Russian Fedora

cообщество русскоязычных участников
международного проекта Fedora

Проблема с минимальными пакетными менеджерами

Недавно случилось интересное. Исследователь безопасности, Alex Birsan, сообщил о своем эксперименте. Он узнал имена библиотек, которые используются в приватных репозитариях крупных корпораций, завел одноименные проекты на GitHub, опубликовал их в NPM, PyPI, RubyGems и может быть еще где. Напомним, что разработчики часто не желают разбираться в том, для чего существуют и как работают пакетные менеджеры в дистрибутивах Linux и вариантах BSD, опрометчиво предпочитая устанавливать библиотеки "минималистичными, легкими, с быстрым разрешением зависимостей, без проблем с ключами подписей" недоработанными пакетными менеджерами, ориентированными на какой-то конкретный язык программирования. Дальше произошло следующее. Неразвитые функционально установщики пакетов, расчитанные на конкретный язык программирования, первым делом ищут пакеты в публичных репозиториях, находят там пакет с нужным названием (созданный Алексом) и устанавливают его, игнорируя требуемый, который находится у них в приватном репозитории.

Проблема оказалась массовой, из чего мы делаем вывод, что некоторые разработчики, имеют свое экспертное мнение по поводу пакетных менеджеров, но не знают, как они работают. Это нас не удивляет, с systemd в основном было точно так же (сейчас, конечно, стало получше).