал, фанатик?
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (59), 21-Июн-25, 13:24
	Жертва прививок у нас тут только ты.
	Ответить | Правка | Наверх | Cообщить модератору

	80. Скрыто модератором	+1 +/–
	Сообщение от Жеронимо (?), 21-Июн-25, 14:02
	Когда ты в последний раз доделывал программу? не считая хеллоу ворлд? Тоже получается из их секты?
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

3. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+5 +/–
Сообщение от Аноним (3), 21-Июн-25, 11:33
Я так понимаю крупные компании понимают свободное ПО, как бесплатное, и пытаются сэкономить.
Ответить | Правка | Наверх | Cообщить модератору

	13. Скрыто модератором	–5 +/–
	Сообщение от Аноним (-), 21-Июн-25, 11:50
	Именно! И не только крупные компании. Ты что не слышал аргументов "гимп это как фотошот, но бесплатно", "линукс лучше винды, потому что бесплатный". К сожалению коммуняцкий манифест-ГНУ в первую очередь защищает пользователей. А программеры, согласно нему, должны жить на пожертвования. В итоге лицензии, которые хотят брать деньги с бизнеса, объявляются "не свободными" и всячески лживо обличаются всякими подкорповскими подстилками типа FSF и OSI. Что естественно только выгодно большому бизнесу.
	Ответить | Правка | Наверх | Cообщить модератору

	27. Скрыто модератором	+/–
	Сообщение от Аноним (3), 21-Июн-25, 12:18
	Та даже дело не в отмене лицензий, которые будет поощрять разработчиков, сколько порядочность этих самых "крупных компаний", которые ни на долю не задонятят этим, считай, волонтерам. Хорошо когда лицензия либы свободна и безусловна, именно это и нужно поощрять.
	Ответить | Правка | Наверх | Cообщить модератору

	34. Скрыто модератором	+4 +/–
	Сообщение от Аноним (34), 21-Июн-25, 12:34
	Братуха ты забываешь что манифест это не закон и не предписание. Ни корпорация, ни ГНУ не заставляют выбирать "коммуняцкую" лицензию. Сначала програмер выбирает лицензию и только потом на результатах кормится корпорация. >объявляются "не свободными" Всё корректно, у fsf своё определение свободы касательно кода, всё что с ним не бьётся — несвободное (с т.з. fsf, её можно (сюрприз!) не учитывать) В общем шёл бы ты заниматься пропагандой и подтасовками в другом месте…
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	35. Скрыто модератором	+1 +/–
	Сообщение от Аноним (33), 21-Июн-25, 12:37
	Перечитайте термин коммунизма. >"А программеры, согласно нему, должны жить на пожертвования. " Программист может выбрать какую угодно лицензию, его силой заставляют использовать ГНУ лицензию и писать комментарии о том, какая плохая лицензия? Если хотите заработать - Выпускайте опенсорс недоделку и зарабатывайте на поддержке!
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	40. Скрыто модератором	+2 +/–
	Сообщение от Аноним (-), 21-Июн-25, 12:55
	>коммуняцкий манифест-ГНУ Признак тролля. Впредь не читаем такого рода сообщения.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	61. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (59), 21-Июн-25, 13:25
	Бинго!
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Сопровождающий libxml2 отказался от особого отношения к устр..."	–1 +/–
Сообщение от Аноним (4), 21-Июн-25, 11:36
Вот это правильно! Нельзя скрывать проблемы: https://www.debian.org/social_contract
Ответить | Правка | Наверх | Cообщить модератору

5. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+7 +/–
Сообщение от Аноним (5), 21-Июн-25, 11:36
Большая часть уязвимостей высосана из пальца инфосеками.
Ответить | Правка | Наверх | Cообщить модератору

	15. "Сопровождающий libxml2 отказался от особого отношения к устр..."	–2 +/–
	Сообщение от Аноним (15), 21-Июн-25, 11:52
	>  Большая часть уязвимостей высосана из пальца инфосеками. Ваши уязвимости не уязвимости!!!111Это просто баг! А, что? Выполнился сторонний код? Не, ну это бывает, дело-то житейское.
	Ответить | Правка | Наверх | Cообщить модератору

	21. Скрыто модератором	+/–
	Сообщение от Аноним (21), 21-Июн-25, 12:05
	Согласен(без сарказма). Вообще, любая уязвимость - тема крайне спекулятивная.. фокус внимания которой выставлен на факт присутствия некой огромной "опасности" от уязвимости, хотя по факту "стригут шерсть" уже иными способами.. намного проще и легче.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Сопровождающий libxml2 отказался от особого отношения к устр..."	–2 +/–
Сообщение от Аноним (6), 21-Июн-25, 11:38
>>По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2. Я думал он скажет что пусть компании присылают патчи и пулл реквесты фиксящие уязвимости, но нет. Видать какая обидка у него, а не здравый смысл.
Ответить | Правка | Наверх | Cообщить модератору

	9. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+3 +/–
	Сообщение от Аноним (9), 21-Июн-25, 11:45
	А он это тоже говорит: >>This policy will probably make some downstream users nervous, but maybe it encourages them to contribute a little more. >>Originally it was kind of a growth hack, but now these companies make billions of profits and refuse to pay back their technical debt, either by switching to better solutions, developing their own or by trying to improve libxml2
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Сопровождающий libxml2 отказался от особого отношения к устр..."	–6 +/–
	Сообщение от Аноним (15), 21-Июн-25, 11:51
	> these companies make billions of profits and refuse to pay back their technical debt > THEIR technical debt А фигли этот technical debt - their? Кто овнокод написал? Корпы? Нет! Этот technical debt его и предыдущих авторов libxml2. Сам вписался, сам подписал social contract, как втирали в соседней новости, сам виноват. Ведь от его ошибок страдают не корпы, а обычные люди, в том числи линуксойды. Если не может делать хорошо, то зачем вообще делает. Развелось тут любителей бракоделить просто "по фану".
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+1 +/–
	Сообщение от Аноним (22), 21-Июн-25, 12:07
	Ну так иди патчи сделай, раз уж такой герой.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+2 +/–
	Сообщение от Аноним (37), 21-Июн-25, 12:44
	> А фигли этот technical debt - their? > Кто овнокод написал? Корпы? Нет! ну таки корпы. Вместо того чтобы написать себе нормальную библиотеку они втянули libxml2 чтобы быстро написать свой овнокод. Теперь все проблемы связанные с этим их решением — это их технический долг > Ведь от его ошибок страдают не корпы, а обычные люди обычные люди вообще не знают, что такое libxml2 > в том числи линуксойды я все равно не напишу лучше, так что потерплю > Если не может делать хорошо, то зачем вообще делает. судя по популярности написать лучше не могу не только я > Развелось тут любителей бракоделить просто "по фану". развелось тут генераторов ценных указаний
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	74. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (74), 21-Июн-25, 13:39
	> А фигли этот technical debt - their? > Кто овнокод написал? Корпы? Нет! > Этот technical debt его и предыдущих авторов libxml2. Так а зачем корпы тогда использовали библиотеку с таким техническим долгом? Почему бы не взяли и написали сами свою без долга?
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	79. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (79), 21-Июн-25, 14:02
	Так, а что сложного прочитать, что заявлено? Или зачем читать, когда можно себе что-нибудь придумать, и потом вопить, как потерпевший? Жертвой, же, себя выставлять так приятно, да? Все вокруг вас бегать, начинают, сопельки подтирают. Фу, на таких крыс, не ценящиг труда людей.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	11. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от llolik (ok), 21-Июн-25, 11:47
	Да не то, чтобы обидка. ИМХО скорее напоминание, что задалбывать почтой "почему ещё не исправили чтототам" не стоит, потому что автор делает работу по фану и, если уж вы не шлёте патчи и не платите за работу, то идите в направлении зарослей хрена.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	31. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+2 +/–
	Сообщение от Аноним (31), 21-Июн-25, 12:31
	а будь ты маинтейнером, ты бы аппрувил присланные патчи не глядя? так то присланный патч необходимо ревьювить, а вместе или вместо исправлений могут быть и закладки.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	65. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+1 +/–
	Сообщение от Аноним (65), 21-Июн-25, 13:31
	> Видать какая обидка у него, а не здравый смысл. Он видать коменты на опеннете начал читать и понял, что занимается неблагодарной работой, вот и решил повертеть всех на своем ...
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

10. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
Сообщение от Аноним (-), 21-Июн-25, 11:46
> лишь попытка крупных компаний вызвать у сопровождающих чувство вины и заставить работать бесплатно. так просто бери с этих денежных мешков деньги! просто смени лицензию на BSL или какую-то другую берущую деньги при комерческом использовании тебя же никто не осудит (кроме столманнутых фанатиков)
Ответить | Правка | Наверх | Cообщить модератору

	19. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (19), 21-Июн-25, 12:01
	Сменить на GPLv3 и уже можно брать с Гуглей, Мелкософтов и прочих поствщиков проприетарных браузеров.
	Ответить | Правка | Наверх | Cообщить модератору

	25. Скрыто модератором	+/–
	Сообщение от Аноним (-), 21-Июн-25, 12:14
	> Сменить на GPLv3 и ... они просто сделают форк с предыдущего коммита. Они не будут замарываться ЖПЛью.
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (79), 21-Июн-25, 14:08
	1. Насючнут верещать толпы "свободных". 2. Зачем закрывать доступ адекватным? 3. А смешанные лицензии это доп нагрузка. Чел правильно сделал. Хобби должно приносить удовольствие, а не проблемы. Никто не запрещает вложить дельги в разработку, если требуется продукт надёжный (донат, форк, своя разработка,...).
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

12. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+4 +/–
Сообщение от Аноним (15), 21-Июн-25, 11:47
> написана на языке небезопасно работающем с памятью, > содержит множество уязвимостей > не рекомендована для обработки не заслуживающих доверия данных. Наконец-то у кого-то нашлась смелость сказать правду! > лишь попытка крупных компаний вызвать у сопровождающих > чувство вины и заставить работать бесплатно. Так он и так работает бесплатно... > По мнению Ника для проекта было бы лучше, если > упомянутые компании прекратили использование libxml2. Ну да, а всякие дебианы пусть продолжаются пользоваться дырявым поделием... это ж попнесорс, а не мерзские корпы. Но вообще ситуация показательная: открытые либы на небезопасных языках ("memory-unsafe language", он сам так написал, никто за язык не тянул) не подходят для современного мира. Их нужно заменять на что-то другое. Возможно корпы это смогут сделать, раз от "сообщества" ничего ждать не приходится.
Ответить | Правка | Наверх | Cообщить модератору

	29. Скрыто модератором	+2 +/–
	Сообщение от Аноним (29), 21-Июн-25, 12:25
	когда по фану в игрульки играешь,ты работаешь геймером бесплатно, а когда мамкин суп кушаешь - дегустатором?
	Ответить | Правка | Наверх | Cообщить модератору

	38. Скрыто модератором	–1 +/–
	Сообщение от Аноним (-), 21-Июн-25, 12:45
	> когда по фану в игрульки играешь,ты работаешь геймером бесплатно, а когда мамкин > суп кушаешь - дегустатором? Когда я в игрульки играю то пострадать могут максимум оппы сопартицев, если это какой-то онлайн. Или вообще только моя подгорит, если оффлайн. А от бракоделия разрабов это либы могут пострадать сотни тысяч ни в чем неповинных пользователей дебиана и других дистров линукса! Причем они могут даже не догадываться о некомпетентности писак и продолжать думать что опенсорсу можно доверять. Зачем вообще он это делает, если не может делать нормально??
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (79), 21-Июн-25, 14:12
	Есть большая разница между тем, чтобы бесплатно для своего удовольствия делать то, что тебе нравится, и тем, чтобы быть чьей-то шестеркой. Ну и, внезапно, опенсорс он про то и есть, что берут, что есть, а не что-то пишут надёжное.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

20. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+4 +/–
Сообщение от DroidBot (?), 21-Июн-25, 12:05
Это жеж ок, что в Арче от этой либы зависят 1698 пакетиков? Там тебе и электроны, и аутофсы, и ффмпеги и чего только всеми широко любимого нет... Вернее, действительно - проще сказать чего там нет! А вы, корпорасты. Эдак половину линуха можно будет положить.
Ответить | Правка | Наверх | Cообщить модератору

	24. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+1 +/–
	Сообщение от pic (??), 21-Июн-25, 12:13
	Ничего вечного не бывает, таков мир, уязвимости на доску объявлений, шлите патчи, если либа вам нужна.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+1 +/–
	Сообщение от Аноним (-), 21-Июн-25, 13:08
	> Это жеж ок, что в Арче от этой либы зависят 1698 пакетиков? Конечно. Все равно ни один человек не пострадает :) > Эдак половину линуха можно будет положить. Если сообщество подхватит разработку, то все будет нормально. Т.е. шансов почти нет))
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

23. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+7 +/–
Сообщение от pic (??), 21-Июн-25, 12:11
У каждого человека должно быть время на личную жизнь и укорять что он не раб очень гнусно, если кому-то что-то не нравится - выход вон там.
Ответить | Правка | Наверх | Cообщить модератору

	94. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (94), 21-Июн-25, 14:46
	> укорять что он не раб очень гнусно, если кому-то что-то не нравится - выход вон там. Не нравится что-то именно ему, но вместо того, чтобы идти к выходу, он начал вредить проекту, раскрывая детали об уязвимостиях рашье времени.
	Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором	+/–
Сообщение от Аноним (26), 21-Июн-25, 12:16
SwiftXML
Ответить | Правка | Наверх | Cообщить модератору

28. "Сопровождающий libxml2 отказался от особого отношения к устр..."	–2 +/–
Сообщение от dannyD (?), 21-Июн-25, 12:20
мда.... посмотрел зависимости от этих пакетов и легка .... оторопел...
Ответить | Правка | Наверх | Cообщить модератору

	36. Скрыто модератором	+/–
	Сообщение от Аноним (36), 21-Июн-25, 12:41
	Что именно вас так впечатлило, юноша?
	Ответить | Правка | Наверх | Cообщить модератору

	39. Скрыто модератором	–2 +/–
	Сообщение от dannyD (?), 21-Июн-25, 12:50
	главное, чтоб вы, старпер, не уср@лись.
	Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором	–2 +/–
Сообщение от Аноним (94), 21-Июн-25, 12:31
> Информация о сути уязвимости будет размещаться в публичном доступе сразу, не дожидаясь формирования патча и распространения исправления АХАХА! Это прямо пробитие нового дна в халатной сишочной разработки: не только спустя рукава писать дырявый софт на недоязыке из 70х, но еще и намеренно выкладывать в публичный доступ сведения о дыренях в нем. Жду мастер-класс по ментальной акробатике от местных экспертов, защищавших сишочку в предыдущей новости о сабже. Что это, друзья: "опа, закладочка" или "прагматичный подход"? 🤣 > переход к обработке уязвимостей как обычных ошибок даст возможность Нику сосредоточиться на основной работе над libxml2 То есть не фиксить вулны, а наваливать нового г*кода с новыми вулнами. 👍 И, конечно же, сразу же публиковать о них сведения, не дожидаясь фикса. 🤣 > скрытие сведений об уязвимостях до публикации обновлений и метрики типа OpenSSF Scorecard лишь попытка крупных компаний вызвать у сопровождающих чувство вины и заставить работать бесплатно. Нет, друг - это лишь попытка уменьшить потенциальный урон от использования твоего дырявого сишочного кода. Но попытка тщетная, ведь ты у нас особенный и здравый смысл тебя не касается. > По словам Ника, библиотека libxml2 не обладает уровнем качества, пригодным для использования в браузерах и операционных системах. > По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2. А для чего тогда она пригодна, лол? И главный вопрос: накой ты ее до сих пор пишешь?
Ответить | Правка | Наверх | Cообщить модератору

	46. Скрыто модератором	+/–
	Сообщение от Аноним (46), 21-Июн-25, 13:10
	>накой ты ее до сих пор пишешь может, умеет, практикует. Насколько хорошо не обязательно ему об этом заботиться.
	Ответить | Правка | Наверх | Cообщить модератору

	49. Скрыто модератором	+/–
	Сообщение от Аноним (74), 21-Июн-25, 13:13
	А по-моему full disclosure - вещь здравая > Нет, друг - это лишь попытка уменьшить потенциальный урон от использования твоего дырявого сишочного кода. Так а те, кто заиспользовали в своём крутом продукте дырявую либу с один разрабом - умные что ли? Их здравый смысл и соображения о собственной безопасности не касаются? Ах да, у них у всех тоже absolutely no warranty > А для чего тогда она пригодна, лол? И главный вопрос: накой ты ее до сих пор пишешь? Но тут согласен, да, звучит немного странно. Скорее как крик души человека, на которого взвалилось
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	53. Скрыто модератором	+/–
	Сообщение от Аноним (-), 21-Июн-25, 13:19
	> А по-моему full disclosure - вещь здравая В чем здравая? Чтобы пострадали пользователи, пока фиксы раскатываются на большие системы? Эта практика появилась не просто так. > Скорее как крик души человека, на которого взвалилось Ну да, взвалилось. Сам на себя взвалили, никто его не заставлял.
	Ответить | Правка | Наверх | Cообщить модератору

	58. Скрыто модератором	+/–
	Сообщение от Аноним (74), 21-Июн-25, 13:23
	> В чем здравая? Чтобы пострадали пользователи, пока фиксы раскатываются на большие системы? Держит всех в тонусе. Заставляет именно что исправлять уязвимости, а не отбрехиваться, игнорить. Брюс Шнайер еще в 2007 году писал эссе об этом https://www.schneier.com/essays/archives/2007/01/schneier_fu... И он пишет, что responsible disclosure тоже хорош - но его хорошесть работает, только пока есть "угроза" full disclosure В целом full disclosure показывает "реальный мир" софта, насколько он дыряв, и этим хороша
	Ответить | Правка | Наверх | Cообщить модератору

	75. Скрыто модератором	+/–
	Сообщение от Аноним (-), 21-Июн-25, 13:45
	> что responsible disclosure тоже хорош - но его хорошесть работает, > только пока есть "угроза" full disclosure Ну так там всегда есть время - обычно 30, 60 или 90 дней - после которого наступает full disclosure не зависимо от того успели вы обновиться или нет. > В целом full disclosure показывает "реальный мир" софта, насколько он дыряв, и > этим хороша Насколько дыряв современный софт хорошо показывает cve.org и всякие конкурсы по взлому.
	Ответить | Правка | Наверх | Cообщить модератору

	62. Скрыто модератором	+/–
	Сообщение от Аноним (62), 21-Июн-25, 13:25
	Так очевидно из текста автора библиотеки, что он по жизни такой - обиженка, любит надувать щёчки и топать ножками, когда что-либо не по его хотелкам. Если автор хочет творить и не исправлять выявленные уязвимости, кто же ему запрещал создать свой собственный проект, втянув в него чего ты хотелось из libxml2? Нет же, ему хотелось как-то прославится, поднять имя на уже известном проекте, хотя по факту оказалось, что это выше его сил. Сейчас же он, обгадившись, утверждает, что все вокруг виноваты, что ждут от него большего, чем он способен дать, и рекомендует отказаться от проекта, который существовал до его появления в нём. Также этот обиженка делает ничем не обоснованное утверждение, что библиотеку libxslt никто не будет сопровождать кроме него. И все это вместо того, чтобы стыдливо отойди в сторонку и посмотреть, какая реально востребованность у обеих библиотек и кто готов вложиться в их развитие. У меня почему-то предчувствие, что те же корпорасты не дождавшись очередного "Ника" будут вынуждены вложиться в развитие.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

41. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
Сообщение от Аноним (41), 21-Июн-25, 12:56
Какие еще есть варианты кроме libxml2? Где второй стул?
Ответить | Правка | Наверх | Cообщить модератору

	47. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (46), 21-Июн-25, 13:11
	saxon, есть он же за деньги
	Ответить | Правка | Наверх | Cообщить модератору

42. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
Сообщение от Аноним (42), 21-Июн-25, 12:57
> Отмечается, что скрытие сведений об уязвимостях до публикации обновлений и метрики типа OpenSSF Scorecard лишь попытка крупных компаний вызвать у сопровождающих чувство вины и заставить работать бесплатно. То есть, проклятые корпорации нашли вместо этого персонажа в его дырявом коде уязвимости, подробно их расписали и принесли ему на тарелочке - а он заявляет "вы не заставите меня работать за бесплатно!" и тут же вываливает о них сведения публично? Это какой-то новый уровень неадекватности и некомпетентности в опенсорсе. > По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2. Та не, дружок, лучше бы ты перестал мучать опу, раз не вывозишь, и снял с себя полномочия, чтобы появился какой-то более адекватный и компетентный маинтайнер.
Ответить | Правка | Наверх | Cообщить модератору

	51. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+1 +/–
	Сообщение от Аноним (74), 21-Июн-25, 13:15
	> То есть, проклятые корпорации нашли вместо этого персонажа в его дырявом коде уязвимости, подробно их расписали и принесли ему на тарелочке - а он заявляет "вы не заставите меня работать за бесплатно!" и тут же вываливает о них сведения публично? А я лично тут на стороне автора либы. Корпорации сами должны были головой думать, когда используют либу с одним мейнтейнером в своих проектах. А так ты используешь бесплатно чей-то труд, и еще пальцы гнешь, что плохо что-то забесплатно на тебя поработали. Ну так сделай сам, и сделай лучше! > чтобы появился какой-то более адекватный и компетентный маинтайнер Думаешь стоит очередь из желающих?
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (55), 21-Июн-25, 13:21
	> А я лично тут на стороне автора либы. Корпорации сами должны были головой думать, когда используют либу с одним мейнтейнером в своих проектах. А так ты используешь бесплатно чей-то труд, и еще пальцы гнешь, что плохо что-то забесплатно на тебя поработали. Ну так сделай сам, и сделай лучше! А это не вы и вам подобные здесь всё время рассказываете: не используйте ничего от корпов. Это плохо, завязка на корпов это грех. А опенсорснутое и поддерживаемое корпами тоже нельзя использовать. Собирайте сами, вот из таких либхмл своё. Мозги не рвёт от такого двоемыслия?
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+1 +/–
	Сообщение от Аноним (74), 21-Июн-25, 13:26
	Ну я лично - нет, не рассказываю. Для меня лично любая зависимость - это потенциальный риск, поэтому всякий раз приходится думать, идти на него или нет. И дело тут не в корпах и не корпах даже. Заиспользовать поддерживаемую условным гуглом либу в активной разработке - да, вполне, принимаю риск. Заиспользовать leftpad от Васяна? Ни за что, напишу лучше этот код сам
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (94), 21-Июн-25, 13:52
	> Корпорации сами должны были головой думать, когда используют либу с одним мейнтейнером в своих проектах. О чем думать? Что он будет настолько неадекватным, что станет публиковать сведения об уязвимостях ДО того, как их пофиксят? > А так ты используешь бесплатно чей-то труд, и еще пальцы гнешь, что плохо что-то забесплатно на тебя поработали. Корпы как раз пальцы не гнули, а таки нашли ему уязвимости в проекте. За бесплатно. И казалось бы, обе стороны должны быть довольно, но вот именно маинтайнер начал гнуть пальцы "я не работаю за бесплатно, проклятые корпы!". Дичь да и только. > Думаешь стоит очередь из желающих? Думаю, что с таким маинтайрером хуже, чем без него. По крайней мере никто бы инфу о вулнах не публиковал преждевременно. А при наличии этого неадеквата выхда есть только два: * Ты сообщаешь ему о вулне: пользователи тут же подвергаются опасности, ведь инфа о вулне тут же публикуется еще до фиксов - прямо злодеям на болюдечке. * Ты не сообщаешь ему о вулне: пользователи хоть какое-то время остануться в теоретической безопасности, ведь злодеи о вулне, возможно, пока еще не знают. Теорема Эскобара прямо. Ну вы головой хоть иногда думайте...
	Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

	89. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (74), 21-Июн-25, 14:33
	> О чем думать? Что он будет настолько неадекватным, что станет публиковать сведения об уязвимостях ДО того, как их пофиксят? Ну пусть так, но да, об этом тоже стоило подумать. Не согласны? > Ты не сообщаешь ему о вулне: пользователи хоть какое-то время остануться в теоретической безопасности, ведь злодеи о вулне, возможно, пока еще не знают. Full disclosure - благо, так хоть пользователи понимают, что рискуют. Security through obscurity, "злодеи наверное ещё не знают" - вот что настоящее зло и наивность
	Ответить | Правка | Наверх | Cообщить модератору

	96. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (94), 21-Июн-25, 14:56
	> Ну пусть так, но да, об этом тоже стоило подумать. Не согласны? Не согласен, потому что взрослые люди рассчитывают на какой-то минимальный уровень здравого смысла и адекватности. Это, по-моему, первый прецедент такой дичи - так с чего вообще кому-то было думать о таком сценарии? Ведь по такой логике нужно было думать и о возможности намеренной вставки авторои вредоносного кода, типа как это не так давно было с бэкдором в xz/liblzma. И тогда окажется, что единственный выход - это вообще не использовать сторонний код, а писать все сугубо самому с нуля. Но это не реалистичный сценарий, к сожалению.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (-), 21-Июн-25, 13:17
	> чтобы появился какой-то более адекватный и компетентный маинтайнер. От эпла или гугла. И все начнут кричать что "корпы захватывают опенсорс".
	Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

	73. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (94), 21-Июн-25, 13:38
	> И все начнут кричать что "корпы захватывают опенсорс". Нет, не начнут: все ядро Linux пишется корпами и ничего - все кушают за обе щеки.
	Ответить | Правка | Наверх | Cообщить модератору

	76. Скрыто модератором	+/–
	Сообщение от Аноним (-), 21-Июн-25, 13:48
	> Нет, не начнут: все ядро Linux пишется корпами и ничего - все > кушают за обе щеки. А как это мешает им начинать?)) Или даже продолжать. Во в соседних темах рассказывают, что линукс пишется энтузиастами, и корпы просто паразитируют на их труде. И что линукс стал популярным исключительно из-за "сообщества"))
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Буквально (?), 21-Июн-25, 14:40
	>подробно их расписали и принесли ему на тарелочке Без присланного патча не бывает "на тарелочке". Мы, когда у нас джун вляпался в баг в опенсорс либе, заставили его наш локальный патч довести до ума, добавить в него тестов и отправить пул-реквестом в апстрим. Апстрим попросил попровить пару кодостильных мелочей и после правки принял реквест. Что мешает Микрософту и Ко посадить чела на полставки править libxml2 и засылать туда патчи?
	Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

43. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
Сообщение от onanim (?), 21-Июн-25, 13:04
изи катка: поменял лицензию своей либы на проприетарную, денежные мешки форкнули либу и исправили все баги силами своих оплачиваемых штатных программистов, профит.
Ответить | Правка | Наверх | Cообщить модератору

	69. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (62), 21-Июн-25, 13:34
	Прикол то в том, что либо не его. Он лишь вписался в неё, видимо с желанием как-то раскрутить свое имя. С таким же успехом может выйти. За лицензию такому олуху никто ничего не понесёт - сделают копию и продолжат пользовать и развивать её.
	Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором	+/–
Сообщение от Аноним (-), 21-Июн-25, 13:06
Неужели Ник Велнхофер читает опеннет? И обиделся, что его детище закидали кахахами в прошлой теме? Так вот. Ник, если ты читаешь мое сообщение, то тебя ни кто не хотел обидеть. Просто тут контингент такой, злые троли, которые готовы устраивать cpaч на любую тему.
Ответить | Правка | Наверх | Cообщить модератору

57. "Сопровождающий libxml2 отказался от особого отношения к устр..."	–2 +/–
Сообщение от Аноним (59), 21-Июн-25, 13:23
Уязвимые истерички достали. Какие проблемы переписывайте на раст. Автор полностью прав.
Ответить | Правка | Наверх | Cообщить модератору

	66. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (62), 21-Июн-25, 13:31
	Автор не прав. И к тому же обиженка и маменькин сынок, которому хочется, чтобы все было как хочется ему. Не можешь справиться с чужим проектом - уступи другому. Это не рабство, текущий разработчик может в любой момент отказаться от своего лидерства в этом проекте.
	Ответить | Правка | Наверх | Cообщить модератору

	71. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+1 +/–
	Сообщение от Аноним (65), 21-Июн-25, 13:35
	> Это не рабство, нашел уязвимость, поди сам и исправляй, на что автор и указал, в чем проблема? в дармоедах проблема!
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (79), 21-Июн-25, 14:23
	Так вон, хслт предложил желающим, да что-то "лес рук". Все про "обиженка" яростно пишут, вместо кода. :D
	Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

	67. "Сопровождающий libxml2 отказался от особого отношения к устр..."	–1 +/–
	Сообщение от Аноним (-), 21-Июн-25, 13:32
	> Уязвимые истерички достали. Какие проблемы переписывайте на раст. Автор полностью прав. При чем тут раст? Опять пытаетесь растосрач начать? Автор расписался в своем неосиляторстве писать без дыреней. А потом еще добавил что ему пофиг на пользователей, в том числе огромное кол-во пользователей опенсорса - посмотрите сколько пакетов в дебе зависят от этой либы. Если он не тянет - ну так сказал бы "я устал, я мухожук". Ему бы начали подыскивать замену. А он вместо этого начинает быковать и ставить под удар пользователей линукса.
	Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

	86. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (79), 21-Июн-25, 14:24
	Уметь читать не надо. А если и надо, то понимать прочитанное не нужно, да.
	Ответить | Правка | Наверх | Cообщить модератору

64. "Сопровождающий libxml2 отказался от особого отношения к устр..."	–1 +/–
Сообщение от Аноним (62), 21-Июн-25, 13:29
Так очевидно из текста автора библиотеки, что он по жизни такой - обиженка, любит надувать щёчки и топать ножками, когда что-либо не по его хотелкам. Если автор хочет творить и не исправлять выявленные уязвимости, кто же ему запрещал создать свой собственный проект, втянув в него чего ты хотелось из libxml2? Нет же, ему хотелось как-то прославится, поднять имя на уже известном проекте, хотя по факту оказалось, что это выше его сил. Сейчас же он, обгадившись, утверждает, что все вокруг виноваты, что ждут от него большего, чем он способен дать, и рекомендует отказаться от проекта, который существовал до его появления в нём. Также этот обиженка делает ничем не обоснованное утверждение, что библиотеку libxslt никто не будет сопровождать кроме него. И все это вместо того, чтобы стыдливо отойди в сторонку и посмотреть, какая реально востребованность у обеих библиотек и кто готов вложиться в их развитие. У меня почему-то предчувствие, что те же корпорасты не дождавшись очередного "Ника" будут вынуждены вложиться в развитие.
Ответить | Правка | Наверх | Cообщить модератору

	72. Скрыто модератором	+/–
	Сообщение от Аноним (65), 21-Июн-25, 13:37
	> И все это вместо того, самим пилить в падлу?
	Ответить | Правка | Наверх | Cообщить модератору

81. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
Сообщение от Аноним (81), 21-Июн-25, 14:04
В readme в авторах либы перечислены  шесть человек     Daniel Veillard     Bjorn Reese     William Brack     Igor Zlatkovic for the Windows port     Aleksey Sanin     Nick Wellnhofer Наш Ник присоединился в 2016. Но до него много кода уже было написано, например Veillardʼом который продолжает участие.
Ответить | Правка | Наверх | Cообщить модератору

84. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
Сообщение от Аноним (84), 21-Июн-25, 14:17
Всё правильно сделал. Корпорасты просто возьмут и на Rust перепишут с помощью ИИ, и назовут libxml3. И правильно. Сопровождающего уже достало бесплатно работать. Он и рад бы с себя скинуть - но либа самому нужна.
Ответить | Правка | Наверх | Cообщить модератору

87. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
Сообщение от Аноним (87), 21-Июн-25, 14:30
Гном нужно расфоркать и развивать проекты дальше. Кеды вон не жалуются, без раста целую экосистему возвели.
Ответить | Правка | Наверх | Cообщить модератору

88. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
Сообщение от ProfessorNavigator (ok), 21-Июн-25, 14:32
А всё почему? А потому что лицензия не GPL или подобная...
Ответить | Правка | Наверх | Cообщить модератору

	92. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (-), 21-Июн-25, 14:42
	> А всё почему? А потому что лицензия не GPL или подобная... С GPLv2/v3 ее вообще бы никто не пользовался. Потому что он заражает все подряд. А если был бы LGPL - то вообще ничего бы не поменялось.
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от ProfessorNavigator (ok), 21-Июн-25, 14:48
	> С GPLv2/v3 ее вообще бы никто не пользовался. Пользовались бы, никуда б не делись. Самим то людей нанимать и писать - жаба душит. > Потому что он заражает > все подряд. Так о том и речь, что именно так и надо поступать. Хочешь пользоваться - пользуйся. Только будь добр свой код открыть. Не хочешь - значит не пользуйся. > А если был бы LGPL - то вообще ничего бы не поменялось. Не знаю, я с ней особо не разбирался.
	Ответить | Правка | Наверх | Cообщить модератору

	97. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (-), 21-Июн-25, 14:57
	> Пользовались бы, никуда б не делись. Самим то людей нанимать и писать - жаба душит. Ага, вот взяли и использовали раковый ГЦЦ, который хотел чтобы код который им скомпилировали, становился GPL... А нет! Создали свободный Clang-LLVM который заменил GCC для многих проектов. Там 130к строк СИшного кода. Думаю форки и альтернативы уже не за горами, просто о проблеме никто не знал. > Так о том и речь, что именно так и надо поступать. Хочешь пользоваться - пользуйся. Только будь добр свой код открыть. Не хочешь - значит не пользуйся. Значит не будут пользоваться) Напишут свободную альтернативу. > Не знаю, я с ней особо не разбирался. Она позволяет линковаться без раскрытия кода.
	Ответить | Правка | Наверх | Cообщить модератору

90. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
Сообщение от Аноним (90), 21-Июн-25, 14:36
Не может быть такого, я думал что Google, Microsoft и прочие компании, ВСЁ САМИ ПИШУТ, ВЕСЬ ОПЕНСОРТ! Аноним (-) меня в этом убедил... мне что теперь анонимам не верить?
Ответить | Правка | Наверх | Cообщить модератору

	93. "Сопровождающий libxml2 отказался от особого отношения к устр..."	+/–
	Сообщение от Аноним (-), 21-Июн-25, 14:46
	> ВСЁ САМИ ПИШУТ, ВЕСЬ ОПЕНСОРТ Весь? Ни разу не слышал такое утверждение. Достаточно ядра, андроида и хрома) Кто-то же пишет васяноподелия для недоДЕ и прдольных поделок типа вимʼа
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема