[Volgograd] К вопросу о конструктивной критике (Re: Digger)

K.D.V. kordv на vng.com.ru
Сб Мар 20 12:58:41 MSK 2004 

Eugene A. Suchkov wrote:
> 
>>Троян можно и в виде патча приложить,
>>тогда md5-сумма тарбола будет в порядке.
> 
> Патч - штука условная. Его можно и не накладывать. Да и просмотреть его можно. 
> Мало того серьезные ресурсы (типа kernel.org) публикуют md5-суммы патчей
> 
>>Eugene, а как в вашей команде организована проверка
>>прикладываемых патчей? Поделитесь опытом.
> 
> В какой команде? Я просто собираю свой дистрибутив на базе Slackware. Правда, 
> собираюсь инициировать/поддержать проект Slackware RE. Но идея пока витает в 
> воздухе.
> 
А вы попробуйте тянуть проект в котором будет столько пакетов,
что вы не в состоянии будете все их поддерживать.
Тогда вам придётся нанимать мантейнеров.
Будем считать, что ваши возможности ограничены
и вы не в состоянии нанимать бесконечное количество.
Тогда либо ваш проект будет сильно ограничен во времени
или функционально, либо вам придётся набирать в команду добровольцев.

Для чего, собственно говоря, нужна пресловутая md5-сумма?
Для подписи.
Тогда согласно источника из которого получены исходники
и копирайта, находящегося в этих исходниках,
мы определяем их авторство.

Далее рассмотрим такое понятие, как степень доверия.
Вы уверены, что, скачав тарбол с почтовым сервером
и проверив md5-сумму, вы не заполучили трояна?
Если уверены, то почему?
Наверно не от того, что совпала md5-сумма,
а потому что доверяете автору.

Вернёмся к нашим баранам, к той гипотетической ситуации,
когда вам придётся набирать в свою команду добровольцев.
Как я уже говорил - всё досконально ни вы, ни ваша платная команда
не проверите (только свои и критические пакеты),
иначе дистрибутив будет сильно ограничен.
Придётся доверять добровольцам, как доверяете авторам исходников.

Теперь обратная сторона медали.
Сознательное внедрение троянов преследуется по закону РФ.
Если станет известным про наличие трояна в дистрибутиве,
то следствие очень быстро установит в каком именно пакете.
Ну а найти мантейнера пакета ещё проще.
Пусть потом доказывает как хочет, что не верблюд.

>
> Идеология слаки - по возможности, никаких патчей. И всегда есть md5-сумма
> 
Немного не так, приведу цитату:
<blockquote>
Если без бессмысленного трепа и по существу, то весь спор фанатов и 
противников слаки сводится к разрешению двух вопросов:
1) "автоконифгураторы" - это хорошо или плохо ? В слаке по всеобщему 
убеждению их нет (хотя на мой взгляд, их там есть и гораздо больше, чем 
следовало бы :-))) ). Ответ на этот вопрос всем (нормальным) людям 
известен - это дело личных предпочтений и характера решаемых задач.
2) Какова идеология слаки ? (Типа, где там полиси и все такое). В 
действительности основная особеность слаки заключается в том, что она не 
является по своей сути типичным "линуксовым дистром". Слака - это 
реинкарнация классического юникса на линуксовом ядре. Ясен пень, что 
есть множество линуксовоспецефичных вещей, основной софт в слаке - это 
гнутый софт, со всеми вытекающими и т.п., но ИДЕОЛОГИЯ слаки - это 
именно идеология "голого" юниха. Это имеет свои плюсы. Точнее, один 
главный плюс - для работы со слакой (для дебилов перевожу - не для 
работы ЗА слакой (для этого вообще ничего не нужно), а для работы СО 
слакой (т.е. поставить, настроить и забыть, пока не позовут чето-нибудь 
поменять)) нужен ровный минимум знаний, необходимый для работы с линухом 
( еще раз - _С_, а не _ЗА_). Все знакомство с дистром - view 
/etc/inittab && view /etc/rc.d/rc.S && view /etc/rc.d/rc.K && view 
/etc/rc.d/rc.M. Все. Нужно настроить фаервол - пишем в любом нравящемся 
нам месте скрипт и вызываем его из любого нравящегося нам места. Если 
чел знает, что делает - он сделает все правильно. Если не знает, ему 
(или ей ? :-))) ) лучше сменить дистр :-))) На какой-нибудь с KDEшной 
конфигурялкой фаерволла :-)))) Если нужно пересобрать ядро, то сделать 
нужно ровно то, что указано в идущем с ядром README и ни йотой больше. 
Естественно, такой подход имеет и свои минусы (перечислять я их не буду, 
кто сталкивался с соответствующими задачами - сам поймет, а кто не 
сталкивался - не поймет, пока не столкнется), но уж точно имеет право на 
жизнь. :-)))

ЗЫ. И уж по крайней мере, беря в руки новый релиз слаки, можно быть 
уверенным в том, что devfsd не окажется волею судеб и в конец 
обдолбанного торчка где-нибудь на втором компакте, как у некоторых 
супер-пупер продвинутых передовых дистров :-))))))
</blockquote>



-- 
  Akkord
  V-LUG team

Подробная информация о списке рассылки Volgograd