В репозитории Python-пакетов PyPI (Python Package Index) предоставлена возможность использования нового защищённого метода публикации пакетов, позволяющего обойтись без сохранения на внешних системах (например, в GitHub Actions) фиксированных паролей и токенов доступа к API. Новый метод аутентификации получил название 'Trusted Publishers' и призван решить проблему с публикацией вредоносных обновлений, осуществляемых в результате компрометации внешних систем и попадания в руки злоумышленников предопределённых паролей или токенов...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59019
Что бы не придумают, лишь бы не делать нормальное управление зависимостями
А что не так с зависимостями?
Приблизительно всё.
Что именно?
Например всё.
Ума нельзя дать
Ума можно только взять
мусье видимо не писал на си/плюсах. В пипоне оно хотя бы есть
И что это даёт кроме новых дыр?
Вообще-то есть и даже разные - на выбор.
В питоне кстати тоже и в современных менеджера пакетов много проблем устранены.
Писал. С зависимостями там не идеально, тем не менее, лучше, нежели в питоне.Наиболее удобное управление я видел в Go, единственная беда — проксирование гуглом, но прокси можно заменить на свой
В Сяз давно уже есть CMake, Mseon и Conan в конце концов.
А то что портирование Си на новую платформу заканчивается
после завершения портирвоания CC так это просто показатель
культуры платформы. Можно и вовсе только Asm пердоставлять
вместе с платами для экономии ресурсов...
У рыб-удильщиков отряда Ceratioidei самцы прирастают к самкам, объединяя в конце-концов свои системы кровообращения, проблема с зависимостями в С++ имеет столь же простое и изящно решение ...
Основная его проблема в отсутствии старых версий, из-за чего не работает софт даже двухлетней давности
Звучит как достоинство, а не недостаток.
Тяп-ляп и в продакшон
шта? там же можно указывать конкретную версию с ==, <= и >=
можно, но иногда приходится устанавливать старую версию python, например 3.7
И в чём проблема конкретно?
Указывать можно, вот только в репозитории её уже нет. Хоть зауказывайся.
Старые версии притона присутствуют в любых количествах не бредь, пожалуйста.
А пакеты с пакетами можно публиковать?
Вот именно из-за таких как ты и придумали package namespaces.
Бред какой-то, причем тут гитхаб, зачем хранить ключи доступа в гитхабе, нагородили черт знает чего.
Пойди, разберись :)
Вы кстати нам дискету с дистрибудтвом когда отправите?
Подскажите, как pip искать пакеты? `pip search` не работает:
```
% pip search gns3
ERROR: XMLRPC request failed [code: -32500]
RuntimeError: PyPI no longer supports 'pip search' (or XML-RPC search). Please use https://pypi.org/search (via a browser) instead. See https://warehouse.pypa.io/api-reference/xml-rpc.html#depreca... for more information.
```
Последние годы я ищу прямо на pypi. Этот поиск в pip они лет 7 назад отломали. Не совсем понимаю, почему и зачем, ну да и ладно
Как тут код вставить? Маркдаун, вроде бы, не работает.
Ты лучше расскажи зачем тебе код вставлять в комментарий? Думаешь кому-то интересен твой код, кто-то будет читать твои простыни? Да все плевать.
А вот и нехрена. Давно мечтаю о "```" в комментах OpenNet.
Просто вставляй как есть, он моноширинным шрифтом покажется или используй теги [ code ]...[ /code ] (без пробелов)
Проверка:
print("Hello, World!")
не ну просто окошко для заливки зловредов поменьше стало и ладно, осталось дожать до миллисикундныхъ таймингов и заставить разрабов это обыграть = секурность! (епт)ваще слегка бесит, что вся эта балалаечка не учит людей работать правильно, а просто выгрбает в сторонний сервис чью то логику, на основе gpg лучшеб подппись проверяли и все, в деплой вклацал ктрл-с стрл-в / подписал а дельше пускай сервисы из паблик ключей проверяют, но нет, нам нужны какие то мутные КлоседАйди и прочее (что далеко не всякому понятно), удобно же да ?