| 1.3, Аноним (3), 09:33, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– | |
> слепо доверять чужой сборочной инфраструктуре
Желтизна. Да, сборочной инфраструктуре крупнейших дистрибутивов доверяют, но не слепо: едва там появится намеренно добавленный зловред, репутация всего дистрибутива стремительно упадет.
К примеру, "инфраструктуре" палемуна доверять нельзя, поскольку КГ/АМ-автор палемуна настаивает на том, что пользоваться надо именно его бинарниками, а в них-то и была в итоге обнаружена вирусня.
| | |
| |
| 2.12, Аноним (12), 10:11, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>но не слепо: едва там появится намеренно добавленный зловред, репутация всего дистрибутива стремительно упадет.
это значит слепо
kernal.org взламывали. Перестали ли после это пользоваться linux? Упала ли его репутация?
| | |
| |
| 3.13, Аноним (3), 10:15, 22/04/2020 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> kernal.org взламывали
Не припоминаю такого, чтобы там распространялось ядро в бинарном, собранном виде.
| | |
|
| 2.21, Аноним (21), 10:44, 22/04/2020 [^] [^^] [^^^] [ответить] | +/– | Нет, причина этого иная, он настаивает на том, чтобы использовали именно бинарни... большой текст свёрнут, показать | | |
| |
| 3.28, nebularia (ok), 12:49, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Это ещё если вспомнить про взлом FossHub, который многие использовали (и используют, ибо с кем не бывает) для распространения официальных бинаорей.
| | |
|
|
| 1.16, Аноним (16), 10:26, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ] | +2 +/– | Я правильно понимаю, что для проверки загруженных бинарей, они предагают постави... большой текст свёрнут, показать | | |
| |
| 2.18, Аноним (16), 10:30, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
*Потому что если так, то находясь на ролинговом дистре, вам придётся постоянно что-то собирать с сорцев, ЧТОБЫ ПРОВЕРИТЬ схожесть пакетов, тогда смысл держать Арч?
| | |
| 2.20, Аноним (14), 10:38, 22/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> вам придётся постоянно что-то собирать с сорцев, тогда смысл держать Арч?
Заголовок новости прочти:
"для независимой верификации Arch Linux при помощи повторяемых сборок"
Наличие системы повторяемые сборок одно из необходимых требований безопасности.
| | |
| 2.23, Аноним (23), 10:52, 22/04/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да если они собрались проверять повторяемость сборок то пусть саму эту бинарную сборку и поставляют зачем тогда Арч? А если вы сорцы то не надо заниматься ерудной.
| | |
| 2.25, Vanych (?), 12:03, 22/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Не у всех стоит задача перекомпилять весь дистрибутив, обычно вызывает подозрения один пакет, особенно странным обращением в сеть. Сейчас это стало характерно для IoT. И даже просто убедиться в рабочих приложениях для "очистки совести" тоже не мешает. А в Arch этим озаботились, когда-то это было нормой, но постепенно дистриб-разработчики оторвались от народа.
| | |
| |
| 3.50, Аноним (50), 20:33, 22/04/2020 [^] [^^] [^^^] [ответить] | +/– | В теории это понятно, однако, первое - соблюсти прям такую же среду нужно как и ... большой текст свёрнут, показать | | |
|
| 2.47, Аноним (47), 19:48, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> они предагают поставить у себя сборочницу
Не у себя, а у волонтёров и безопасников. Конечному пользователю предлагается доверять пересечению множества независимых показаний. Принцип "доверяй, но проверяй" в действии. Кроме того, атакующему теперь придётся компромитировать сборочную инфраструктуру не только проекта, но и его доверенных лиц.
Короче,
> Ты ничерта не разбираешься, всё правильно делают, Арч прекрасен, а будет ещё лучше | | |
|
| |
| 2.29, Sluggard (ok), 13:33, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
 И какое отношение к официальным (core, extra и community) арчерепам имеют сторонние репозитории пользователей? Насколько я понимаю, даже в community пакеты из AUR попадают только после проверки и одобрения.
| | |
| |
| 3.31, Аноним84701 (ok), 13:49, 22/04/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > И какое отношение к официальным (core, extra и community) арчерепам имеют сторонние
> репозитории пользователей? Насколько я понимаю, даже в community пакеты из AUR попадают только после проверки и одобрения.
Ну-у-у, когда нужно похвастатьcя количеством имеющегося софта (или скорее - наличием экзотической версии в не менее экзотической сборке) то почему-то Арчеводы предпочитают кивать на помой^W AUR, а не на core/extra/community :)
| | |
| |
| 4.33, Sluggard (ok), 15:20, 22/04/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
И какое отношение к официальному Арчу имеют случайные люди, со склонностью к странноватой писькомерке? :)
| | |
| |
| 5.36, Аноним (23), 15:46, 22/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Такое же как npm к node.js. Нода в целом может работать без npm, но её так никто не использует.
| | |
| 5.51, Аноним (50), 20:37, 22/04/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
> И какое отношение к официальному Арчу имеют случайные люди, со склонностью к
> странноватой писькомерке? :)
В дикой природе не встечалось ни одного арчевода, который юзает голый коре-систем, все хвалятся набитым доверху пакетами (которые не совсем готовые пакеты, ну да ладно), как сокровищница, АУРом, это не то что эти ваши ppa - вещает каждый арчевод. А почему они так делают и такое говорят, до поди их разбери, дикари-с?!
| | |
|
| 4.39, GenuZ (?), 17:57, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Всё лучше, чем в твоей бубунте ppa подключать ради одного пакета и тотчас его отключать, чтобы он системные либы до самосборок васяновских не обновил случайно...
| | |
| |
| 5.40, Аноним84701 (ok), 18:21, 22/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Всё лучше, чем в твоей бубунте ppa подключать ради одного пакета и тотчас его отключать, чтобы он системные либы до самосборок васяновских не обновил случайно...
Интересные фантазии. А чем одна помой^W репа-открытая-на-загрузку-для-всех-и-каждого, лучше другой? o_O
Ну и да: там, где у меня убунта, мне хватает вполне штатной бубунтовской репы.
| | |
| |
| 6.42, nebularia (ok), 18:33, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Во-первых - не для всех и каждого.
Во-вторых - большая часть PKGBUILD будет несколько десятков строк всего. Посмотрел прежде чем ставить, проверил что исходники с официального источника забираются и ставишь.
В своём классе, наверное, лучшее решение. Ты ставишь один пакет, а не целый ppa/оверлей, можешь всё проверить, подправить и/или форкнуть.
| | |
| |
| 7.43, Аноним84701 (ok), 18:58, 22/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Во-первых - не для всех и каждого.
> Во-вторых - большая часть PKGBUILD будет несколько десятков строк всего. Посмотрел прежде чем ставить, проверил что исходники с официального источника забираются и ставишь.
И патчи проверить не забыть - а так да, делов-то, искать официальный источник (совсем-совсем не смахивает на виндовс-вей "качаем только со странички автора"), угу.
Вообще-то, основной смысл "реп" и "мейнтейнеров" - забирать на себя рутину с проверкой автора, обновлений (ну и накладывания патчей).
> В своём классе, наверное, лучшее решение. Ты ставишь один пакет, а не
> целый ppa/оверлей, можешь всё проверить, подправить и/или форкнуть.
Если слаще морковки не едал (и не видел генту или порты фри) - все может быть.
| | |
| |
| 8.48, Аноним (47), 20:04, 22/04/2020 [^] [^^] [^^^] [ответить] | +/– | Обычно в AUR программы собираются из сырцов, а патчи либо замержены в мастер апс... текст свёрнут, показать | | |
|
|
|
| 5.52, Аноним (50), 20:43, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Всё лучше, чем в твоей бубунте ppa подключать ради одного пакета и
> тотчас его отключать, чтобы он системные либы до самосборок васяновских не
> обновил случайно...
Ну, это какой-то тугой бубунтоед, который приоритеты пакетов не осилил, ppa ничего не ломают наглухо, всегда можно пуржануть весь ppa с полным откатом, если опустить спорное решение с отдельными ppa, то качество проверки пакетов там вызывает больше доверия, чем к ауровским, они все с цифровой подписью. Другое дело что это добро всё надо отрубать по-хорошему, когда с релиза на релиз перекатываешься, чтобы сюрпризов не получить, поэтому те, кто не хотят этой чихарды пользуются Дебианом, в котором основная масса пакетов именно что из официальных реп, а не как в бубунте - куцый майн, а остальное кто как захочет.
| | |
|
|
|
|
| 1.34, Michael Shigorin (ok), 15:36, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > сверяющего загружаемые пакеты с пакетами,
> получаемыми в результате пересборки на локальной системе
Эээ... уважаемые арчеводы, подтвердите или опровергните -- там что, принято загружать *бинарники*?
> автоматически запускает пересборку новых пакетов
> в эталонном окружении, состояние которого
> синхронизировано с настройками основного сборочного
> окружения Arch Linux
Они там в каком веке вообще живут по части сборочных систем? Уже даже федора с ручника снялась.
PS: http://altlinux.org/hasher -- с 2003 года; http://altlinux.org/reproducible -- как только возникло какое-то интересное обсуждение.
| | |
| |
| 2.56, anonymous (??), 00:04, 23/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Эээ... уважаемые арчеводы, подтвердите или опровергните -- там что, принято загружать *бинарники*?
Да. Это ж не Гента.
| | |
| 2.58, Аноним (58), 08:49, 23/04/2020 [^] [^^] [^^^] [ответить] | +/– | В том-то и дело, Михаил, что реально бинарные это коре-систем сотоварищи, а это... большой текст свёрнут, показать | | |
| |
| 3.62, Аноним (62), 13:56, 24/04/2020 [^] [^^] [^^^] [ответить] | +/– | Те, кто беспричинно задирают нос и до сих пор не научились себя вести в обществе... большой текст свёрнут, показать | | |
|
|
| 1.41, Аноним (-), 18:23, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Инструментарий написан на языке Rust и распространяется под лицензией GPLv3.
Фууф наконец-то растаманы одумались. Здравствуй копилефт на Расте!
| | |
| 1.44, Аноним (44), 19:05, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
То есть раньше для линукса был нужен безграничный канал, чтобы скачивать все эти сотни пакетов, а теперь ещё и десятки гигов оперативы, терабайт диска и десяток ядер, чтобы всё это уже скачанное разрешить установить, после того как его же соберёшь локально?
| | |
| |
| 2.59, Аноним (59), 08:56, 23/04/2020 [^] [^^] [^^^] [ответить] | +/– | Не для линукса, а для ролинг дистров, особо арча, арч без сети вообще смысла осо... большой текст свёрнут, показать | | |
| 2.61, Аноним (61), 09:39, 23/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
 > То есть раньше для линукса был нужен безграничный канал, чтобы скачивать все
> эти сотни пакетов, а теперь ещё и десятки гигов оперативы, терабайт
> диска и десяток ядер, чтобы всё это уже скачанное разрешить установить,
> после того как его же соберёшь локально?
Помнится, ради спортивного интереса, собирал LibreOffice на 2 гигах оперативы. С lto. А ты терпи и качай обновления на Windoze.
| | |
|
| 1.45, Аноним (44), 19:08, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>> При пересборке учитываются такие нюансы, как точное соответствие зависимостей, использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки).
То есть, если закладку компилятором внесли в эталонной репке, то и вам установят тот же самый дырявый компилер и он локально соберёт точно такой же пакет с закладкой. Круто!
| | |
| |
| 2.49, Аноним (47), 20:16, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Очевидно, сборочный инструмент проверят на воспроизводимость сборок в первую очередь.
| | |
| |
| 3.60, Аноним (60), 08:59, 23/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Очевидно, сборочный инструмент проверят на воспроизводимость сборок в первую очередь.
И? А кто проверит проверяющих?
К тому же, вот сборочный инструмент у кого-то там собрал пакет, а у вас он собран в другой среде, и не совпадают, чо делоць?! Бежать кричать, караул, палёные пакеты подсовывают?!
| | |
| |
| 4.63, Аноним (62), 14:12, 24/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> А кто проверит проверяющих?
Посмотрите как проблему с доверием решают в распределенных системах (например, блокчейн).
Если *несколько* *независимых* проверяющих дают *одинаковые* показания, можно судить, что они говорят правду с *большей вероятностью*, чем когда показания даёт только один из них - сопроводитель пакета.
..Стоп. А что если наш мир существует только в нашем воображении, и нами давно манипулирует невидимый Архитектор? Что если моя шапочка из фольги тоже воображаемая и потому не спасает? Караул! Как дальше жить?!..
| | |
|
|
|
|
