| |
| 2.5, тоже Аноним (ok), 14:56, 27/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
 Это если не читать текст новости.
В ней же поясняется, что опасность от этих уязвимостей просто-напросто оценивается специалистами как недостаточная для того, чтобы строго следить за обновлениями и рисковать нарваться на регрессию.
| | |
| |
| 3.8, Anonim (??), 15:25, 27/03/2012 [^] [^^] [^^^] [ответить]
| +5 +/– |
За этими уязвимостями следят дистрибутивы и выпускают обновления безопсности (с разной степенью оперативности) Чего там все эти корпоративные юзеры качают и почему не последних версий (сознательно выбирают более старые версии?) - вопрос. Ради совместимости там где нет обновлений безопасности и вообще репов?
| | |
| |
| 4.21, VoDA (ok), 18:48, 27/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > За этими уязвимостями следят дистрибутивы и выпускают обновления безопсности (с разной
> степенью оперативности) Чего там все эти корпоративные юзеры качают и почему
> не последних версий (сознательно выбирают более старые версии?) - вопрос. Ради
> совместимости там где нет обновлений безопасности и вообще репов?
Че за бред? Указанные в новости фрейморки относятся к Web-технологиям. Что использование Struts, что использование GWT в принципе не пакетируются в Linux репозитории. Они являются частью приложения, а не внешней либой с которой можно слинковаться.
Стратс это сервлет который перефигачивает файлы из вида описания в то, что идет клиенту. Он же отвечает за связывание экранных форм и корректное преобразование типов... или Exception в ответ на попытку SQL-injection.
GWT вообще компиляет исходный код в JavaScript код, который дальше исполняется на клиенте.
По сути что Struts, что GWT имеют сложность на уровне интерпретатора PHP, но поскольку встраиваются в приложение, то вынос их как внешних либ затруднен.
| | |
| |
| |
| 6.55, vasek (?), 13:07, 30/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
ты уверен, что эти (да и не только эти) фреймоворки в дистрибутиве будут актуальны для веб-разработки?
сколько себя помню, у нас для приложений использовались свои сборки либ и фреймворков
| | |
|
|
|
|
|
| 1.2, XoRe (ok), 14:27, 27/03/2012 [ответить] [﹢﹢﹢] [ · · · ] | +/– |  Количество загрузок - очень синтетическое число Например, можно 1 раз скачать п... большой текст свёрнут, показать | | |
| |
| 2.3, Аноним (-), 14:40, 27/03/2012 [^] [^^] [^^^] [ответить]
| –2 +/– |
А почему, собсссно, об этом должны беспокоиться пользователи? Или даже пидо^Wпрограммисты, использующие фреймворки/библиотеки? ИМХО об этом должно свербить в ж^Wголове у разрабов инструментов, равно как и создание адекватной инфраструктуры обновлений. Двунаправленной. Как-никак, в 21м веке живем.
| | |
| |
| 3.16, arisu (ok), 18:16, 27/03/2012 [^] [^^] [^^^] [ответить]
| +3 +/– |
 а почему, собственно, об этом должны заботиться разработчики? они пишут, имеют багтрекеры, выпускают релизы. если кто-то хочет дополнительного сервиса — он платит деньги и получает этот сервис.
впрочем, я вижу, что ты недоволен такой ситуацией; так тебе и карты в руки! иди в любой проект и занимайся там созданием такой структуры. ведь ты же уверен, что это обязаны делать бесплатно? покажи пример, займись. глядишь — другие тоже подтянутся.
| | |
| 3.29, XoRe (ok), 19:50, 27/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
> А почему, собсссно, об этом должны беспокоиться пользователи? Или даже пидо^Wпрограммисты,
> использующие фреймворки/библиотеки? ИМХО об этом должно свербить в ж^Wголове у разрабов
> инструментов, равно как и создание адекватной инфраструктуры обновлений. Двунаправленной.
> Как-никак, в 21м веке живем.
А как разрабы jquery смогут обновить jquery в Вашем закрытом git репозитории?
Предложите двунаправленный вариант.
| | |
| |
| 4.30, arisu (ok), 19:51, 27/03/2012 [^] [^^] [^^^] [ответить]
| +3 +/– |
это же очевидно: надо взять кого-нибудь из них на работу.
| | |
| |
| 5.34, Аноним (-), 01:25, 28/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, положительно, сегодня наш Кэп в ударе. Эталонный капитан :).
| | |
|
|
|
| 2.7, Александр (??), 15:07, 27/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
Ммм... а подписные рассылки оповещений по емылу или рсс религия не позволяет?
Просто большинство ОС проектов даже не задумываются о том, что можно сделать публичные оповещения, используя стандартные механизмы (емыл, рсс...). Можно ведь просто подписчикам слать вышла версия х.у. исправлены уязвимости: ...
Не редко внедрить патчи в "свою" версию не составляет труда. В любом случае получение свежей информации о состоянии проекта полезно. И рассылку можно делать автоматическими скриптами по коммитам (понятно, что не каждый коммит интересен, это уже можно задать в скрипте, например, по наличию ключевого слова или по наложению нового тега, зависит от внутренних правил разработчика, можно даже несколько уровневую рассылку сделать, при желании).
Понятно, что если "юзер" дебил, и не способен подписаться на рассылку это не поможет, но благо мир не только из идиотов состоит:)
Не спора ради, но просто отмазки типа это не реализуемо, и т.п. - это просто бред.
| | |
| |
| 3.17, arisu (ok), 18:20, 27/03/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
делай! а если ты этого делать не хочешь — то почему кто-то другой должен?
| | |
|
|
| 1.4, Tav (ok), 14:54, 27/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
 Из списка Fortune 500?
Будьте среди лучших — используйте версии открытого ПО с известными уязвимостями!
| | |
| 1.6, Витюшко (?), 15:02, 27/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Почему бы не использовать клиент обновлений, который сможет проверять репозиторий на наличие новых commit/push в ветке. Например для скриптового LUA есть CURSE-client.
| | |
| |
| 2.18, arisu (ok), 18:21, 27/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> для скриптового LUA
откуда в Limited User Access скрипты?!
| | |
| 2.22, VoDA (ok), 18:56, 27/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Почему бы не использовать клиент обновлений, который сможет проверять репозиторий на наличие
Потому что никто из разрабов не хочет в свое ЛИЧНОЕ ВРЕМЯ проверять какой из JS скриптов отвалился при каждом минорном апдейте. А в рабочее РМ может сказать нах - бюджет подписан на 2 месяца разработки, значит через 2 месяца выпуск должен быть.
PS подпишут другой бюджет или начнут платить за постоянную поддержку или секьюрити саппорт - тогда да. Только очень мало какие компании согласны за это платить.
| | |
|
| 1.9, rshadow (ok), 15:35, 27/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 Проприетарщина во всей своей красе. Вместо того чтобы поставить нормальный дистрибутив и получать обновления на халяву, они все качают, компилят вручную... вообщем сначала надо в консерватории исправлять.
| | |
| |
| 2.10, Crazy Alex (ok), 15:49, 27/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Я тоже сначала так подумал... Потом понравилось и подумал ещё.
1) Если софт вебовский - то никакой энтерпрайз-дистрибутив за ним не успеет, а багфикс-версии для такого софта делать обычно не модно. То есть для спринга они, конечно, будут - а вот jQuery какой-нибудь обязательно притащит кроме багфиксов какие-то изменения.
2) Допустим у нас есть репозиторий. Но библиотеки обычно растаскиваются по каталогам проектов, и влёгкую в разных рпоектах могут быть разные версии одной библиотеки. Из известных мне такое только гента съест более-менее спокойно, но гуенту на вебовский продакшн лепить - это явный перебор.
Так что это не столько проприетарщина сколько отсутствие единого стандартного механизма, пригодного для веб-софта.
| | |
| |
| 3.23, VoDA (ok), 19:07, 27/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я тоже сначала так подумал... Потом понравилось и подумал ещё.
> 1) Если софт вебовский - то никакой энтерпрайз-дистрибутив за ним не успеет,
> а багфикс-версии для такого софта делать обычно не модно. То есть
> для спринга они, конечно, будут - а вот jQuery какой-нибудь обязательно
> притащит кроме багфиксов какие-то изменения.
интересно как можно сделать Linux-подходящую либу из JavaScript кода? учитывая, что JS не вызывается на сервере, а передается на исполнение клиенту. И уже работая на клиенте вызывает специфические для проекта сервисы.
Получается, что JS либу придется бить на части. Одна лежит в пакете (если его можно создать), а другая все равно впихивается в проект чтобы сконфигурировать работу с сервером, настроить UI и синхронизировать API между сервером и JS библиотекой.
| | |
|
|
| 1.14, Онаним (?), 17:42, 27/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Это конечно все туфта. За актуальностью библиотек следят производители дистрибутивов, которые безусловно профессиональнее отдельно взятого админа Васи.
Настоящая же беда с теми разработчиками софта, которые вместо самих библиотек используют копипаст из тех же библиотек. Ну и естественно, когда библиотека обновляется, то копипастный код не обновляется.
Одна радость, что так поступают, как правило виндозные разработчики.
| | |
| 1.19, trdm (ok), 18:31, 27/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 а остальные 146 - 50% = 96% компаний из списка Fortune 500 используют уязвимое закрытое ПО?
| | |
| |
| 2.24, XoRe (ok), 19:21, 27/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
> а остальные 146 - 50% = 96% компаний из списка Fortune 500
> используют уязвимое закрытое ПО?
Голоса разделились.
20% - неуязвимое, закрытое
30% - неуязвимое, открытое
40% - уязвимое, закрытое
и, с небольшим отрывом, уязвимое открытое победило на выборах, набрав 50% =)
| | |
|
| 1.32, Михрютка (?), 23:20, 27/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>Исследование, проведенное совместными усилиями компаний Sonatype и Aspect Security, показало, что более 50 процентов
девелоперов уроды. тоже мне новость.
Если криворукий столяр регулярно попадает себе молотком по пальцам, то виноват в этом молоток, который не предупреждает столяра о возможном соударении.
Да, конечно.
За свой продукт отвечать самому сейчас уже не модно.
| | |
| |
| 2.33, Аноним (-), 23:37, 27/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Если криворукий столяр регулярно попадает себе молотком по пальцам, то виноват в этом молоток, который не предупреждает столяра о возможном соударении.
Несколько неточно. Молоток крайним сделать не получится. А вот насчет производителей молотка ..
| | |
|
| 1.35, Dima (??), 10:13, 28/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Хочу заметить что компания Sonatype которая производила данное исследование- разработчик maven (см. http://www.apache-maven.ru/)
в maven'е есть репозиторий библиотек который позволяет управлять версиями продуктов, и в том числе использовать последние версии в автоматическом режиме.
| | |
| |
| 2.36, Dima (??), 10:16, 28/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
ну тоесть все библиотеки перечисленные java библиотеки: Google Web Toolkit, Spring MVC, Struts 1.X Hibernate, Struts 2 можно было бы легко обновить до последних весии указав в в pom.xml версию "LATEST"
| | |
| |
| 3.38, arisu (ok), 11:16, 28/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> ну тоесть все библиотеки перечисленные java библиотеки: Google Web Toolkit, Spring MVC,
> Struts 1.X Hibernate, Struts 2 можно было бы легко обновить до
> последних весии указав в в pom.xml версию «LATEST»
ага. я так понимаю, у ребят есть навороченый AI, который, вдобавок, починит весь код, сможет опознать трюки и workaround'ы для прошлых версий, найдёт в новых баги и внесёт в код трюки и workaround'ы для текущих версий и так далее. не понимаю только, почему такая крутая компания ещё не захватила весь рынок ПО: у них же есть искусственный программист, на основе которого можно нарисовать кнопку «сделай мне хорошо!»
| | |
| |
| 4.39, Dima (??), 11:26, 28/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
если для работы с библиотекой нужно использовать трюки и workaround'ы в заметном количестве то это плохая библиотека.
Правильно если сначала происходит сборка приложения(возможно автоматическая с выкладыванием на тестовый сервер), потом тестирование, и только потом выкладывание новой версии на продакшен
| | |
| |
| 5.40, arisu (ok), 11:32, 28/03/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
> если для работы с библиотекой нужно использовать трюки и workaround'ы в заметном
> количестве то это плохая библиотека.
я очень рад, что в твоём идеальном мире этого никогда не надо, и можно использовать только идеальные библиотеки. жаль, что в нашем мире такое получается далеко не всегда. а если есть ещё и 3rd-party код, который требует конкретных версий…
в общем, за пределами локалхоста и приветмира с идеальностью большие проблемы.
| | |
| |
| 6.42, Dima (??), 11:56, 28/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
работал со Spring, вручную обновлял версии в pom.xml, новые ошибки давали о себе знать порядка 1 раза за 10 апдейтов.
Вообще инфраструктура для для обновлений безопасности (только беопасности, без обновления функционала) не создана. Вполне могу представить что обновления безопасности применяются в автоматическом режиме для проекта, автоматически тестируются например c с помощью selenium и выкладываются в продакшен.
PS сейчас использовать версию "LATEST" в большом проекте признаюсь, да, рискованно, (особенно если в проекте используется больше зависимых 100 библиотек - могут возникнуть конфликты версий)
| | |
| |
| 7.43, arisu (ok), 12:03, 28/03/2012 [^] [^^] [^^^] [ответить]
| +2 +/– | |
вот это всё, тащемта, должны решать специальные люди, задача которых — отслеживать дырки и фиксы, своевременно всё обновлять и бить по рукам девелоперов, если что-то не заработало. но, как я уже писал, проприерасты жадные, как все чатлане.
я, если чо, тоже не совсем теорезирую по поводу апдейтов. правда, не веб-библиотек, но какая, в принципе, разница?
натурально, в проекте должно быть жестоко форсировано правило «любой хак/workaround помечается специальным видом комментария (для грепования) и подробно поясняется, что, как и почему». но даже это правило не помогает, потому что люди не идеальны, и иногда пишут подобные куски кода чисто автоматически (или даже не знают, что на самом деле написали хак).
хочу в идеальный мир! как дополнительный бонус — я тоже там буду писать идеальный код.
| | |
| |
| 8.45, Аноним (-), 12:06, 28/03/2012 [^] [^^] [^^^] [ответить] | +/– | Зачет, зачет На правах trolling-lite, начни с себя даешь идеальный код сегодня... текст свёрнут, показать | | |
| |
| 9.46, arisu (ok), 12:08, 28/03/2012 [^] [^^] [^^^] [ответить] | +/– | нененене, только после телепортации меня в идеальный мир я там тоже автоматичес... текст свёрнут, показать | | |
|
| 8.48, Dima (??), 12:35, 28/03/2012 [^] [^^] [^^^] [ответить] | +/– | проприерасты жадные, ага, а ты похоже любишь много работать, тебе бы только про... текст свёрнут, показать | | |
| |
| 9.49, arisu (ok), 12:48, 28/03/2012 [^] [^^] [^^^] [ответить] | +1 +/– | типичная логика ты тоже не можешь понять, что я как раз предлагаю то, где меньш... текст свёрнут, показать | | |
|
|
|
|
| |
| 6.56, Dima (??), 14:47, 30/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> С непременным jre нужной версии в пузе, угу.
это к чему я не понял..
фиксы безопасности к jre/jdk тоже нужны.
| | |
|
|
|
|
| 2.44, Аноним (-), 12:05, 28/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> в maven'е есть репозиторий библиотек который позволяет управлять версиями продуктов,
Слушай, дядя, если какой-то проприерас не может освоить уже наконец пакетный манагер и обновления без отвалов башки - может быть, он сам себе злобный баклан?
| | |
| |
| 3.47, Dima (??), 12:27, 28/03/2012 [^] [^^] [^^^] [ответить]
| –2 +/– | |
репозиторий библиотек в maven изначально создан для компиляции и сборки программ, управлениям и обновлением зависимостей(библиотк и фреймворков) а не для обновлений конечных продуктов.
Кстати у пакетных менеджеров есть недостаток - их много и они не совместимые. репозиторий maven можно использовать не только на любом линуксе но и на офтопике. И всё без каких либо изменений.
| | |
| |
| 4.50, arisu (ok), 12:49, 28/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Кстати у пакетных менеджеров есть недостаток - их много и они не
> совместимые.
это решается очень просто: унификацией используемых систем. если у тебя зоопарк систем, то тут никто не поможет, только гильотина.
| | |
|
|
|
| 1.51, Dima77 (ok), 13:26, 28/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>никто не поможет, только гильотина.
или любое другое кросплатформенное решение :)
| | |
| |
| 2.52, arisu (ok), 13:47, 28/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
>>никто не поможет, только гильотина.
> или любое другое кросплатформенное решение :)
для пакетов. ага. если на всех системах пакеты одинаковые -- это, вообще-то, одна и та же система. даже пакеты для вебни иногда должны знать, на какую систему их тащат (или содержать в себе 100500 скриптов подстройки).
а так-то и apt можно под винду портануть, только зачем?
| | |
|
|
