Дискуссия о потенциальных проблемах безопасности в Debian

Я раньше сидел на ubuntu, и мне казалось, что софт там достаточно свежий. А что несвежее, для того (почти всегда) есть ppa. Потом решил попробовать федору, и хотя она мне несколько меньше нравится, но обновления здесь устроены более понятно. Есть updates-testing, который по-умолчанию отключен, но из него свободно можно ставить софт, тестировать у себя и, если регрессий не замечено, поставить плюс в карму на сайте bodhi. Если таких плюсиков много, обновление апрувят прямо в updates. Таким образом, в пределах одного релиза федоры, в репозитории софт может обновляться не только на минорные релизы, но и на мажорные. Например, новые ядра приходят. После подобной системы, не совсем понятно, по какому приницу в дебиане\убунте выбирают, какую именно версию им запорозить, какую забэкпортировать целиков, а для какого софта бэкпортируют только патчи (и то, возможно, не все).

Это не дискуссия, а бурление говён.

А ещё в дебиане не могут осилить jitsi из-за каких-то школьных проблем.

jitsi не нужен. Как и весь жаббир, который собственно говоря, более мёртв, чем жив.

представляю себе, какой адок там с зависимостями

Не знаю как в арче, но в генту все очень печально. К примеру, недавно для glibс ввели use-флаг "-rpc". Я знаю, как минимум 2 программы, которые без него не соберутся, но в ебилдах этих программ ничего не исправлено, и естественно они не собираются. И это еще простой случай.

Мейнтейнеров набирают по объявлению, никто ничего не хочет делать, и всем наплевать на твои репорты в багзиллу. С такой моделью, они могли бы даже монетизировать своё безразличие. Типа, хочешь исправления бага, задонать бабла. И я не верю, конечно, что проблема в том, что им не хватает людей. Но и не могу понять в чем проблема... взять и обновить python до 3.5, ничего не ломая; взять и обновить стухшую программу, которая даже не собирается (в этом случае они ее удаляют из дерева); взять и добавить пакеты, которые есть в любом другом дистре линукса. К сожалению, я могу только ныть и сожалеть... и держать свой кривой оверлей с прямыми зависимостями, т.к. помогать генту-тим у меня нет желания и времени. Вряд ли что-то изменится.

PS. Здесь должна быть шутка про «верните мои деньги». хахаха. Никто не любит нытиков.

никто ничего не хочет делать
помогать генту-тим у меня нет желания и времени

ССЗБ

Энтерпрайз же (т.е. для предприятия), подразумевается что есть локал сайт вендор и он сам накомпиляет и будет сопровождать на своей инфраструктуре в своих корпоративные репах всё что надо и с той скоростью и политикой какой надо, пользуясь премуществами мега стабильной™ (в терминах API и ABI) платформы*. А так число поддерживаемых пакетов ничтожно, по меркам других дистрибутивов.

Чсх прям как на винде, 1 в 1.

Ребята, признайте уже, что Linux выродился как идея уже давно, пока что всё по инерции движется, но не в сторону улучшения. С каждым годом становится только хуже по многим параметрам, не буду озвучивать, адекватные сами знают.

Разработчики Debian не могут понять

Один ты самый умный. Покажи всем как надо.

выродился как идея уже давно, пока что всё по инерции движется, но не в сторону улучшения

Прям точно про винду. Даже отказались от новых версий ОС - не знают уже, куда ползти)

Глупенькая... А ты сравни прибыли MS и всего СПО в мире вместе взятого. И что нужно быть провидцем, чтобы понимать, что так будет ВСЕГДА?!

так будет ВСЕГДА

Наивный мальчег)

«Дискуссия о потенциальных проблемах безопасности в Debian», обсуждается Арч, Слака, Убунта, небо и Аллах, всё кроме самого Дебиана. Так победим!

По сабжу: подписываюсь под каждым словом этого товарища.

Сначала мы просто пользуемся софтиной, потом начинаем создавать разработчику неудобства, а потом ещё и заявляем «а ты взвали на себя работу по фиксу ошибок не только в актуальной, а ещё и в прошлых версиях, тогда мы перестанем тебе мешать». А то, что в новой версии код уже не совпадает со старой и человеку надо тратить своё время, чтобы разбираться, как эту ошибку запатчить в старых версиях, на это нам плевать.

Вот про это я и говорил - потребитель нагл. Таких потребителей надо слать лесом, что автор скринсейвера и сделал с Дебианом.
anonymous (07.04.2016 16:14:07)

скайпы, вайберы, стимы проще собрать под набор либ с определенной фиксированной версией.

Проприетарщина 100 лет в обед осилила статическую линковку и весь хлам может таскать с собой и выливать в /opt/ там им самое место. Если не освоили - ССЗБ. Стим вообще таскает с собой рантайм убунты 32бит и выливает его в хомяк.

обсуждается Арч, Слака, Убунта, небо и Аллах, всё кроме самого Дебиана.

Зачем обсуждать старых и убогих? Вон, Аршавина тоже уже не обсуждают давно.

Будущее за моделью развития Arch и точка.

Истина. Даже в MS это поняли.

бугога. представляю себе, какой там в Арче адок с зависимостями.

Вообще никакого, это же не deb-поделка.

То, что разработчики не выкладывают пакеты под арч, это проблема нового арча, а раньше под него все выкладывали?

В Арче всё есть в офиц. репах плюс AUR, больше ничего не надо, в отличие от Дебилианов, где куча софта отсутствует в репах или протухла.

Debian - огромное комьюнити.

Субъективное ощущение - у арча оно уже гораздо больше. Взять хотя бы официальный форум (что англ., что рус.), а у Дебиана 1.5 старпёра сливаются при более-менее серьёзном вопросе. Или Arch Wiki, что там у Дебиана в ответ? Я уже молчу про сторонние сайты, типа Reddit, там вообще о Дебиане не знают.

Как в Ubuntu. Они не доводят предпочитание древних версий до маразма. И вообще бэкпортят ядра, графический стек и много чего еще в LTS каждый раз после выхода новой версии. Поэтому их LTS - это не г... мамонта, как в Debian.

Школота горит.

Ну хорошо, а что не выродилось? У чего сейчас восходящий тренд? Что ещё не скатили в задницу жадные капиталисты?

Опровергни хоть один пункт.

Лоровская школота не понимает, что Линукс, и в частности Дебиан, используют взрослые дяди для зарабатывания денюжек. В этом деле Линукс и Дебиан уверенно занимают свои ниши, дела идут в гору.

Дескоптный Линукс, где упоротая школота смотрит аниме и слушает говномузычку - это 1%. Говноарчик - это 1% от 1%. Это просто ничтожная маргинальная кучка, которая вообще ни на что не влияет.

В Генту очень сложный процесс превращения пользователя в разработчика, из-за этого разработчиков категорически не хватает.

Лоровская школота не понимает, что Линукс, и в частности Дебиан, используют взрослые дяди для зарабатывания денюжек. В этом деле Линукс и Дебиан уверенно занимают свои ниши, дела идут в гору.

Дескоптный Линукс, где упоротая школота смотрит аниме и слушает говномузычку - это 1%. Говноарчик - это 1% от 1%. Это просто ничтожная маргинальная кучка, которая вообще ни на что не влияет.

А, ты видимо говнобизнесмен, да?

А нам лишь бы контрольную на 5-ку написать.

В Генту очень сложный процесс превращения пользователя в разработчика, из-за этого разработчиков категорически не хватает.

Надо знать питон и баш. Всё!

Это просто ничтожная маргинальная кучка, которая вообще ни на что не влияет.

Как не на что, а кто баги тестировать будет в новом софте?

Главное в баше это понимать, что писать на нём не нужно.

А нам лишь бы контрольную на 5-ку написать.

Не льсти себе. Контрольные на 5-ки пишут пользователи Windows, для которых компьютер не помойка старья, в которую нужно нырять и копаться годами, а умный и удобный помощник, где все делается в пару кликов.

Как не на что, а кто баги тестировать будет в новом софте?

Не осилят. Им же нужно обязательно форум на пыхапэ и сайт вуэб 2.0 разноцветный. Багтрекеры и списки рассылки для них это такие страшные места, где сидят злые «бюрократы» и даже смайлики не используют.

Стим вообще таскает с собой рантайм убунты 32бит и выливает его в хомяк.

Сам ты хомяк. Научись излагать свои мысли (или, точнее, претензии на мысли) технически грамотно.

Проприетарщина 100 лет в обед осилила статическую линковку

Расскажи это вайберу, который у меня на ~amd64 в Gentoo падал, а на стабильной ветке все ок. Статически слинкован, все свое ношу с собой (с)

Минует, мне на десктопе ничего жёстко зависящего от систумд не нужно. На сервере приходится мириться

Гентопроблемы.

«Хомяк» это /home, грамотей.

Гентопроблемы

Оно ж статически собрано, и лежит в /opt. Так какие проблемы, а?

Надо знать питон и баш. Всё!

Я про разработчика с правами доступа к репозиториям, закрытию багов, и т.д. Там целый процесс с менторством через IRC, рекомендациями, экзаменами (в т.ч. на знание всей внутренней бюрократии), срачами дискуссиями в рассылке gentoo-dev — далеко не у всех есть на это силы и время. Детали здесь.

И нет, просто питоном и башем не отделаетесь, написание ебилдов это доскональное знание соответствующих спецификаций, например.

вы о чем в минте 17.3 щас тока openttd 1.3.3 нипаиграть деб пакет ставится а потом игра ниче не качает

И собственно сам стор, где разработчик сможет собрать свой пакет нужной ему версии опираясь либо на системные зависимости дистрибутива либо на свои

А потом, когда в glibc найдут уязвимость, ждать, пока тыща разработчиков не обновяет его в своём бандле в сторе?

Не льсти себе. Контрольные на 5-ки пишут пользователи Windows, для которых компьютер не помойка старья, в которую нужно нырять и копаться годами, а умный и удобный помощник, где все делается в пару кликов.

Как они видят мой новый ноут с пятой плазмой и эффектами после своей венды:
ヽ༼ ຈل͜ຈ༼ ▀̿̿Ĺ̯̿̿▀̿ ̿༽Ɵ͆ل͜Ɵ͆ ༽ﾉ
Всё очень красиво, под рукой в 2 клика, или ставится из репа)

«Хомяк» это /home, грамотей.

Вот, своим детям так скажешь. И они станут такими же как ты. А я своим говорю, что /home - это каталог для расположения домашних каталогов пользователей в unix-подобных системах.

Когда я еще был молодым и глупым, сидел на федоре и в конфе РФР. Так, между прочим, уопнянул что у них pip в репах ~1.3 был, из pip ставился +7.На что Игнатэнко заявил мол да и хрен с ним, типа ничего важного и вообще не лезь, мы тут самые умные. Где-то через день обновили и в репах. С чего я сделал вывод что им просто-напросто лень. Ну сам посуди - то ли написать вменяемый PKGBUILD, то ли спек для этого гуана. Потому-то и пользуется Арчик такой популярностью у различных по возрасту и сути людей, а адепты говна мамонта только про арчешкольников слышали.

Поставил бы, что такого то.

Не пишут, а списывают.

Зачем ты в 16 лет детей завёл?

Мне нафиг gpt не упало.

Пропуская дистросрач, напишу по теме.

Есть такое понятие «free software», причём всегда уточняется, что это не «бесплатное», а «свободное» ПО.

Свобода касается не только потребителей софта, но и автора и вообще всех причастных. Это значит автор не может запретить использование ПО или включение своего софта в дистрибутив. Это значит автор не может запретить создание нового софта на основе его творения. Но также это значит, что никто, будь он даже император галактики или мейнтейнер самого лучшего в мире дистрибутива не может заставить автора поддерживать любую, даже актуальную версию софта.

Поэтому все претензии к автору скринсейвера смехотворны. Он не исправляет баги в старой версии? А он и не обязан. Он не ведёт багтрекер? А он и не должен. Он вставил проверку обновления/таймбомбу? Если нет прямого вреда - к автору претензий быть не может. Любые отсылки к политике дистрибутива к автору не относятся, так как он никаких договоров с создателями дистра не заключал.

Моральный урод в данном случае - это мейнтейнер из дебиана. Это он добровольно обязался поддерживать скринсейвер в дистре и следовать политике дебиана, соответственно именно он и должен либо обеспечить работоспособность софтины в своём дистрибутиве, либо отказаться от поддержки. Если вместо этого он переводит стрелки и ДДОСит программиста жалобщиками - он и виновен в сложившейся ситуации.

Поэтому все претензии к автору скринсейвера смехотворны.

К нему никаких претензий и нету. Это он ноет.

Он не исправляет баги в старой версии? А он и не обязан.

А никто и не просит.

Это он добровольно обязался поддерживать скринсейвер в дистре и следовать политике дебиана, соответственно именно он и должен либо обеспечить работоспособность софтины в своём дистрибутиве, либо отказаться от поддержки.

Скринсейвер поддерживается, политика Дебиана соблюдается, софтина работает.

Моральный урод в данном случае - это мейнтейнер из дебиана.

Очередной иксперт, который нихрена не понял, но покукарекать вышел.

на мой взляд, разработчик поступил глупо встроив уведомлялку вы скринсейвер/локер, и глупо в квадрате не завёв себе нормальный багтреккер.
почему я так думаю: мне не нравится, когда софтина занимается не своими делами. локер вообще не должен знать, что есть какой-то интернет, через который можно сверить версии!
по поводу багов в стабильной ветке: не нравятся баги стабильной - подключай тестируемую/сид, и любуйся багами свежачка.
стабильный тем и хорош, что ведёт себя предсказуемо, а баги есть в любом ПО вне зависимости от свежести.

К нему никаких претензий и нету. Это он ноет.

Он не ноет. Он требует чтоб его не спаммили просьбами пофиксить баг в старой версии.

А никто и не просит.

Конечно не просит: требуют. Куча пользователей, которых хитрожопый мейнтейнер отсылает к автору скринсейвера.

Скринсейвер поддерживается, политика Дебиана соблюдается, софтина работает.

В чём выражается эта поддержка? Баги есть и они не исправляются. Только в том, что глючная версия остаётся в репозитории? Программист, наверное, должен памятник нерукотворный этому мейнтейнеру поставить, за то что добрый парень не удаляет скринсейвер из репозитория, я тебя правильно понял? Ещё раз, для полных дебилов: Мейнтейнер - это человек, который взял на себя обязательство по поддержке софта. Более того, он, как и позволяют открытые лицензии, пропатчил код, что, с точки зрения авторских прав (а GPL/LGPL - это лицензии, основанные на законе об авторских правах и они себя ему не противопоставляют), означает создание derived work на основе оригинального кода. Это уже его собственная ветка, это его собственный скринсейвер. Поэтому если мейнтейнер пытается свалить свои обязанности (исправление бага в его пакете - его обязанность) на кого-то другого, без согласия этого человека - он мудак. Точка. Правильные стратегии у мейнтейнера 3: 1) исправить баг самому. 2) нанять кого-нибудь (возможно, самого автора) на исправление бага. Сторонники свободного софта любят говорить о плате за поддержку - это именно тот случай. 3) отказаться от поддержки.

на мой взляд, разработчик поступил глупо встроив уведомлялку вы скринсейвер/локер, и глупо в квадрате не завёв себе нормальный багтреккер.

Ваше мнение очень важно для автора скринсейвера. Когда он начал писать софт, ему, видимо, очень не хотелось этим заниматься, но он пересилил себя мыслью о бедных пользователях linux, которые сидят без скринсейвера. И ради этих людей он готов работать без выходных. Вы вообще читали о чём? Он пишет: «отъ***тесь от меня с вашим с***ым дебианом и его тупой политикой.» И он прав. Просто поймите, этот скринсейвер - это хобби, которым занимается программист для себя. Как выжигать по дереву. Если вам хочется пользоваться результатом - пользуйтесь. Если что-то не нравится - идите с миром.

пересилил себя мыслью о бедных пользователях linux, которые сидят без скринсейвера. И ради этих людей он готов работать без выходных.

ну молодец, пусть возьмёт пирожок с полочки

скринсейвер - это хобби, которым занимается программист для себя. Как выжигать по дереву. Если вам хочется пользоваться результатом - пользуйтесь. Если что-то не нравится - идите с миром.

ну так и есть. я его трудом вообще не пользуюсь, не понравилось.
перечитав доступный материал, как я понял понял, нерадивые пользователи дебиана задолбуют его вопросами
но тут уже целиком его вина: не сделал бы он уведомляшки - 80% сообщений бы не получил. сделал бы нормальный багтреккер, где можно глянуть что зарепорчено и в каком состоянии находится - не получил бы ещё 15%
а к мейнтейнеру пакета и придраться толком не за что. пакет собран и работает. попросили выпилить уведомление - выпилил

а по большому счёту он вообще вправе настроить у себя чёрные списки и радоваться пустому ящику входящих

С чего я сделал вывод что им просто-напросто лень.

Не, они просто придерживаются правила «Работает - не трогай».

Потому-то и пользуется Арчик такой популярностью у различных по возрасту и сути людей, а адепты говна мамонта только про арчешкольников слышали.

На десктопе желательно иметь софт по-свежее, а на сервере - чтобы работал без сюрпризов. Кому охота переписывать половину конфигов после какого-нибудь обновления.