Прекращена работа deb-репозиториев GetDeb и PlayDeb

Ок, уговорил. Остались только сомнения по поводу размера.

в смысле, что не все могут держать зеркало/торрент/осла федоры или дебиана

84 гига это фигня для современных машин, к тому же необязательно держать все файлы, можно несколько (например только новые или часто скачиваемые)

Скорее убунтокапец. А вообще потеря невелика.

Там причин наверняка много. Падение сервера БД - явно последняя капля.

Вкладывать пакеты в основной репозиторий очень непросто.

Убунта основана на дебьяне, но совместимость с ним потеряла.

Если оно действительно нужно, в скором времени будет лтбо форк, либо предоставление средств проекту.

Ну всё. Теперь тебя запроизволят за обс3ждение действий модератора :)

Да нет. Не печально, а нужно это. Сейчас и будет видно, займётся ли сообщество проектом.

Кастомеры платят за бинарники. (И их поддержку.) Нет бинарников софтины XYZ самой свежей версии - нет и качества, след-но вся работа ваша бесполезна.

А предоставление бинарников с 0-day уязвимостью, но в срок считается качеством? Нет? Вот и нефиг. Gentoo - некоммерческий дистрибутив, при чем тут кастомеры - я не понял. Кому нужно - платят за поддержку, тогда будет вам и качественно и быстро

пользователю вообще-то покласть на качество пакетов

Еще раз повторю - я рад за пользователей, которые наплевательски к этому относятся. Ради безопасности иногда приходится кое-чем жертвовать.

А предоставление бинарников с 0-day уязвимостью, но в срок считается качеством? Нет? Вот и нефиг. Gentoo - некоммерческий дистрибутив, при чем тут кастомеры - я не понял. Кому нужно - платят за поддержку, тогда будет вам и качественно и быстро

Повторяю тезис - если вы не пакетите софт потому что он не проходит по вашим критериям кошёрности - ваша работа не сделана. Точка. О каком качестве ты после этого рассказываешь? А уязвимости даже в самом «правильном» софте по меркам гайдлайнов постоянно находят, что вообще ничего пакетить не будете, даже ядро?

А то что эти ваши дистрибуции - это просто кружок по интересам, насчитывающий несколько человек без каких-то внешних целей и обязательств - это и так понятно. Никто вам в связи с этим ничего и не предъявляет, ваше свободное время, ваши сервера, ваш канал, ваши правила.

Повторяю тезис - если вы не пакетите софт потому что он не проходит по вашим критериям кошёрности - ваша работа не сделана.
по вашим критериям

А то, что эти критерии - общие для многих дистрибутивов тебя конечно же не смущает, да? Ок, чо. Всё с тобой ясно. Не читал, но осуждаю.

А уязвимости даже в самом «правильном» софте по меркам гайдлайнов постоянно находят, что вообще ничего пакетить не будете, даже ядро?

Уязвимые пакеты либо маскируются либо удаляются из главного дерева. Вопрос в том, что если уязвимость известна на момент пакетирования - нужно ли предоставлять такой пакет пользователю как рекомендованный? Я думаю - нет.

А то что эти ваши дистрибуции - это просто кружок по интересам, насчитывающий несколько человек без каких-то внешних целей и обязательств

Наши обязательства - предоставлять пользователям оттестированные пакеты в stable-ветке и новые, соблюдающие минимально необходимое QA - в тестовой.

Никто вам в связи с этим ничего и не предъявляет, ваше свободное время, ваши сервера, ваш канал, ваши правила.

ВНИМАНИЕ! Обнаружены взаимоисключающие параграфы с твоим предудыщим сообщением ;-)

ВНИМАНИЕ! Обнаружены взаимоисключающие параграфы с твоим предудыщим сообщением ;-)

Это с каким же предыдущим, я так понимаю с вот этим? Прекращена работа deb-репозиториев GetDeb и PlayDeb (комментарий)

Так всё сходится. Кастомер платит за бинарники, и их поддержку, Нет бинариников и поддержки - нет денег. Поэтому вы копаетесь в свой песочнице бесплатно, исключительно в своё удовольствие, игнорируя «неудобные» программы в соответствии со своими правилами. Поэтому вы - кружок по интересам, вещь в себе. Никто же не будет требовать от школьного кружка по рисованию, чтобы дети рисовали, скажем, рекламные щиты.

Поэтому вы копаетесь в свой песочнице бесплатно, исключительно в своё удовольствие, игнорируя «неудобные» программы в соответствии со своими правилами.

И поэтому многие из разработчиков Gentoo поддерживают пакеты(а в некоторых случаях еще и являются апстримом для этих пакетов), которые используют в работе(flameeyes - libav, vapier - uclibc и т.д.), за которую получают деньги. А так да, конечно, мы просто клуб по интересам. Жги еще, приятно послушать человека, рассуждающего о чём-то, когда он не в теме - такой поток фантазии не часто увидишь ;-)

И поэтому многие из разработчиков Gentoo поддерживают пакеты(а в некоторых случаях еще и являются апстримом для этих пакетов), которые используют в работе(flameeyes - libav, vapier - uclibc и т.д.), за которую получают деньги.

Охотно верю. По статистике у кого-то же из кружка должна быть и настоящая работа.

По статистике у кого-то же из кружка должна быть и настоящая работа.

Я тебя сильно удивлю, если скажу что именно ЭТИ люди разрабатывают правила качества пакетов, которым должны следовать они сами и все остальные разработчики? Догадаешь, почему? ;-)

Я тебя сильно удивлю, если скажу что именно ЭТИ люди разрабатывают правила качества пакетов, которым должны следовать они сами и все остальные разработчики? Догадаешь, почему? ;-)

Потому что это учителя. Которые присматривают за кружком. И по совместительству лица с наивысшим IQ в этом заведении. Ибо умный человек за свой счёт чужие идеи проталкивать не станет, даже если сам согласен с ними на 100%. А выдвинет свои, и соберёт вокруг них менее умных собратьев, и построит на них свой бизнес.

пользователю вообще-то покласть на качество пакетов

Еще раз повторю - я рад за пользователей, которые наплевательски к этому относятся. Ради безопасности иногда приходится кое-чем жертвовать.

Стоило бы процитировать с продолжением:

пользователю вообще-то покласть на качество пакетов, если под качеством пакетов подразумевается лишь соответствие большинства из них дистрибутивным гайдлайнам «пишите rpmspec так, а не эдак».

Пользователю нужны не шашечки, ему ехать. И если говорить о десктопном линуксе, то здесь безопасность означает только одно - сохранение пользовательских данных. Каким образом дистрибутивные гайдлайны борются за это? Может они проверяют, умеет ли софтина сохранять установленный пользователем размер колонок таблицы между запусками? Нет. Может они проверяют, использует ли программа автосохранение данных в своём хранилище и восстановит ли она их после креша? Нет. Они заботятся ни о чём, о том чтобы сделанные другими людьми (из РедХета, скажем) исправления безопасности в системной библиотеке достигли программы, в которой эта уязвимость не проявляется. Программы, которая вообще не работает с данными из сети через небезопасную библиотеку и не имеет прав рута при всех вариантах использования.

Но раз такое дело, и о безопасности ментейнеры героически заботятся, то надо писать на их поделках крупными буквами - «абсолютно не для десктопа, используйте на серверах».

Если же для десктопа, то я не пойму - что там небезопасного в статически вкомпиленном декодере mp3, читающем музычку с диска, а не из сети? И почему именно гентушники/слаковцы/авторы ещё одного стопятидесятого дистра считают, что именно они смогут вовремя наложить нужные патчи, а не редхет + дебиан?

И поэтому многие из разработчиков Gentoo поддерживают пакеты(а в некоторых случаях еще и являются апстримом для этих пакетов), которые используют в работе(flameeyes - libav, vapier - uclibc и т.д.), за которую получают деньги.

Удивляет как раз то, что «многие»×«некоторые»=«очень малое число» ментейнеров пакетов вхожи в апстрим этих же пакетов. В гуглплее это 100%, в аппсторе это 100%, среди платных приложений убунты 100% их издателей являются и разработчиками. Для энтерпрайзного, продаваемого по старинке или заказанного госучреждением софта ещё могут нанять поддержку в другой стране из числа местных (фирма из нашего города имеет такой филиал суппортеров в США), но и они могут тесно пообщаться с ответственными за код.

В мелких дистрибутивах это только очень малое число ментейнеров. Дистрибутивов много, пакетная система у каждого своя. В результате пользователь имеет несвежие пакеты (с дырами безопасности, которые редхет закрыла ещё 2 года назад, и не в роллинг-релизе, а в RHEL). И те немногие развели бюрократию и с помощью выдуманной небезопасности статических библиотек сохраняют статус кво: то есть и пользователи думают, что дистрибутив нормальный и не хуже убунты, и разработчики не принимают ни один пакет, которым сами не пользуются, и делать различия между пакетными менеджерами прозрачными для разрабочика никто не хочет.

Пока я как программист не могу зарелизить программу, не зная ничего о внутренностях cmake, багах сочетания статической компиляции и dlopen, проблемах ABI и менеджерах пакетов 20 дистров - до тех пор генте полагается смерть в муках, а единственным дистром можно считать убунту, под всё остальное писать за большие деньги поверх обычной платы. А вот когда все ПМы будут работать через package kit и appstream, когда разработчик будет подключать пакеты из package kit вместо библиотек прямо в GUI, не зная даже что он использует pkg-config, вот тогда пусть кукарекают, что выбор - это хорошо.

А теперь случай из моей личной практики. Предложили нам написать маленькую серверную утилиту на C++ под нужды заказчика. Не сказали, что на сервере - обрезанная гента с отсутствием половины библиотек, иначе мы бы сразу подняли цену втрое.

Написали, работает отлично, на целевом сервере не запускается. Конечно, ведь поставить ещё 1-2 недостающих .so-шки это абсолютная угроза безопасности (в переводе на русский это хоть и маловероятная, но тем не менее перспектива лишней работы на стороне заказчика). В итоге мы перед выбором - либо полустатика, либо вообще ничего, и разумеется никакого улучшения в плане безопасности. Разумеется, в сети мануалов по созданию расово неверной полустатики кот наплакал. А в довершение всего пришлось поневоле сменить несколько машин с разным числом бит в указателях (на целевой - 32, хотя нам сперва сказали что 64). Каждый раз заново чинил скрипты.

Потом меня это задрало, я послал заказчика в пешее (а ПМ передал это заказчику в вежливой и необидной форме), и ВНЕЗАПНО оказалось, что собрать исходники для них не так уж и сложно. Конечно, себе-то препятствия чинить не обязательно, плюс я (опять же поневоле) написал подробный howto.

И в конце концов действия всех дистров, кроме убунты, сводятся к одному: «себе-то препятствия чинить не обязательно», а другим чинят. За это и не уважаю ментейнеров, особенно гентушников.

А теперь случай из моей личной практики.

Ваш косяк от начала и до конца - не договорились об ABI и в итоге оставили клиента без бинарников. Переходите на питон.

Ваш косяк от начала и до конца - не договорились об ABI и в итоге оставили клиента без бинарников. Переходите на питон.

Не оставили без бинарников - регулярно пересобирали после необходимых доработок, а «не договорились о чём-то» - типичная ситуация в IT, встречается в 100% случаев.

Слабая попытка, давайте следующий аргумент.

Нормальная. Повторяю, косяк полностью ваш, так как клиент в итоге, (как следует из твоего рассказа) собирал себе бинарник сам (и он собрался). А всю инфу об ABI платформы могли при желании собрать и автоматически, например предложив им запустить свой скрипт и отправить результат по почте. Просто поленились или понадеялись на чудо.

А всю инфу об ABI платформы могли при желании собрать и автоматически, например предложив им запустить свой скрипт и отправить результат по почте

Это называется «паранойя». Да, это выход, но без опыта обломов невозможно предугадать такой вариант, особенно если вначале речь идёт про редхет, а потом всплывает виртуалка не генте. Впрочем и с опытом не получится - мы больше не будем работать с наркоманами-гентушниками и вернулись к заколачиванию лаве на iOS, оно легче как-то и никто не обвинит незаслуженно во всех бедах. Но конечно же хороших программ на андроидах и линуксах от этого не прибавится. А может, мне напомнить про Алана Коха, две недели напролёт копавшегося в баге в сетевой подсистеме (с целью исправления до релиза), и о Торвальдсе, который за полчасика набросал обвинительное письмецо и в итоге потерял легендарного разработчика?

Повторяю, косяк полностью ваш, так как клиент в итоге, (как следует из твоего рассказа) собирал себе бинарник сам (и он собрался).

Клиент не предоставил инфу, принимал бинарники по принципу запускается или нет, с самого начала вообще не упоминал про генту, хотя гента означает невозможность настроить аналогичную систему на компьютере разработчика и собрать прямо под ней.

И не мог поставить .so-шки. Пока самому не пришлось собирать. Я ещё раз повторю: мне в гентушниках и ментейнерах не нравится, что сначала чинят препятствия окружающим (навязывая им удобные для себя способы работы и забывая о важной инфе при любом удобном случае), потом с умным видом показывают, что у них без искусственных препятствий всё ОК, потом жалуются, что с ними никто не хочет работать и что убунту якобы убога. На деле убунта прелесть, в основном из-за человеческого отношения к окружающим, а не как Столлман.

Прекращай заниматься аутотренингом. Гарантированная работа любого XYZ на ABCDE - это не провидение, и не крутые технологии, и не чудо, а тяжёлая человеческая работа и тщательная проверка всего вплоть до мелочей. Тем более под заказ. Тем более за деньги. Про%бались так про%бались, признайте и делайте работу над ошибками.

Клокочет ненависть? Возьми меч переустановите генту.

Не понял смысла этого поста, если он там есть.

// я не твой заказчик, если что.

Пришлось перестать быть Ъ и сходить по ссылке. Действительно, автор говорит «официальный репозиторий» в единственном числе и перед этим ссылается на Ubuntu, поэтому трактовка автора поста неточна.

Ага, вот тут то ты и спалился. Всё с тобой ясно, можешь не продолжать свою демагогию :-)

что там небезопасного в статически вкомпиленном декодере mp3, читающем музычку с диска, а не из сети?

А как отсутствие сети повлияет на возможность воспроизвести специально сформированный файл(который ты занесешь любым способом, вплоть до флоппинета) который будет опасен для уязвимой версии библиотеки, которую некий апстрим вбивает в свою программу? Мы не говорим конкретно сейчас о какой либо программе, просто представь себе гипотетическую ситуацию(на примере гентушного workflow):

Есть либа A). С ней линкуется софт B), а софт C) содержит старую версию либы статически, причем об этом мэйнтэйнеры не знают. В либе А находят уязвимость позволяющую сделать выполнение кода от текущего пользователя(пусть это будет 'rm -rf $HOME' для колорита ситуации :-)), либу патчит апстрим, выходит новая версия. Мэйнтэйнер делает пакет, проверяет, не сломала ли либа всё, что от нее зависит и, т.к. это security issue, форсирует стабилизацию без ожидания стандартных 30 дней. Если всё ОК - данную версию стабилизируют и всё что было слинковано динамически автоматически перестает быть уязвимым. А вот софт C) - нет. И об этом никому не известно. А теперь внимание вопрос - это нормально?

Особенно если при этом ты сообщаешь об этой проблеме апстриму софта C) а он говорит: «Я хз чо это за либа, УМВР, ничего не знаю ни про какую безопасность, никаких патчей не принимаю»? Ну и кто тут виноват и что нужно делать, просвети меня?

И почему именно гентушники/слаковцы/авторы ещё одного стопятидесятого дистра считают, что именно они смогут вовремя наложить нужные патчи, а не редхет + дебиан?

нужные по безопасности патчи должны накладываться сразу же а информация о проблеме должна уходить в апстрим. Потому что если апстрим будет не в курсе - он это никогда и не исправит

выдуманной небезопасности статических библиотек

оххх. Прочти мой предыдущий ответ и предложи свою, уникальную идею как это побороть не отказываясь от статической линковки.

За это и не уважаю ментейнеров, особенно гентушников.

Во-первых, для ССЗБ есть оверлеи. Их поддержка бывает разной степени качества, но если не устраивают официальные пакеты - пользуйтесь оверлеями.

Во-вторых, для пакетов, поддерживающих статическую линковку нормальным образом(а не через одно место в самописных makefile-ах) есть USE=«static-libs» - который собирает ваши любимые статические библиотеки и USE=«static» - для бинарников соответственно

Конечно, ведь поставить ещё 1-2 недостающих .so-шки это абсолютная угроза безопасности

А ты не путай упоротых заказчиков с политикой дистрибутива - и будет тебе хорошо. Я тебе могу привести пример как можно обкастировать любой дистрибутив и сунуть его в продакшен. Только чур - я не буду это говно поддерживать ;-)

Ага, вот тут то ты и спалился. Всё с тобой ясно, можешь не продолжать свою демагогию :-)

...А, чо, куда? :)

Если я неправильно угадал в том посте, огласи же верный ответ. А то может ты сам не знаешь. Или наоборот, я правильно угадал, а ты мне приз зажилил отдавать например.

Расшифровываю: cначала ты утверждал что всё это говно и занимаются этим только for fun, а потом, когда я тебе привел пример того, что это делают не только for fun но и for profit(пусть и косвенный ;-)), ты сразу слился в демагогию

Это называется развитие идеи. Я же сам себе не противоречу, хотя ты меня и на этом пытался поймать, но тщетно.

Это называется развитие идеи

Сначала ты говоришь одно
Я возражаю и выдвигаю аргументы
Ты с ними не соглашаешься, но частично при этом перенимаешь мою точку зрения, при этом факт перенятия - отрицаешь. Новых аргументов в опровержении моей точки зрения ты не выдвигаешь, просто повторяешь предыдущие

Это называется как угодно, только не развитие идеи. В интернете это называется слив. И он тебе защитан ;-)

Эм, а что данная новость делает в разделе Debian? Getdeb и Playdeb - репозитории для убунты.

Это называется как угодно, только не развитие идеи. В интернете это называется слив. И он тебе защитан ;-)

Ну раз ты так считаешь, то будь по-твоему.

там один шлак был, зачастую дублирующий debian

Отключение playdeb.net — большое огорчение, т.к. он был лучом света в тёмном царстве «десктопа на линуксе». На официальных сайтах игр ссылка на deb файл часто вела на playdeb. А из официального репозитория убунты тем временем умудрились выкинуть warsow. Почувствуйте разницу.

Но, как выясняется, все стоящие игры оттуда сейчас есть в desura. Бесплатно, конечно. (Уж не их ли рук дело?)

С getdeb.net расстаться проще, там и содержимое менее интересное, и не обновлялось всё давно. Но пара интересных программ всё-таки была. Тот же wxhexeditor.

Было бы хорошо, если бы их «возродили». Это отличная возможность принести пользу человечеству для «простого пользователя».

То есть нельзя бандлить либы к себе в тарбол, и точка.

Именно так дело и обстоит. Мой проект, например, использует Boost (который на месте совсем не стоит), так дистрибостроители, все как один (Gentoo, Debian, Ubuntu, Opensuse, Arch Fedora-вцы вообще звери, и т.д.) не дают использовать свою копию Boost, статически слинкованную с моим же бинарем. Говорят - только наш, внешний Boost.

Хотя, честно говоря, в Boost'е, и в С++, в частности, большинство их из них не разбирается почти совсем (без обид, у разных людей разные знания просто).

Такие дела.

а софт C) содержит старую версию либы статически, причем об этом мэйнтэйнеры не знают.

Вопрос: что это за мэйнтейнеры, которые не знают, что с чем слинковано в пакете, который они сопровождают? Лично мне всегда казалось, что сопровождение — это нечто большее, чем просто пакетирование.

для пакетов, поддерживающих статическую линковку нормальным образом(а не через одно место в самописных makefile-ах) есть USE=«static-libs» - который собирает ваши любимые статические библиотеки и USE=«static» - для бинарников соответственно

А кто/что мешает сопровождающему изменить самописный Makefile и отослать патч в апстрим? По сути, это его работа.

Лично мне всегда казалось, что сопровождение — это нечто большее, чем просто пакетирование.

Конечно большее, ведь надо следовать правилам дистрибутива, а их чуть более, чем дофига в основных дистрах Линукса.

А кто/что мешает сопровождающему изменить самописный Makefile и отослать патч в апстрим? По сути, это его работа.

USE=«static-libs» и прочее - это специфика Gentoo, в других дистрибах этот патч будет бесполезен. Если же речь о том, что линковать статически можно только с библиотеками из дистра, то смысла в этом нет - такая статика как раз и не нужна в соответ. обстоятельствах.

Я имел в виду «сделанные через одно место самописные makefile-ы»

Вопрос: что это за мэйнтейнеры, которые не знают, что с чем слинковано в пакете, который они сопровождают?

Естественно это - хреновые мэйнтэйнеры. Я привел в примеры именно самый запущенный случай - упоротый апстрим и хреновые мэйнтэйнеры.

А кто/что мешает сопровождающему изменить самописный Makefile и отослать патч в апстрим?

Как правило мешает апстрим, говоря «GTFO, мы сами знаем как писать makefile-ы правильно». Яркий пример - ioquake.

Я имел в виду «сделанные через одно место самописные makefile-ы»

А вот это очень субъективно вообще задаваться таким вопросом, что значит хорошие/плохие/самописные (бред¸ вообще говоря - кто-то будет за автора их писать, или есть типа обязательные шаблоны) makefile-ы. Я еще понимаю требования типа устанавливать результат только в такие-то папки, но заставлять переписывать makefile-ы по чьим-то правилам ... чересчур.

слушай, вот расскажи, анимушная аватарка это как бы сразу индульгенция афтору на жырный тупняк? типа ну что с анимнутого взять, юродивый, как пить дать...