Ник Велнхофер (Nick Wellnhofer), сопровождающий библиотеку libxml2, объявил, что отныне будет трактовать уязвимости как обычные ошибки. Сообщения об уязвимостях не будут рассматриваться в приоритетном порядке, а станут исправляться по мере появления свободного времени. Информация о сути уязвимости будет размещаться в публичном доступе сразу, не дожидаясь формирования патча и распространения исправления в дистрибутивах и операционных сиcтемах. Ник также снял с себя полномочия сопровождающего библиотеку libxslt и высказал сомнения в том, что найдётся кто-то готовый взять на себя её поддержку...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63437
Это программистский террор. Пусть уходит с поста мейнтейнера, а либу передаст в редхат или Гугл, им есть вера, они не обманут.
> Это программистский террор. Пусть уходит с поста мейнтейнера, а либу передаст в
> редхат или Гугл, им есть вера, они не обманут.так он им уже вон целый xslt выкинул (без которого вообще-то не очень понятно зачем нужен и xml) - забирайти! А они... уот... потомушта не для того брали 6ешплатное, взять-взять-взять, чтоб теперь бюджеты на поддержку тратить - инвесторы этого не одобрют!
хотя, конечно, все равно дол...ёп. Потому что нехрен браться было. Шантажируют его, ошибки заставляют исправлять, вместо обдумывания консептуяльных дизигнов, ну надо же ж.
(отдельно хочется спросить что он там вообще делает кроме исправления бесконечных багов, какие великие новые фичи ему мешали консептуяльно обдумывать? xml за 25 лет что-то вроде не особо-то изменился)
А что так можно было?
«Вам никто ничего не должен»
"Ваши ожидания это ваши проблемы"
Проблемы? Иди и переписывай на Раст, чего до автора докопался?
> Проблемы? Иди и переписывай на Раст, чего до автора докопался?Во, отлично, пусть перепишут эту жирноту на хрусте. Вместе с libxslt. Как раз будет чем заняться. И потом еще майнтенанс и фиксы CVE оплачивать. Коих будет, учитывая навороты XSLT и проч.
https://crates.io/keywords/xml
давно уже.
> https://crates.io/keywords/xml
> давно уже.Ну так удачи в замене сабща, самое время показать мастеркласс на тему что делать если 2000 пакетов depend от этой штуки. И тут вы такие, выехаете на белом коне, и всем покажете? Или таки нет?
Да .NET, наверное
> Да .NET, наверноеЭтот точно выехает на белом коне. Запряженном в лафет. Следующий на кладбище...
Годами опенсорс специально не доделывают, чтобы зарабатывать на поддержке. Вы узнали об этом только сейчас?
Когда ты в последний раз доделывал программу? не считая хеллоу ворлд? Тоже получается из их секты?
Есть вопрос получше: "Когда ты в последний раз донатил на поддержку?" или честнее "Ты хоть раз донатил на поддержку?"
Ответ - очевиден.PS: Мужик кстати - молоток! Взял и ... и сказал правду как оно сейчас всё устроено, кто получает гимморой, а кто бабки. Поэтому его сожрут. :(
Вам хоть кто-то такое предлагал? Мне предлагали в весьма неудобное время. Вы на этих подачках не заработаете. Это только если вы живете в какой-нибудь стране где можете жить на пособие по безработице.
Например, автор Bcachefs живёт и пишет именно на пожертвования.
> Например, автор Bcachefs живёт и пишет именно на пожертвования.лол, кек.
Автор живет на зарплату от мелкой лавочки, торгующей из под полы кустарными хранилками.
> Вам хоть кто-то такое предлагал? Мне предлагали в весьма неудобное время. Вы
> на этих подачках не заработаете. Это только если вы живете в
> какой-нибудь стране где можете жить на пособие по безработице.Ларабель вон целый датаецнтр отгрохал, на подписках сайтика, оплате бенчей и чем там еще.
> Ларабель вон целый датаецнтр отгрохал, на подписках сайтика, оплате бенчей и чем там еще.И? А мой сосед выиграл в лотерею.
Сколько таких примеров ты можешь еще привести?Дабы не быть голословным:
GIMP - собирают через патреон (gimp.org/donating/)
Øyvind Kolås - $1,312/month
ZeMarmot team - €1,191/month
Это что? Зарплата джуна? На это вообще можно жить и работать хотя бы "на пол ставки"?
Нет конечно.Krita - есть Development Fund (fund.krita.org/)
Целых $3003 в месяц от 244 INDIVIDUALS.
Хватит на двух джунов.Про фаерфокс которому надонатили по 5 центов с человека вообще не хочется говорить.
> Хватит на двух джунов.Не хватит. Закон запрещает платить ниже минимальной ставки. Даже на одного не хватит, придётся на отчисления в соцфонды из кармана докладывать. Разве что интерна взять можно за такие деньги или на полставочки.
Ну фаерфокс известные пильщики же. Вот запилишь браузер и почтовый клиент, тогда и тебе фонды заносить начнут.
Да и не только опенсорс. Жирное и ынтепрайзное тоже любят недоделать, недописать каких-то нюансов в документацию, чтобы, в итоге, система получалась как бы почти рабочей но не совсем и требовались консультации от конторы, причём, за дорого, ещё и, порой, с ожиданием в 1-3 недели
В итоге, вроде бы впарили полный комплект, а потом - годами тянут бабло на разную поддержку и "консультации"
Ну, по ffmpeg и 7zip видно что никак не доделают)
MainConcept почти наполовину лучше ffmpeg по тестам.
Rar жмет 15 гиг вижлу на виртуальном диске до менее чем 2 гб. 7zip так не сможет как ни выкручивай.
Движки игровые так вообще ад, но продать можно, да.
виртуалки ещё и Srep норм жмёт
последний раз кстати сжимал игровой ISO и тут zstd ultra справился лучше 7z
А rar Вы купили, или как обычно? И большая разница? Во сколько раз 7zip хуже сдал?
Кстати попробуйте жать отечественной разработкой - Bytefuse, кажется называется.
> А что так можно было?Чувак прозрачно намекнул жирнокорпам - "денег хочется, вы о...ли требовать VIP обслуживание забесплатно!"
Нужно.
> Нужно.Я не знаю, каким образом у меня получилось оставить это комментарий от Димы. Я не Дима. И он это комментарий не оставлял.
У Димы в настройках аккаунта так настроено.
Значит, я теперь тоже немножко Дима.
Я так понимаю крупные компании понимают свободное ПО, как бесплатное, и пытаются сэкономить.
Именно!
И не только крупные компании.
Ты что не слышал аргументов "гимп это как фотошот, но бесплатно", "линукс лучше винды, потому что бесплатный".К сожалению коммуняцкий манифест-ГНУ в первую очередь защищает пользователей.
А программеры, согласно нему, должны жить на пожертвования.В итоге лицензии, которые хотят брать деньги с бизнеса, объявляются "не свободными" и всячески лживо обличаются всякими подкорповскими подстилками типа FSF и OSI.
Что естественно только выгодно большому бизнесу.
Та даже дело не в отмене лицензий, которые будет поощрять разработчиков, сколько порядочность этих самых "крупных компаний", которые ни на долю не задонятят этим, считай, волонтерам. Хорошо когда лицензия либы свободна и безусловна, именно это и нужно поощрять.
Я считаю что тут не вся корпорация не хочет жертвовать разработчикам свободного софта, а ваш брат программист, который нашел и использовал этот софт и не хочет выбивать бюджет у начальства на пожертвования, а лучше будет травить разработчика в сети. Есть над чем задуматься.
Братуха ты забываешь что манифест это не закон и не предписание. Ни корпорация, ни ГНУ не заставляют выбирать "коммуняцкую" лицензию. Сначала програмер выбирает лицензию и только потом на результатах кормится корпорация.>объявляются "не свободными"
Всё корректно, у fsf своё определение свободы касательно кода, всё что с ним не бьётся — несвободное (с т.з. fsf, её можно (сюрприз!) не учитывать)
В общем шёл бы ты заниматься пропагандой и подтасовками в другом месте…
Перечитайте термин коммунизма.>"А программеры, согласно нему, должны жить на пожертвования. "
Программист может выбрать какую угодно лицензию, его силой заставляют использовать ГНУ лицензию и писать комментарии о том, какая плохая лицензия?
Если хотите заработать - Выпускайте опенсорс недоделку и зарабатывайте на поддержке!
>Перечитайте термин коммунизма.Коммунизм это когда люди живут в племенах называемых коммунами, у них нет личного имущества, все общее, включая женщин и детей.
Дети - да, до прохождения обряда инициации. Женщины - свои собственные. Это если в племенах. Но можно и по-современному - не в племенах.
> у них нет личного имущества, все общее, включая женщин и детей.бред, коммуна это модель семьи.
Коллективизм.
> Если хотите заработать - Выпускайте
>опенсорс недоделку и зарабатывайте на
>поддержке!Пойду потыкаю недожеланный nginx, через недоделанный vscode, а то нужен прокси перед недоделанным OpenSearch на недоделанном HotSpot.
Я знаю каратэ, дзю-до, самбо, джиу-джитсу и много других страшных слов! (С) НоротЪ
;-p
Шутки шутками, но из списка всё кроме vscode (про HotSpot впервые слышу) как раз таки зарабатывает на поддержке. А VSCode это скорее про контроль индустрии, если VSCode на чём-то не поддерживается (например Win7) - то это что-то выбрасывается.
>коммуняцкий манифест-ГНУПризнак тролля. Впредь не читаем такого рода сообщения.
С добрым утром, этот эксперт из 8 б целыми днями ищет в комментах иксофанатиков, корудуба, сишных дедов и вот теперь коммунистов ещё.
> С добрым утром, этот эксперт из 8 б целыми днями ищет в
> комментах иксофанатиков, корудуба, сишных дедов и вот теперь коммунистов ещё.Скорее это "старый что малый", какой-то дидок деволюционировал и отрегрессил обратно до уровня 8 б.
>ищет в комментах иксофанатиков, корудуба, сишных дедов и вот теперь коммунистов ещё.С Интел коре два дуо переехал осенью, СИ изучал в ВУЗе, вот в коммуне никогда не жил. Но тот тролль унылый.
>В итоге лицензии, которые хотят брать деньги с бизнеса, объявляются "не свободными" и всячески лживо обличаются всякими подкорповскими подстилками типа FSF и OSI.Red Hat вполне себе берёт деньги, без проблем. И потом, вы наивны, если думаете, что за деньги софт будет лучше.
Ну для незащищённых слоев общества в странах третьего мира иметь возможность поставить на компьютер бесплатный Линукс и бесплатный прикладной софт это тоже форма свободы, почему нет? Открою секрет, когда у людей закрыты базовые потребности, они готовы отправить пожертвования на правое дело, которое приносит им же самим пользу.
> Открою секрет, когда у людей закрыты базовые потребности, они готовы отправить
> пожертвования на правое дело, которое приносит им же самим пользу.Да, конечно. Мы прям видим как много донатят люди. Проекты прям купаются в деньгах.
Не то что эти корпы, кинут пару баксов и все. Возмутительно!
>Да, конечно. Мы прям видим как много донатят людиТандербёрд 10 минут назад показала окно с залостливым объявлением что 3% пользователей донатят. Надо производить разъяснительную работу.
Блин, донатить на кнопки которые начали прыгать? Кто подпустил этих маркетологов вообще. Убьют его окончательно.
Ну всё верно, 97% пользователей из стран третьего мира, 3% — те кто уже переехал в сытую жизнь. Через пару лет нагуляют достаточно жирка чтобы купить макбук, у которого почтовая программа из коробки и перестанут донатить.
>>Да, конечно. Мы прям видим как много донатят люди
> Тандербёрд 10 минут назад показала окно с залостливым объявлением что 3% пользователей
> донатят. Надо производить разъяснительную работу.О, теперь он шароварь и нагварь? Надо еще мсг про триальный период запилить. А кому не нравится - можете сорц пропатчить!
Есть Sylpheed
> Ну для незащищённых слоев общества в странах третьего мира иметь возможность поставить
> на компьютерКраденый компьютер, я надеюсь?
А то откуда у незащищенного слоя общества взялся компьютер-то?А если белые люди подарили - ну так они на кормлении негров украдкой такие миллиарды отмывали, что могут оплатить и лицензию на win11.
(правда все еще непонятно зачем бомжу хотя бы даже и второе, не говоря уже о первом. Он там пытается прям со свалки войти в ойти? Передайте ему что это тухлый номер, тут нет места для джунов 45 лет не умеющих правильно подобрать галстук к костюму. Нужны водители большегрузов.)
> свободы, почему нет? Открою секрет, когда у людей закрыты базовые потребности,
> они готовы отправить пожертвования на правое дело, которое приносит им же
> самим пользу.да, на яхточке вон прогуляться по средиземному морю в пользу правого дела. И самому приятно время провести, и пожертвований пожрать.
> А то откуда у незащищенного слоя общества взялся компьютер-то?Найти комп с апгрейда на халяву - не особая проблема. Офисы их грузовиками нахрен утилизируют. Могут отдать нахаляву. Или сосед нашару выставит старье. Или найти сброс по демпинговым ценам комплектухи с апгрейда. Если кто решил что оно ему надо - более 9000 вариантов.
> А если белые люди подарили - ну так они на кормлении негров
> украдкой такие миллиарды отмывали, что могут оплатить и лицензию на win11.Белым людям надо - делиться с продавцами воздуха? Белый человек потому и богатый что своего не упустит, в отличие от немамонтов.
> говоря уже о первом. Он там пытается прям со свалки войти
> в ойти? Передайте ему что это тухлый номер, тут нет места
> для джунов 45 лет не умеющих правильно подобрать галстук к костюму.В айти может войти кто угодно, когда угодно. Даже могут помочь, если выглядит интересно. Это без гарантий, но бывает. Все что надо - много желания этим заниматься, умение учиться и не быть тупым. А еще, в норм айти всем похрен на галстуки. Большая часть вообще - неформалы.
> Нужны водители большегрузов.)
Говорят, это у вас сейчас опасная профессия.
> да, на яхточке вон прогуляться по средиземному морю в пользу правого дела.
Если доиться всяким майкрософтам и слушать ушлых веников какие они полезные, яхточка таки будет - не у тебя, уж сорянчик.
> И самому приятно время провести, и пожертвований пожрать.
Ну ты то с своей галерой только дырку от бублика на старости покушаешь, имхо. И знаешь что, никому не интересны отмазки. Ведь на#$%шь ты в итоге - сам себя прежде всего.
> Найти комп с апгрейда на халяву - не особая проблема.Кору дуба, разьве что? Ты уже, надеюсь, нашел, или так на пне три и остался?
> Офисы их грузовиками нахрен утилизируют. Могут отдать нахаляву.
не могут. У тебя нет лицензии на переработку особо опасных отходов и ты не можешь правильно заполнить акт утилизации.
Не говоря уже о том что настолько старое и гнилое что утилизируют, вряд ли кому-то вообще нужно, раз оно даже для бухгалтерии не годилось.
А серверы утилизируются в китай, где из них понаделают новые X99 и прочие ужасы геймера (ни разу не по карману бомжам).
> Белым людям надо - делиться с продавцами воздуха?
покажи как ты создаешь windows11 из thin air? А вот всякие прожекты типа OLPC и тому подобная глупость - из воздуха очень даже денежки наивных л-ов вынимали, и не по одному разу. Правда, последний год им сильно прикрыли кислород.
> В айти может войти кто угодно, когда угодно.
и выйти, обнаружив что кормить его никто не собирался.
> А еще, в норм айти всем похрен на галстуки.
ты путаешь айти и свой подвал, с единственными никому ненужными умными воротами. Как там с очередью л-шков мечтающих тебя озолотить - все никак не собирается на ступеньках вниз?
>> Нужны водители большегрузов.)
> Говорят, это у вас сейчас опасная профессия.в польшу езжай, там безопастная. И права продают недорого. С ними потом можешь и в гермашку перебраться, как опыта поднаберешься. Паспорт только белорусский показывай на границе, а то не пустят и еще и посрачников надают. (Тоже, в общем, недорого продается.)
> Кору дуба, разьве что?Да наверное уже и чего покруче бывает. Нормальный офис найди, энтерпрайзный! Какой ж энтпрерайз ща тебе юзал кору дуба? Они на воркстейшны девов и EPYC могут воткнуть. Ну или рязань топовую хотя-бы. Потому что продуктивность персонала в норм фирме не пустой звук.
> Ты уже, надеюсь, нашел, или так на пне три и остался?
У меня даже ARMовские одноплатники мощнее этого пня уже. А винтажное железо я как раз раздал. Бесплатно. Но суммарно - за это воздалось, прикольнее чем я мог ожидать. Делайте людям добро - и оно вернется.
> не могут. У тебя нет лицензии на переработку особо опасных отходов и
> ты не можешь правильно заполнить акт утилизации.На утилизацию будет задекларено меньше. И ты мне это рассказываешь - когда мне админы МОЙ комп так отдали. Я его и утащил. Как secondary/aux, конечно. Полися проста: берите что хотите, пару недель стоят, потом утилизаторам. Я поудивлялся - и выяснил что оно им денег стоит, так что забрать - им выгодно и приветствуется (!!!).
> Не говоря уже о том что настолько старое и гнилое что утилизируют,
Мне мой комп отдали вполне нормальным в свое время. Его заменили просто потому что к тому моменту намного более производительные появились. А ты заодно спалил уровень своей помойки и ее менеджмента, пасиб.
> вряд ли кому-то вообще нужно, раз оно даже для бухгалтерии не годилось.
У бухов уже были компы. А многостаночность бухи не умеют, они ж не R&D продвинутый.
> А серверы утилизируются в китай, где из них понаделают новые X99 и
> прочие ужасы геймера (ни разу не по карману бомжам).Ну вот насчет серверов я не интересовался, ибо не горел желанием тащить себе домой истребитель на взлете, и 19" стоек у меня нет.
>> Белым людям надо - делиться с продавцами воздуха?
> покажи как ты создаешь windows11 из thin air?Это тебе к майкрософту. С DOS свое время справился. Да и NT - потомок VMS, чтоли.
> денежки наивных л-ов вынимали, и не по одному разу. Правда, последний
> год им сильно прикрыли кислород.Ну как бы OLPC странноватая шляпа. И еще и огороженная. Но нашару и уксус - сладкий.
>> В айти может войти кто угодно, когда угодно.
> и выйти, обнаружив что кормить его никто не собирался.Все зависит только от этого гражданина. Да, многие пойдут нахрен, если не готовы повъе, и/или дверью ошиблись и им оно не интересно. Мы это чувствуем. Поэтому кто-то (корп или индивидуал) за вон того впишется только если видит - перспективу и желание.
> ты путаешь айти и свой подвал, с единственными никому ненужными умными воротами.
Ты просто не заморачивался как этот мир на самом деле работает и чего можно достичь коммуницируя с людьми с схожими интересами. Да, с тобой мало кто взаимодействовать захочет, да и дверью ты вероятно - ошибся. Но это не мой фэйл.
> Как там с очередью л-шков мечтающих тебя озолотить - все никак
> не собирается на ступеньках вниз?Мне хватает. И тасков в буфере - более чем. При том интересных. Чего и тебе желаю. Я завтра проснусь - мощнее чем вчера.
>> Говорят, это у вас сейчас опасная профессия.
> в польшу езжай, там безопастная. И права продают недорого.Да сам и езжай? Мне и в айти ЗБС, но вот тут я уверен что дверью не ошибся и знаю чем я могу наподдать хипстикам и AI :)
> показывай на границе, а то не пустят и еще и посрачников
> надают. (Тоже, в общем, недорого продается.)Я уже не в рфии если что. Но да, вон та корочка - карму несколько поганит.
> Да наверное уже и чего покруче бывает.бывает, только тебе то что покруче - не перепадет. Оно либо уже используется, либо списано потому что сдохло. Времена плановых апгрейдов с коре2 давноооо прошли. А времена массовых закупок новых макбуков так и подавно. Скажи спасибо если свой можно приносить.
>> Ты уже, надеюсь, нашел, или так на пне три и остался?
> У меня даже ARMовские одноплатники мощнее этого пня уже.ну то есть не нашел. Только армовский одноплатник. Правда видео как обычно mali, но шош поделаешь (да и зачем тебе)
>>> В айти может войти кто угодно, когда угодно.
>> и выйти, обнаружив что кормить его никто не собирался.
> Все зависит только от этого гражданина. Да, многие пойдут нахренвсе пойдут. Джуны не нужны. Тестировщики, особенно - как ни смешно - automated - нахрен не сдались. Сеньоров без опыта никому не надо, с опытом на одно место уже пяток претендует. Дальше будет хуже, рыночек - схлопывается.
> Поэтому кто-то (корп или индивидуал) за вон того впишется только если
> видит - перспективу и желание.нет. Ему нужна отдача вотпрямщас "нетвремени на раскачку!" А отдаленные перспективы нахрен не нужны.
> Ты просто не заморачивался как этот мир на самом деле работает и чего можно достичь
> коммуницируя с людьми с схожими интересами.я уже слышал эти байки. Судя по упорному нежеланию раскрыть тайну и абсолютно, феерично нулевым знаниям о чем ни спроси - это какой-то совершенно уникальный подвальный бизнес с парой клиентов, который через пару лет загнется, потому что клиенты разорятся.
А люди со схожими с моими профессиональными интересами, так это ж мои конкуренты. Коммуницируя с ними можно конечно научиться паре интересных приемчиков, но на работу устроиться они не помогут, там уже занято. Ими. А уж вошедший в ойти им и вовсе без надобности, он же ж ничего не умеет. Да, его можно научить на месте, в теории (на практике все сложнее, у бомжа вряд ли выйдет) но нахрена ж кому-то его учить?
> Да сам и езжай?
у меня паспорт не того цвета. А то б, конечно, поехал - при всех сказах о том как автоуправляемые грузовики будут бороздить, дефицит водил только растет, хрен его знает с чего вдруг.
> бывает, только тебе то что покруче - не перепадет.Сэр, на халяву и уксус - сладкий. Мы ж вроде про bootstrap...
Да и с мощным компом что это вырастет? Очередной вебдев? Их и так - дохрена. А то и вовсе станет оператором чатгопа. А потом оказывается что от этого тупеют, креативность и интеллект в дауне. Хозяин задастся вопросом - зачем овощам платить?
> Оно либо уже используется, либо списано потому что сдохло.
Эта полися говорит о твоей помойке примерно все.
> Времена плановых апгрейдов с коре2 давноооо прошли.
Да никуда они не проходили, продуктивность не пустой звук. Но конечно это не про помойки ex-сoвдeп образца.
> А времена массовых закупок новых макбуков так и подавно.
> Скажи спасибо если свой можно приносить.Это твои местечковые проблемы. Скажи спасибо что с флагом или портретами вождя маршировать не заставляют. Но если ты не заметил - ты живешь в локации которая вообще - вымирает. И тебе грех обижаться если эволюционно тебя задвинет - индус, вчера чистивший туалеты. У него больше жизненных перспектив.
> ну то есть не нашел. Только армовский одноплатник. Правда видео как обычно
Как я уже сказал мне в свое время неплохой по тем временам 64-битник сбагрили. Мог бы еще дюжину утащить - но я тоже не склад.
> mali, но шош поделаешь
А что mali? Оно цепляется обычным mainline ядром и обычной MESA уже. Я говорил что линуксоиды умеют рещать свои проблемы? :) Смотрение на них мотивировало меня стать чем-то наподобие.
> (да и зачем тебе)
У большинства этих штук и правда - вебморды.
>> Все зависит только от этого гражданина. Да, многие пойдут нахрен
> все пойдут. Джуны не нужны.А синьоры видимр на деревьях растут. Как булки. И тем более лиды и PMы. Не, чуваки, это не так работает. Когда у долбоклюев вакансия не закрыта i++ месяцев, они начнут догадываться, что либо не очень то хотелось, либо надо более радикальные шаги если все разваливается. И тогда и джунов дообучить - вариант, и зарплаты критичным номинациям поднять - ок. А ты можешь хоть за трудодни в колхозе! :)
> Тестировщики, особенно - как ни смешно - automated - нахрен не сдались.
А что, нетестированый крап кто-то покупает? Хотя в твоей помойке что угодно может быть.
> Сеньоров без опыта никому не надо, с опытом на одно место уже пяток
> претендует. Дальше будет хуже, рыночек - схлопывается.Хрен тебя знает что у тебя за рыночки. А в целом по планете - ничего особо никуда не схлопывается. Да, экономика не такая жирная как была, и есть турбулентность, по ряду причин. Так что DEI и прочее ненужно все же попросили. Но кроме этого есть дофига иных вариантов, и сказать что нет спроса? Ну вот нет.
> нет. Ему нужна отдача вотпрямщас "нетвремени на раскачку!"
Это предпочтительно, но нереалистично зачастую. Так же как и задача решенная еще позавчера когда ее еще не начинали.
Но да, некоторым айтишникам придется понабивать скилл и пообучаться энное время, дешево/бесплатно, чтобы потом получить отыгрыш. Финский студент далеко не сразу стал фигурой мирового масштаба. А другой студень читал про PHP на лекциях. А потом послал лекции и сейчас довольно мощный айтишник. Называя вещи своими именами этот мир принадлежит - упертым и продвинутым.
А если кто хочет денег и сейчас, модная тема у вас, вроде, курьеры. Но это с рисками и совсем без перспектив. Свободнаякасса на стероидах.
> А отдаленные перспективы нахрен не нужны.
Те кто игнорит отдаленные перспективы - долго не живут, разве что как нежить.
> совершенно уникальный подвальный бизнес с парой клиентов, который через пару лет
> загнется, потому что клиенты разорятся.При том это я слышу уже i++ лет.
> А люди со схожими с моими профессиональными интересами, так это ж мои
> конкуренты.В моем случае - меня довольно трудно обыграть на именно моем поле, и для этого надо добрую половину жизни убить. Я понимаю полный стек, от сборки системы и крыжика в вебморде, через написание фирмвари, до релюшки которая при этом клацает. Сколько на этом глобусе сможет похвастать тем же? :)
> Коммуницируя с ними можно конечно научиться паре интересных приемчиков, но
> на работу устроиться они не помогут, там уже занято.Мне пофиг: я в курсе что свое место под солнцем надо - активно занимать. Никто мне ничерта не должен в этом мире.
> уж вошедший в ойти им и вовсе без надобности, он же ж ничего не умеет.
Если кто считает себя вошедшим в ойти но ничего не умеет - он, возможно, дверью ошибся. А тупые ритуалы не требующие много ума натурально может сейчас и чатгоп провернуть.
> Да, его можно научить на месте, в теории
Я видел эту "теорию" в паре мест прямо на своей тушке. Но ты можешь мне рассказать как оно. Более того - это нормальный способ рюхания тасков. Нормальные люди берут таски где кроме знакомых вещей есть и неизвестные. Это немного увеличивает риски. Зато не дает стать овощем и обеспечивает что завтра я буду мощнее чем вчера. Я видел во что можно превратиться если забить на это. Для меня это страшная перспектива, быть живым мертвецом я не готов.
> (на практике все сложнее, у бомжа вряд ли выйдет) но нахрена ж кому-то его учить?
Как минимум всякие нищие студни - лайтовое подобие пути Торвальдса проходят регулярно. И я знаю програмеров которым за 60 которые не утратили живость ума, умение обучаться и сочетают мощь опыта с хорошо работающим мозгом. Очень крутое комбо. Но оно конечно не образуется если мозгом не пользоваться. Ибо "use it or loose it".
И не - заучивание ритуалов само по себе еще не это. Это лишь память стрессит. А более важна часть которая про активное сбалансированное принятие решений.
>> Да сам и езжай?
> у меня паспорт не того цвета. А то б, конечно, поехал -Флаг тебе в руки.
То есть если 20 лет парсить xml через Си, то на работу никогда не возьмут, да?
Бинго!
Вот это правильно! Нельзя скрывать проблемы:
https://www.debian.org/social_contract
Большая часть уязвимостей высосана из пальца инфосеками.
> Большая часть уязвимостей высосана из пальца инфосеками.Ваши уязвимости не уязвимости!!!111Это просто баг!
А, что? Выполнился сторонний код?
Не, ну это бывает, дело-то житейское.
Согласен(без сарказма).Вообще, любая уязвимость - тема крайне спекулятивная.. фокус внимания которой выставлен на факт присутствия некой огромной "опасности" от уязвимости, хотя по факту "стригут шерсть" уже иными способами.. намного проще и легче.
Удалённая эксплуатация кода конечно сложна, но вот отказ в обслуживании для каждой уязвимости реализовать довольно просто. Хотите принять сторонний xml-файл, который крашнет Вам сервер ?
для начала мы не хотим принимать сторонние xml-файлы. По крайней мере на сервере, который нам жалко крашнуть
Ага, например апач, который для того и создан, чтобы сомтреть в интернет.
ваш апач настроен принимать что угодно откуда угодно и сразу парсить? А баш скрипты он принимает?
в этом году команды в шелл успешно приняли disk.yandex.ru, strapi.io, chaturbate.com, какой-то польский банк и это ковыряясь в носу за 5 минут от нефиг делать в случайное место тыкнув.
Вот такие вот сервера нынче.
т.е. ты нихуовый спец по безопасности, который за 5 минут нашел как минимум 4 уязвимости?я ничего не перепутал?
> для начала мы не хотим принимать сторонние xml-файлы. По крайней мере на
> сервере, который нам жалко крашнутьТогда тебе надо физически отключить его от интернета. Злобый интернет не спрашивает чего ты там хочешь или не хочешь принимать.
У уязвимостей есть уже давно работающая оценка критичности. Критичные уязвимости, особенно для компонента, который активно используется, необходимо закрывать немедленно. А публикация информации об уязвимости без её закрытия - это вообще вредоносная деятельность. Но при этом проблему оплаты такой работы как-то нужно решать.
CVE-2024-25062
BIG-IP, BIG-IP Next SPK, BIG-IP Next CNF, and Traffix SDC
This vulnerability allows a remote, authenticated attacker (unauthenticated in the case of BIG-IP Next SPK and CNF, and Traffix SDC) to cause a use-after-free issue that can lead to a denial-of-service (DoS) on the affected products.
>>По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2.Я думал он скажет что пусть компании присылают патчи и пулл реквесты фиксящие уязвимости, но нет. Видать какая обидка у него, а не здравый смысл.
А он это тоже говорит:>>This policy will probably make some downstream users nervous, but maybe it encourages them to contribute a little more.
>>Originally it was kind of a growth hack, but now these companies make billions of profits and refuse to pay back their technical debt, either by switching to better solutions, developing their own or by trying to improve libxml2
> these companies make billions of profits and refuse to pay back their technical debt
> THEIR technical debtА фигли этот technical debt - their?
Кто овнокод написал? Корпы? Нет!
Этот technical debt его и предыдущих авторов libxml2.
Сам вписался, сам подписал social contract, как втирали в соседней новости, сам виноват.
Ведь от его ошибок страдают не корпы, а обычные люди, в том числи линуксойды. Если не может делать хорошо, то зачем вообще делает. Развелось тут любителей бракоделить просто "по фану".
Ну так иди патчи сделай, раз уж такой герой.
> А фигли этот technical debt - their?
> Кто овнокод написал? Корпы? Нет!ну таки корпы. Вместо того чтобы написать себе нормальную библиотеку они втянули libxml2 чтобы быстро написать свой овнокод. Теперь все проблемы связанные с этим их решением — это их технический долг
> Ведь от его ошибок страдают не корпы, а обычные люди
обычные люди вообще не знают, что такое libxml2
> в том числи линуксойды
я все равно не напишу лучше, так что потерплю
> Если не может делать хорошо, то зачем вообще делает.
судя по популярности написать лучше не могу не только я
> Развелось тут любителей бракоделить просто "по фану".
развелось тут генераторов ценных указаний
> А фигли этот technical debt - their?
> Кто овнокод написал? Корпы? Нет!
> Этот technical debt его и предыдущих авторов libxml2.Так а зачем корпы тогда использовали библиотеку с таким техническим долгом? Почему бы не взяли и написали сами свою без долга?
Так, а что сложного прочитать, что заявлено?
Или зачем читать, когда можно себе что-нибудь придумать, и потом вопить, как потерпевший? Жертвой, же, себя выставлять так приятно, да? Все вокруг вас бегать, начинают, сопельки подтирают.
Фу, на таких крыс, не ценящиг труда людей.
> А фигли этот technical debt - their?Майнтейнер прямым текстом говорит: проект — хобби. Работает по чистой случайности, и ему пофиг как, он туда развлекаться ходит. Хотите нормально — это не здесь. Выходит, their. Жаль, конечно, что сразу в ридми это не написано. Смотришь — вроде профессиональный инструмент, все признаки налицо. А потом нате на лопате.
> Жаль, конечно, что сразу в ридми это не написано.Новость ачпето о том, что теперь - написано! ВНЕЗАПНА!(С) :)
В сложно устроенных компонентах невозможно написать код вообще без уязвимостей. Уязвимости нового типа находятся постоянно. Такое отношение - не лучший вариант :)
> either by switching to better solutions, developing their ownМинусы будут? Он же сам код открыл. Нафиг кому уперлось там ковряться, да еще и на ревью с ним дело иметь?
Да не то, чтобы обидка. ИМХО скорее напоминание, что задалбывать почтой "почему ещё не исправили чтототам" не стоит, потому что автор делает работу по фану и, если уж вы не шлёте патчи и не платите за работу, то идите в направлении зарослей хрена.
> задалбывать почтой "почему ещё не исправили чтототам" не стоитВ ответ просто отправляешь цену и всё, проблема решена. Нет, он начал истерить.
Ну и где ты здесь истерику увидел? Человек написал как устроена его работа один раз для всех, что б перед каждым не распинаться. И написал как раз в ответ на истерики людей с возмущениями когда пофиксят то да сё. Вот пусть теперь сами и спрашивают сразу сумму, а лучше сразу засылают и в письме начинают с того, что деньги перевели. Надо ж знать как в хату заходить.
> Ну и где ты здесь истерику увидел? Человек написал как устроена его
> работа один раз для всех, что б перед каждым не распинаться.Он написал, что код плохой и его не стоит использовать, а потом встал в позу и сказал, что не будет фиксить уязвимости в приоритете и вообще будет их сразу открывать. Если это не истерика, то показатель инфантилизма и волчий билет во взрослую разработку. Не можешь справляться с проектом, не нравится - это не повод портить пользователям жизнь.
откуда вы лезете? написал же человек что это просто хобби....
> написал же человек что это просто хобби....Почему он написал это только сейчас?
Почему он допустил, что многие проекты используют библиотеку?
Почему этой информации нет на главной проекта?
Вопрос в другом, почему сейчас это вдруг понимать перестали и ему пришлось писать очевидные вещи.
> Вопрос в другом, почему сейчас это вдруг понимать перестали и ему пришлось
> писать очевидные вещи.Еще раз спрашиваю: где об этом было написано? Где он предупреждал не используйте эту либу? Он начал верещать, только когла ему насыпали багов, а у него, видите ли, лапки.
а будь ты маинтейнером, ты бы аппрувил присланные патчи не глядя? так то присланный патч необходимо ревьювить, а вместе или вместо исправлений могут быть и закладки.
> Видать какая обидка у него, а не здравый смысл.Он видать коменты на опеннете начал читать и понял, что занимается неблагодарной работой, вот и решил повертеть всех на своем ...
> Я думал он скажет что пусть компании присылают патчи и пулл реквесты
> фиксящие уязвимости, но нет. Видать какая обидка у него, а не
> здравый смысл.С его нелоховским MIT половина жирнокорп ЭТО поюзала - потому что можно зажать сорц и ни с кем не делиться. И тут он такое - комиты гоните?! Это надо было GPL прописывать, сразу. А если уж менять правила игры - так сразу и шахмат с поэтессами потребовать. Ну или хотя-бы немного презренного металла, за которого их можно купить :)
> лишь попытка крупных компаний вызвать у сопровождающих чувство вины и заставить работать бесплатно.так просто бери с этих денежных мешков деньги!
просто смени лицензию на BSL или какую-то другую берущую деньги при комерческом использованиитебя же никто не осудит (кроме столманнутых фанатиков)
Сменить на GPLv3 и уже можно брать с Гуглей, Мелкософтов и прочих поствщиков проприетарных браузеров.
> Сменить на GPLv3 и... они просто сделают форк с предыдущего коммита.
Они не будут замарываться ЖПЛью.
Но последующие версии уже не смогут брать. По крайней мере, легально. Обнаруженные проблемы им придётся уже самим править.
> Они не будут замарываться ЖПЛью.Они не будут. Tы будешь. Замарываться за зарплату тем, чем прикажут. И ещё стoнать на Опеннете от удовольствия.
>> Они не будут замарываться ЖПЛью.
> Они не будут. Tы будешь.А вот это было обидно! Я gpl тоже замарываться не буду.
>> Они не будут. Tы будешь.
> А вот это было обидно! Я gpl тоже замарываться не буду.Значит будешь рабом корпоративным, целуя ботинки тех кто тебе EULA с драконовскими условиями в рожу тычет. А какие еще у тебя варианты, собственно, на этом глобусе есть?
1. Насючнут верещать толпы "свободных".
2. Зачем закрывать доступ адекватным?
3. А смешанные лицензии это доп нагрузка.Чел правильно сделал. Хобби должно приносить удовольствие, а не проблемы. Никто не запрещает вложить дельги в разработку, если требуется продукт надёжный (донат, форк, своя разработка,...).
> так просто бери с этих денежных мешков деньги!Психология бедности.
Вам чего-бы-ещё-продать-фанатикам в голову не приходило, что человек занимается этим по велению сердца, хочет, чтобы его труд приносил пользу людям, хочет оставить след в истории, и т.д. и т.п., а не ради никчемных бумажек.
Веления сердца преходящи. Сегодня интересно, завтра наскучило, да и бумажки-то, оказывается, очень кчемные. А тут опа — а твой труд уже приносит пользу людям, а они такие: «э-э, куда собрался! а ну-ка продолжай по велению сердца!».
Вот когда тебя НЕ родители будут кормить "по велению сердца, а не ради никчемных бумажек"(С) - приходи снова :) А пока ... иди уже...
> чтобы его труд приносил пользу людямЕсли бы это было так, то он бы
1) Написал нормальный код.
2) Не делал открытие уязвимостей.Он просто всем нагадил.
> хочет оставить след в истории
Ну он оставил след. неадеквата, который не хочет фиксить уязвимости и сразу их открывает, чтобы ломали всех пользователей.
> написана на языке небезопасно работающем с памятью,
> содержит множество уязвимостей
> не рекомендована для обработки не заслуживающих доверия данных.Наконец-то у кого-то нашлась смелость сказать правду!
> лишь попытка крупных компаний вызвать у сопровождающих
> чувство вины и заставить работать бесплатно.Так он и так работает бесплатно...
> По мнению Ника для проекта было бы лучше, если
> упомянутые компании прекратили использование libxml2.Ну да, а всякие дебианы пусть продолжаются пользоваться дырявым поделием... это ж попнесорс, а не мерзские корпы.
Но вообще ситуация показательная:
открытые либы на небезопасных языках ("memory-unsafe language", он сам так написал, никто за язык не тянул) не подходят для современного мира.
Их нужно заменять на что-то другое. Возможно корпы это смогут сделать, раз от "сообщества" ничего ждать не приходится.
когда по фану в игрульки играешь,ты работаешь геймером бесплатно, а когда мамкин суп кушаешь - дегустатором?
> когда по фану в игрульки играешь,ты работаешь геймером бесплатно, а когда мамкин
> суп кушаешь - дегустатором?Когда я в игрульки играю то пострадать могут максимум оппы сопартицев, если это какой-то онлайн. Или вообще только моя подгорит, если оффлайн.
А от бракоделия разрабов это либы могут пострадать сотни тысяч ни в чем неповинных пользователей дебиана и других дистров линукса! Причем они могут даже не догадываться о некомпетентности писак и продолжать думать что опенсорсу можно доверять.
Зачем вообще он это делает, если не может делать нормально??
Есть большая разница между тем, чтобы бесплатно для своего удовольствия делать то, что тебе нравится, и тем, чтобы быть чьей-то шестеркой.Ну и, внезапно, опенсорс он про то и есть, что берут, что есть, а не что-то пишут надёжное.
Нет, опенсорс про сообщетва. Ты что-то взял, ты что-то положил/чем-то помог.
Это жеж ок, что в Арче от этой либы зависят 1698 пакетиков?Там тебе и электроны, и аутофсы, и ффмпеги и чего только всеми широко любимого нет...
Вернее, действительно - проще сказать чего там нет!А вы, корпорасты. Эдак половину линуха можно будет положить.
Ничего вечного не бывает, таков мир, уязвимости на доску объявлений, шлите патчи, если либа вам нужна.
> Это жеж ок, что в Арче от этой либы зависят 1698 пакетиков?Конечно.
Все равно ни один человек не пострадает :)> Эдак половину линуха можно будет положить.
Если сообщество подхватит разработку, то все будет нормально.
Т.е. шансов почти нет))
Так взяли бы что-то другое, зачем они libxml2-то брали?
> Так взяли бы что-то другое, зачем они libxml2-то брали?Так такой же вопрос можно задать всем остальным открытым проектам, у которых она в зависимостях. Зачем ее взяли?
Автору просто больно что кто-то денежки зарабатывает, а он бесплатно корячится. Сам виноват.
Вот не исправит он для плохих корпов. Они свою запилят. А на опенсорс ему все равно, да?
А вот тут пора бы давно понять, что как хочет - так и делает. Не его проблемы :)
Хотите - берите другое. Хотите - пилите новое. Никто не обязан.
> Так взяли бы что-то другое, зачем они libxml2-то брали?А ты сам себе ответь на вопрос "а собственно - что?" А нету больше нихрена :(
Вот 100500 аудио плееров - это пожалуйста :) Да и то - почти перестали.
А что угодно. Нету? Ну на нету - и рыба раком, чего жаловаться-то тогда?
Беря сторонний проект - ты принимаешь правила игры этого проекта. Которые могут ещё и меняться в течение жизни проекта, и не обязаны быть адекватными.
Отметим ещё раз: не проект твои правила, а ты - правила проекта.
Там ещё один момент - вот то, что мы видим - и в этой ветке тоже - это типичная снежинковская истерика о правильном (по их мнению) поведении, которое они пытаются навязать. Кончится как обычно ничем - повоют и успокоются.
От неё зависит всё окружение GNOME.
Сопроводители Ubuntu нервно отмалчиваются
У каждого человека должно быть время на личную жизнь и укорять что он не раб очень гнусно, если кому-то что-то не нравится - выход вон там.
> укорять что он не раб очень гнусно, если кому-то что-то не нравится - выход вон там.Не нравится что-то именно ему, но вместо того, чтобы идти к выходу, он начал вредить проекту, раскрывая детали об уязвимостиях рашье времени.
Это его проект. Не нравится? Делай форк.
> Это его проект.Нет. Этот проект настолько не его, что — по меркам опенсорса — он гордиться должен, что ему доверили потрогать легенду. А он плюет в лицо всем. Интересно, как быстро его лишат прав коммитера.
> ... он гордиться долженРаботать на нас - большая честь!(С) Сага о немамонте :-))))))
Гордиться тем что бесплатно проработал, а те, кто зарабатывали на этом нехилые деньги ещё и права качают и грозятся отжать? "Легенды"!
Наивные чукотские девопсики столкнулись с суровой реальностью...
(они-то считали, что в их дивном новом маня-мирке все обязаны поклоняться и смотреть в рот тянущим очередной даунлоад из миллионов бесполезных даунлоудов ради поглядеть, за звёздочки на гитшляпе, а тут вон оно как обернулось)
> Гордиться тем что бесплатно проработал, а те, кто зарабатывали на этом нехилые
> деньги ещё и права качают и грозятся отжать? "Легенды"!Легендарный лошпед наслушавшийся о пользе пермиссивных лицензий для разработчиков и проектов :)
Сабжа никто не заставлял работать на бесплатный проект. Он сам туда напросился, очень хотел, лез без мыла и таки получил лычку майнтенера. Чужие заработки тут совершенно ортогональны, они уже были когда он пришёл. Если бы это так сильно значило что-то для него лично, то вон, DragonflyBSD полностью некоммерческий есть. Там никто ничего ни на чём не зарабатывает, чистое хобби. Но нет, хотелось ему именно в libxml. А теперь оказывается, что пана не попросили правильно сделать свою работу. Не так челобитную царю подали. Ты просишь, но просишь без уважения, ты даже не называешь меня крёстным отцом. И другая классика мирового кинематографа.
Так то оно так, но у кого-то может быть занятие, приносяцее доход, и тут зависит от конкретного человека и его занятий: я к тому, что есть люди кто горит своим делом и личная жизнь отходит на второй план, потому что "отношач" это что-то на низком, а надо заниматься высокими делами.
Конечно, но в моём понимании личная жизнь это сфера, где человек остаётся самим собой и не связан обязательствами (в рамках её времени), которые ограничивают его творческую или утончённую натуру.
Если человек разрывается пополам, то либо ему нужна помощь со стороны, либо нужно корректировать время занятости или долга. Не занимаясь собой не поможешь другим.
> Так то оно так, но у кого-то может быть занятие, приносяцее доход,
> и тут зависит от конкретного человека и его занятий: я к
> тому, что есть люди кто горит своим делом и личная жизнь
> отходит на второй план, потому что "отношач" это что-то на низком,
> а надо заниматься высокими делами.Я понимаю, есть такие люди, но это чревато выгоранием и апатией.
Баланс имеет всё же значение.
SwiftXML
мда.... посмотрел зависимости от этих пакетов и легка .... оторопел...
> Информация о сути уязвимости будет размещаться в публичном доступе сразу, не дожидаясь формирования патча и распространения исправленияАХАХА! Это прямо пробитие нового дна в халатной сишочной разработки: не только спустя рукава писать дырявый софт на недоязыке из 70х, но еще и намеренно выкладывать в публичный доступ сведения о дыренях в нем.
Жду мастер-класс по ментальной акробатике от местных экспертов, защищавших сишочку в предыдущей новости о сабже. Что это, друзья: "опа, закладочка" или "прагматичный подход"? 🤣
> переход к обработке уязвимостей как обычных ошибок даст возможность Нику сосредоточиться на основной работе над libxml2
То есть не фиксить вулны, а наваливать нового г*кода с новыми вулнами. 👍 И, конечно же, сразу же публиковать о них сведения, не дожидаясь фикса. 🤣
> скрытие сведений об уязвимостях до публикации обновлений и метрики типа OpenSSF Scorecard лишь попытка крупных компаний вызвать у сопровождающих чувство вины и заставить работать бесплатно.
Нет, друг - это лишь попытка уменьшить потенциальный урон от использования твоего дырявого сишочного кода. Но попытка тщетная, ведь ты у нас особенный и здравый смысл тебя не касается.
> По словам Ника, библиотека libxml2 не обладает уровнем качества, пригодным для использования в браузерах и операционных системах.
> По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2.А для чего тогда она пригодна, лол? И главный вопрос: накой ты ее до сих пор пишешь?
>накой ты ее до сих пор пишешьможет, умеет, практикует. Насколько хорошо не обязательно ему об этом заботиться.
А по-моему full disclosure - вещь здравая> Нет, друг - это лишь попытка уменьшить потенциальный урон от использования твоего дырявого сишочного кода.
Так а те, кто заиспользовали в своём крутом продукте дырявую либу с один разрабом - умные что ли? Их здравый смысл и соображения о собственной безопасности не касаются? Ах да, у них у всех тоже absolutely no warranty
> А для чего тогда она пригодна, лол? И главный вопрос: накой ты ее до сих пор пишешь?
Но тут согласен, да, звучит немного странно. Скорее как крик души человека, на которого взвалилось
> А по-моему full disclosure - вещь здраваяВ чем здравая? Чтобы пострадали пользователи, пока фиксы раскатываются на большие системы?
Эта практика появилась не просто так.> Скорее как крик души человека, на которого взвалилось
Ну да, взвалилось. Сам на себя взвалили, никто его не заставлял.
> В чем здравая? Чтобы пострадали пользователи, пока фиксы раскатываются на большие системы?Держит всех в тонусе. Заставляет именно что исправлять уязвимости, а не отбрехиваться, игнорить. Брюс Шнайер еще в 2007 году писал эссе об этом https://www.schneier.com/essays/archives/2007/01/schneier_fu... И он пишет, что responsible disclosure тоже хорош - но его хорошесть работает, только пока есть "угроза" full disclosure
В целом full disclosure показывает "реальный мир" софта, насколько он дыряв, и этим хороша
> что responsible disclosure тоже хорош - но его хорошесть работает,
> только пока есть "угроза" full disclosureНу так там всегда есть время - обычно 30, 60 или 90 дней - после которого наступает full disclosure не зависимо от того успели вы обновиться или нет.
> В целом full disclosure показывает "реальный мир" софта, насколько он дыряв, и
> этим хорошаНасколько дыряв современный софт хорошо показывает cve.org и всякие конкурсы по взлому.
Так очевидно из текста автора библиотеки, что он по жизни такой - обиженка, любит надувать щёчки и топать ножками, когда что-либо не по его хотелкам.
Если автор хочет творить и не исправлять выявленные уязвимости, кто же ему запрещал создать свой собственный проект, втянув в него чего ты хотелось из libxml2?
Нет же, ему хотелось как-то прославится, поднять имя на уже известном проекте, хотя по факту оказалось, что это выше его сил.
Сейчас же он, обгадившись, утверждает, что все вокруг виноваты, что ждут от него большего, чем он способен дать, и рекомендует отказаться от проекта, который существовал до его появления в нём. Также этот обиженка делает ничем не обоснованное утверждение, что библиотеку libxslt никто не будет сопровождать кроме него. И все это вместо того, чтобы стыдливо отойди в сторонку и посмотреть, какая реально востребованность у обеих библиотек и кто готов вложиться в их развитие. У меня почему-то предчувствие, что те же корпорасты не дождавшись очередного "Ника" будут вынуждены вложиться в развитие.
Ждём от тебя недырявого форка на расте. Напишешь - приходи :)
С подключением. На расте уже реализована куча парсеров https://crates.io/search?q=xml
Не "написано", а начали переписывать ...
И никто их так и не юзает... да и как?! Как там - уже 1% функциональности сабжа сделали или это пока только в планах?
И все версии 0.00000000001?
ну зочем так, наверняка полно версий 20.23.05 и тому подобных, с планами на тысячу лет. С нулем обновлений после этой или другой даты или с ценными комитами в Readme.md
Лол, ну вот опять си приплетают. Еще раз: проблема не в инструменте а в людях.
Какие еще есть варианты кроме libxml2? Где второй стул?
saxon, есть он же за деньги
Берёте любой взрослый язык, на нём будет своя реализация парсера. Хоть Ocaml, хоть Go, хоть Rust. Реализации на Rust можно слинковать с сишным кодом.
Трепло! :) Вот ты - не одной не написал, ни на каком Ёзыке :)
Да и понятно что и не напишешь :)
> Какие еще есть варианты кроме libxml2? Где второй стул?PugiXML, TinyXML. Заметно менее сыкотные монстры. Правда, в основном для си++, но как раз для них - вот - альтернатива вполне себе.
И по функциональности где нить процентов 30% ?Ну и ... все ж бы знаем что либу на плюсах - только из тех же плюсов и можно юзать, исключения есть - но они только подтверждают правило.
> И по функциональности где нить процентов 30% ?Ну так 95% программ как раз этого хватит. Вы же не хотите сказать что вы юзали - 100% того монстра? Может вы еще и XSLT понимаете? А то большая часть тех кто с XML имеет дело даже не в курсе что "ухты, а так можно было?" :)
> Ну и ... все ж бы знаем что либу на плюсах -
> только из тех же плюсов и можно юзать, исключения есть -
> но они только подтверждают правило.В конечном итоге спасение утопающих дело рук самих утопающих. Не хотите? Ну и кому хуже от этого будет? :)
> Отмечается, что скрытие сведений об уязвимостях до публикации обновлений и метрики типа OpenSSF Scorecard лишь попытка крупных компаний вызвать у сопровождающих чувство вины и заставить работать бесплатно.То есть, проклятые корпорации нашли вместо этого персонажа в его дырявом коде уязвимости, подробно их расписали и принесли ему на тарелочке - а он заявляет "вы не заставите меня работать за бесплатно!" и тут же вываливает о них сведения публично?
Это какой-то новый уровень неадекватности и некомпетентности в опенсорсе.
> По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2.
Та не, дружок, лучше бы ты перестал мучать опу, раз не вывозишь, и снял с себя полномочия, чтобы появился какой-то более адекватный и компетентный маинтайнер.
> То есть, проклятые корпорации нашли вместо этого персонажа в его дырявом коде уязвимости, подробно их расписали и принесли ему на тарелочке - а он заявляет "вы не заставите меня работать за бесплатно!" и тут же вываливает о них сведения публично?А я лично тут на стороне автора либы. Корпорации сами должны были головой думать, когда используют либу с одним мейнтейнером в своих проектах. А так ты используешь бесплатно чей-то труд, и еще пальцы гнешь, что плохо что-то забесплатно на тебя поработали. Ну так сделай сам, и сделай лучше!
> чтобы появился какой-то более адекватный и компетентный маинтайнер
Думаешь стоит очередь из желающих?
> А я лично тут на стороне автора либы. Корпорации сами должны были головой думать, когда используют либу с одним мейнтейнером в своих проектах. А так ты используешь бесплатно чей-то труд, и еще пальцы гнешь, что плохо что-то забесплатно на тебя поработали. Ну так сделай сам, и сделай лучше!А это не вы и вам подобные здесь всё время рассказываете: не используйте ничего от корпов. Это плохо, завязка на корпов это грех. А опенсорснутое и поддерживаемое корпами тоже нельзя использовать. Собирайте сами, вот из таких либхмл своё.
Мозги не рвёт от такого двоемыслия?
Ну я лично - нет, не рассказываю. Для меня лично любая зависимость - это потенциальный риск, поэтому всякий раз приходится думать, идти на него или нет. И дело тут не в корпах и не корпах даже.Заиспользовать поддерживаемую условным гуглом либу в активной разработке - да, вполне, принимаю риск. Заиспользовать leftpad от Васяна? Ни за что, напишу лучше этот код сам
> Для меня лично любая зависимость - это потенциальный рискИ каким дистрибудивом пользуемся? А то тут в arch-е и всяких там rpm-ах в этом смысле просто тихий ужас.
> Корпорации сами должны были головой думать, когда используют либу с одним мейнтейнером в своих проектах.О чем думать? Что он будет настолько неадекватным, что станет публиковать сведения об уязвимостях ДО того, как их пофиксят?
> А так ты используешь бесплатно чей-то труд, и еще пальцы гнешь, что плохо что-то забесплатно на тебя поработали.
Корпы как раз пальцы не гнули, а таки нашли ему уязвимости в проекте. За бесплатно. И казалось бы, обе стороны должны быть довольно, но вот именно маинтайнер начал гнуть пальцы "я не работаю за бесплатно, проклятые корпы!". Дичь да и только.
> Думаешь стоит очередь из желающих?
Думаю, что с таким маинтайрером хуже, чем без него. По крайней мере никто бы инфу о вулнах не публиковал преждевременно.
А при наличии этого неадеквата выхда есть только два:
* Ты сообщаешь ему о вулне: пользователи тут же подвергаются опасности, ведь инфа о вулне тут же публикуется еще до фиксов - прямо злодеям на болюдечке.
* Ты не сообщаешь ему о вулне: пользователи хоть какое-то время остануться в теоретической безопасности, ведь злодеи о вулне, возможно, пока еще не знают.
Теорема Эскобара прямо.
Ну вы головой хоть иногда думайте...
> О чем думать? Что он будет настолько неадекватным, что станет публиковать сведения об уязвимостях ДО того, как их пофиксят?Ну пусть так, но да, об этом тоже стоило подумать. Не согласны?
> Ты не сообщаешь ему о вулне: пользователи хоть какое-то время остануться в теоретической безопасности, ведь злодеи о вулне, возможно, пока еще не знают.
Full disclosure - благо, так хоть пользователи понимают, что рискуют. Security through obscurity, "злодеи наверное ещё не знают" - вот что настоящее зло и наивность
> Ну пусть так, но да, об этом тоже стоило подумать. Не согласны?Не согласен, потому что взрослые люди рассчитывают на какой-то минимальный уровень здравого смысла и адекватности. Это, по-моему, первый прецедент такой дичи - так с чего вообще кому-то было думать о таком сценарии?
Ведь по такой логике нужно было думать и о возможности намеренной вставки авторои вредоносного кода, типа как это не так давно было с бэкдором в xz/liblzma. И тогда окажется, что единственный выход - это вообще не использовать сторонний код, а писать все сугубо самому с нуля. Но это не реалистичный сценарий, к сожалению.
> Не согласен, потому что взрослые люди рассчитывают на какой-то минимальный уровень здравого смысла и адекватностиНу так тут и есть, всё правильно, full disclosure и шлите патчи, иначе в общем порядке.
> Это, по-моему, первый прецедент такой дичи - так с чего вообще кому-то было думать о таком сценарии?
А вообще говоря, уже после leftpad стоило бы подумать, да
> Ведь по такой логике нужно было думать и о возможности намеренной вставки авторои вредоносного кодаВсё верно! О ней нужно думать!
> Единственный выходИ вот тут как раз то, о чём я всегда пишу при любом упоминании всяких нпм-каргов.
Да, минимизировать сторонние зависимости - это одна из хороших стратегий. По причине как меньшей степени зависимости, так и некоторой джо-неуловимости.
> минимизировать сторонние зависимости - это одна из хороших стратегийЕсли у тебя денег куры не клюют и есть бесконечный запас времени — однозначно хорошая. Во всех остальных случаях бизнес выбирает некоторый риск, который позволяет заработать. Собственно, в этом вся суть бизнеса: рисковать за премиум, пока остальные ищут солому и где её подстелить
Ну тут да, правильно говорите, каждый проводит оценку рисков и сообразно с этим выбирает, использовать ли стороннюю библиотеку, форкнуть или писать самому
Высокорисковая зона хороша для однодневок. Взял чего попало, а через год уже новый бизнес.
> Высокорисковая зона хороша для однодневок. Взял чего попало, а через год уже новый бизнес.Она для высоких заработков хороша, а уж кто сколько протянет — зависит от усилий и рандома. Некоторые модели совершенно легального бизнеса вообще не предполагают никакой «долгой игры» в силу естественных причин. Но ты за зарплату работаешь, так что не забивай себе голову. Аванс и получка, получка и аванс.
Не угадал.
Но ты сильно не переживай - все эти "модели" не выживут в условиях нормальной экономики. Которая так или иначе настанет, даже на этой географии.
>И вот тут как раз то, о чём я всегда пишу при любом упоминании всяких нпм-каргов.
>Да, минимизировать сторонние зависимости - это одна из хороших стратегий.Любимая задача сишников - велосипедить. Правда велосипеды ещё более кривые чем такие вот пакеты, но кого это заботит? Лично смотрел парсеры пары человек здесь, и да они ужасны.
Любимая задача несишников - героически наплодить 100500999 зависимостей, а потом жаловаться, что аффтары такие редиски и то поддержку забросят, то правила поменяют, то код закроют. А потом не менее героически плакаться и искать этим зависимостям замену, попутно таская разные трояны с пакетов с совпадающими именами.
>И тогда окажется, что единственный выход - это вообще не использовать сторонний код, а писать все сугубо самому с нуля.Если вы пишите не на Idris/ATS и у вас недостаёт компетенций, то с первого раза у вас точно получится хуже, чем в готовой библитеке.
> "злодеи наверное ещё не знают" - вот что настоящее зло и наивностьДва злодея с меркантильными намерениями и два миллиона скриптикиддисов, которым надо назло маме и бабушке поджечь школу или хотя бы положить айти в госпитале. Разницу видишь?
>Ты не сообщаешь ему о вулне: пользователи хоть какое-то время остануться в теоретической безопасности, ведь злодеи о вулне, возможно, пока еще не знают.Злодей не обязан быть глупым, и о уязвимости может узнать самостоятельно.
>Ну вы головой хоть иногда думайте...Ну так важно постоянно продавливать эту тему: либо вы пишите на языке со сборщиком мусора, типа окамла или голанга, где не нужно думать об управлении памятью, либо вкалываете на условном расте(хотя расту и недостаёт зависимых типов), либо сидите на уязвимых языках. И переписывание уже существующего кода с си на другой язык - это благо, ведь позволяет иметь безопасные программы.
Есть ещё третий вариант: сообщаешь об уязвимости в комментарии к пуллреквесту с фиксом.
Но это ж работать надо, а не просто ныть.
> чтобы появился какой-то более адекватный и компетентный маинтайнер.От эпла или гугла.
И все начнут кричать что "корпы захватывают опенсорс".
> И все начнут кричать что "корпы захватывают опенсорс".Нет, не начнут: все ядро Linux пишется корпами и ничего - все кушают за обе щеки.
> Нет, не начнут: все ядро Linux пишется корпами и ничего - все
> кушают за обе щеки.А как это мешает им начинать?)) Или даже продолжать.
Во в соседних темах рассказывают, что линукс пишется энтузиастами, и корпы просто паразитируют на их труде. И что линукс стал популярным исключительно из-за "сообщества"))
>подробно их расписали и принесли ему на тарелочкеБез присланного патча не бывает "на тарелочке".
Мы, когда у нас джун вляпался в баг в опенсорс либе, заставили его наш локальный патч довести до ума, добавить в него тестов и отправить пул-реквестом в апстрим.
Апстрим попросил попровить пару кодостильных мелочей и после правки принял реквест.Что мешает Микрософту и Ко посадить чела на полставки править libxml2 и засылать туда патчи?
> Без присланного патча не бывает "на тарелочке".Ты фиксы видел? Там пару проверок нужно было добавить.
У разработчика либы намного больше контекста где и что нужно еще сделать в его кодовой базе.> Что мешает Микрософту и Ко посадить чела на полставки править libxml2 и засылать туда патчи?
Они просто ожидали что это люди будут хорошо делать свою работу.
Наивные дурачки))
>У разработчика либы намного больше контекста где и что нужно еще сделать в его кодовой базеУ тебя неосиляторский кукарек случился.
>Они просто ожидали что это люди будут хорошо делать свою работу
А денежек они за эту работу заплатили, чтобы начинать что-то "требовать"?
> У тебя неосиляторский кукарек случился.Неосиляторство случилось буквально у маинтайнера сабжа. А чел, на сообщение которого ты отвечаешь, маинтайнером сабжа не является.
> А денежек они за эту работу заплатили, чтобы начинать что-то "требовать"?
Где он говорил про "требовать"?
Когда человек берет на себя роль маинтайнера, то он тем самым подписывается на какой-то минимальный уровень ответственности, связанный с этой ролью. Ну, помимо визгов "я никому ничего не доложен". Но маинтайнер сабжа у нас особенный...
>Неосиляторство случилось буквально у маинтайнера сабжаУ него там ничего не случилось.
Ни от каких обязанностей по данной конкретной библиотеке он не отказывался.
А всего лишь сказал "буду разгребать репорты 'типа уязвимостей' в общем порядке с остальными ошибками".
От чего у secutity-публики как раз таки типовая истерика случилась.>А чел, на сообщение которого ты отвечаешь, маинтайнером сабжа не является
У "чела" аргументация неосиляторская.
>Когда человек берет на себя роль маинтайнера
Добровольного мейнтейнера.
На общественных началах.
Поэтому он волен сам выбирать что, когда и сколько он будет делать.
Кому не нравится - вольны тоже присоединится к мейнтейнингу и "делать его по своему", "чинить безопасность в первую очередь" и так далее.
>Они просто ожидали что это люди будут хорошо делать свою работу.Наивные дурачки))
Точно. Это надо быть полным идиотом, чтобы ожидать от человека, работающего по фану, такой же отдачи, как от человека, работающего за деньги. Стимулы просто несопоставимы.
> То есть, проклятые корпорации нашли вместо этого персонажа в его дырявом коде уязвимости, подробно их расписали и принесли ему на тарелочке - а он заявляет "вы не заставите меня работать за бесплатно!" и тут же вываливает о них сведения публично?Смысл очевидно в том, что
вот пусть "проклятые корпорации" или сразу патч присылают вместе со своими "подробно расписаными" инфосековскими отчетами, или молчат в тряпочку.
изи катка: поменял лицензию своей либы на проприетарную, денежные мешки форкнули либу и исправили все баги силами своих оплачиваемых штатных программистов, профит.
Прикол то в том, что либо не его. Он лишь вписался в неё, видимо с желанием как-то раскрутить свое имя. С таким же успехом может выйти. За лицензию такому олуху никто ничего не понесёт - сделают копию и продолжат пользовать и развивать её.
> сделают копию и продолжат пользовать и развивать её.ты прочитал моё сообщение дальше 4го слова? там именно это и написано.
кто такой изя катка?
Уязвимые истерички достали. Какие проблемы переписывайте на раст. Автор полностью прав.
Автор не прав. И к тому же обиженка и маменькин сынок, которому хочется, чтобы все было как хочется ему. Не можешь справиться с чужим проектом - уступи другому. Это не рабство, текущий разработчик может в любой момент отказаться от своего лидерства в этом проекте.
> Это не рабство,нашел уязвимость, поди сам и исправляй, на что автор и указал, в чем проблема? в дармоедах проблема!
Так вон, хслт предложил желающим, да что-то "лес рук". Все про "обиженка" яростно пишут, вместо кода. :D
Автор абсолютно прав, он имеет полное моральное и юридическое право отказаться работать за бесплатно и писать код только по удовольствию/хотелке.>Не можешь справиться с чужим проектом - уступи другому.
Не нравится - форкни и сделай лучше. Код открыт.
>Это не рабство, текущий разработчик может в любой момент отказаться от своего лидерства в этом проекте.
Вот именно, а также может в любой момент сказать, что теперь принимает патчи только на китайском языке.
> Уязвимые истерички достали. Какие проблемы переписывайте на раст. Автор полностью прав.При чем тут раст? Опять пытаетесь растосрач начать?
Автор расписался в своем неосиляторстве писать без дыреней.
А потом еще добавил что ему пофиг на пользователей, в том числе огромное кол-во пользователей опенсорса - посмотрите сколько пакетов в дебе зависят от этой либы.Если он не тянет - ну так сказал бы "я устал, я мухожук".
Ему бы начали подыскивать замену. А он вместо этого начинает быковать и ставить под удар пользователей линукса.
Уметь читать не надо. А если и надо, то понимать прочитанное не нужно, да.
> Если он не тянет - ну так сказал бы "я устал, я мухожук".себе скажи - "бросай пить, начни пилить" :)
Так очевидно из текста автора библиотеки, что он по жизни такой - обиженка, любит надувать щёчки и топать ножками, когда что-либо не по его хотелкам.
Если автор хочет творить и не исправлять выявленные уязвимости, кто же ему запрещал создать свой собственный проект, втянув в него чего ты хотелось из libxml2?
Нет же, ему хотелось как-то прославится, поднять имя на уже известном проекте, хотя по факту оказалось, что это выше его сил.
Сейчас же он, обгадившись, утверждает, что все вокруг виноваты, что ждут от него большего, чем он способен дать, и рекомендует отказаться от проекта, который существовал до его появления в нём. Также этот обиженка делает ничем не обоснованное утверждение, что библиотеку libxslt никто не будет сопровождать кроме него. И все это вместо того, чтобы стыдливо отойди в сторонку и посмотреть, какая реально востребованность у обеих библиотек и кто готов вложиться в их развитие. У меня почему-то предчувствие, что те же корпорасты не дождавшись очередного "Ника" будут вынуждены вложиться в развитие.
> И все это вместо того,самим пилить в падлу?
В readme в авторах либы перечислены шесть человек
Daniel Veillard
Bjorn Reese
William Brack
Igor Zlatkovic for the Windows port
Aleksey Sanin
Nick Wellnhofer
Наш Ник присоединился в 2016.
Но до него много кода уже было написано, например Veillardʼом который продолжает участие.
Всё правильно сделал. Корпорасты просто возьмут и на Rust перепишут с помощью ИИ, и назовут libxml3. И правильно. Сопровождающего уже достало бесплатно работать. Он и рад бы с себя скинуть - но либа самому нужна.
> Всё правильно сделал. Корпорасты просто возьмут и на Rust перепишут с помощьюначнут переписывать. Потом какой-нибудь мордокниг выложит даже в опенсорс - "только оно не компилируется и не работает". Как ни соберутся они что переписать - так вот оно и выходит.
так что нет, не дождемся. Возможно реализуют отдельными кусочками, наплевав на спецификации.
Или вернутся обратно к sqlite (привет горе-разработчикам мразилы передайте, кстати) - там афтор радостно исправляет баги для дорогих клиентов молча и в первую очередь. За оооочень хороший процентик, а вы как думали.В принципе, мы уже все это видели с форками openssl (точно такой же изначально проект для себя, чтоб у автора работал механизм, а не чтоб забесплатно героически беречь данные васянских кредитных карт)
Гном нужно расфоркать и развивать проекты дальше. Кеды вон не жалуются, без раста целую экосистему возвели.
А всё почему? А потому что лицензия не GPL или подобная...
> А всё почему? А потому что лицензия не GPL или подобная...С GPLv2/v3 ее вообще бы никто не пользовался. Потому что он заражает все подряд.
А если был бы LGPL - то вообще ничего бы не поменялось.
> С GPLv2/v3 ее вообще бы никто не пользовался.Пользовались бы, никуда б не делись. Самим то людей нанимать и писать - жаба душит.
> Потому что он заражает
> все подряд.Так о том и речь, что именно так и надо поступать. Хочешь пользоваться - пользуйся. Только будь добр свой код открыть. Не хочешь - значит не пользуйся.
> А если был бы LGPL - то вообще ничего бы не поменялось.
Не знаю, я с ней особо не разбирался.
> Пользовались бы, никуда б не делись. Самим то людей нанимать и писать - жаба душит.Ага, вот взяли и использовали раковый ГЦЦ, который хотел чтобы код который им скомпилировали, становился GPL...
А нет! Создали свободный Clang-LLVM который заменил GCC для многих проектов.Там 130к строк СИшного кода.
Думаю форки и альтернативы уже не за горами, просто о проблеме никто не знал.> Так о том и речь, что именно так и надо поступать. Хочешь пользоваться - пользуйся. Только будь добр свой код открыть. Не хочешь - значит не пользуйся.
Значит не будут пользоваться)
Напишут свободную альтернативу.> Не знаю, я с ней особо не разбирался.
Она позволяет линковаться без раскрытия кода.
> Ага, вот взяли и использовали раковый ГЦЦ, который хотел чтобы код который
> им скомпилировали, становился GPL...
> А нет! Создали свободный Clang-LLVM который заменил GCC для многих проектов.Этим самым Clang пользоваться... Ну такое себе - попробуйте как-нибудь. Я свой проект один под него адаптировал - было много мата. И, кстати, чем вас GPL не устраивает? Код не позволяет закрывать? Месье - проприераст? ;)
> Там 130к строк СИшного кода.
> Думаю форки и альтернативы уже не за горами, просто о проблеме никто
> не знал.Да ну)) Вот прям не знал)) Тут новости про эту библиотеку достаточно регулярно появляются. Халявщики просто, вот и всё. СVE штамповать - это мы можем. А как самим патчи присылать - не-не, у нас лапки, и вообще - это вы там ошибок навтыкали, теперь должны исправлять. А мы только комментировать будем.
> Значит не будут пользоваться)
> Напишут свободную альтернативу.Так это и хорошо. Напишут - мы будем пользоваться. За их счёт так сказать))
> Она позволяет линковаться без раскрытия кода.
Кстати - тоже неплохо. Линковаться - можешь, но код утаскивать к себе - нет. Если что-то не устраивает - присылай патчи или делай открытый форк. Всем опять же хорошо.
> Ну такое себе - попробуйте как-нибудь.Везде где можно - только им и пользуюсь.
> Я свой проект один под него адаптировал - было много мата.
Зачем вы его приколачивали к GCC?
> И, кстати, чем вас GPL не устраивает? Код не позволяет закрывать?
Тем что она требует открывать то, на что у нее никаких оснований нет. Ты взял одну строку gpl - а должен открыть остальные 100к своих строк. Не удивительно, что народ поумнел и ее популярность упала в несколько раз.
Вот MPL - другое дело.
Ты взял код и если ты его изменяешь - опубликуй изменения для всех.
А твой код - это твой код, делай с ним что хочешь.> Месье - проприераст? ;)
Проприетарность это базовое человеческое право на неприкосновенность собственности и владения имуществом. Неужели вы против прав человека?
> СVE штамповать - это мы можем.
СVE штамповали криворукие разрабы. А им эту дыру нашли и зарепортили.
А вместо благодарности они получили обвинения от бракодела...
>Тем что она требует открывать то, на что у нее никаких оснований нет.Почему-то юристы считают иначе. Возможно, потому что они, в отличии от опеннетных икспердов, знают, на что у кого реально есть основания, а на что нету.
>Ты взял одну строку gpl - а должен открыть остальные 100к своих строк.
На примере всяких прошивок роутеров, которые не отдают исходники ядра и гнутых утилит, мы обычно видим обратное: взяли сотни тысяч строк, а добавили одну.
> Почему-то юристы считают иначе. Возможно, потому что они, в отличии от опеннетных
> икспердов, знают, на что у кого реально есть основания, а на что нету.Юристы считают просто по факту - так написано в лицензии.
А справедливо или нет, это уже не юридические термины.
Поэтому лучше способ с этим бороться - не пользоваться ей и всем рассказывать про несправедливость GPL))> На примере всяких прошивок роутеров, которые не отдают исходники ядра и гнутых
> утилит, мы обычно видим обратное: взяли сотни тысяч строк, а добавили одну.Ну так судите их за нарушение лицензии.
>Юристы считают просто по факту - так написано в лицензии.Не "так написано в лицензии", а "так написано в юридически корректной лицензии". Ты не можешь обязать нарушать законодательство в лицензии, например. Она не будет иметь юридической силы.
>А справедливо или нет, это уже не юридические термины.
Да ну, правда что-ли?
>>Юридическая справедливость есть состояние соответствия нравственного и правового регулирования, выражающееся в качестве законности и легитимности правовых норм, отношений и актов реализации права.
Но это не имеет значения, на самом деле. Потому что термин "справедливость" вообще не упоминается в комментарии выше. Речь шла об основаниях. Ты подменяешь понятия.
>Ну так судите их за нарушение лицензии.
Конечно, именно из судебных разбирательств мы и знаем достоверно, что нарушение лицензии имело место быть.
> Везде где можно - только им и пользуюсь.Ну-ну))
> Зачем вы его приколачивали к GCC?
В том-то весь и фокус, что в проекте не было ни одной специфичной для какого-либо компилятора строчки кода. Всё строго по стандарту. Однако ж вот...
> Тем что она требует открывать то, на что у нее никаких оснований
> нет. Ты взял одну строку gpl - а должен открыть остальные
> 100к своих строк.А что не так?)) Взял - значит открывай.
> Не удивительно, что народ поумнел и ее популярность
> упала в несколько раз.Ну-ну))
> Вот MPL - другое дело.
> Ты взял код и если ты его изменяешь - опубликуй изменения для
> всех.
> А твой код - это твой код, делай с ним что хочешь.Так и с GPL ровно то же самое. С кодом вы можете делать всё, что угодно. GPL лишь запрещает код воровать у общества.
> Проприетарность это базовое человеческое право на неприкосновенность собственности и
> владения имуществом. Неужели вы против прав человека?Нет, я против воровства ;) Частной собственностью может считаться только то, что было получено исключительно собственным трудом. Но тут есть нюанс - ни один человек ничего не получает собственным трудом. Потому что его воспитывают, растят, учат. А потом он работает в системе разделения труда, где так или иначе пользуется результатами труда других людей - без этого он просто не выживет. Вот и получается, что собственность существует только общественная. А её присвоение - это кража. Общество может вам выделить те или иные ресурсы в ваше частное использование. Но эти ресурсы - не ваша собственность. И рамки их использования должны быть строго ограничены. Например запретом продажи чего-либо в частном порядке ;)
> СVE штамповали криворукие разрабы. А им эту дыру нашли и зарепортили.
> А вместо благодарности они получили обвинения от бракодела...Да вот как-то всё не так получается, если новость почитать))
Воспитывают, растят и учат родители, и платят за это кровно заработанными деньгами. Или в твоей коммунистической антиутопии никто не работает?
> Воспитывают, растят и учат родители, и платят за это кровно заработанными деньгами.И что? Родители что - не люди? А если люди, то написанное выше и их касается в той же мере, что и любого другого человека. Родители - такие же члены общества, как и все другие люди, а значит и детей растят не только они, а всё общество целиком (это я молчу ещё про детские садики, врачей, школы, вузы и всё такое прочее).
> Родители - такие же члены общества, как и все другие люди, а значит и детей растят не только они, а всё общество целикомТак родители растят или общество? Ты определись. Я своё совковое детство хорошо помню. За всё мама платила своими деньгами, а те, кого воспитывало общество, назывались сиротами, и их воспитатели получали зарплату. Бесплатно не было ничего и нигде.
> я молчу ещё про детские садики, врачей, школы, вузы и всё такое прочее
А ты не молчи, ты расскажи, как там везде работают исключительно альтруисты за бесплатно и как это ровно ничего никому не стоит. Просто манна небесная.
> Так родители растят или общество? Ты определись. Я своё совковое детство хорошо
> помню. За всё мама платила своими деньгами, а те, кого воспитывало
> общество, назывались сиротами, и их воспитатели получали зарплату. Бесплатно не было
> ничего и нигде.А при чём здесь платно/бесплатно?)) У вас мама же не бегала с собственноручно изготовленным копьём на перевес за дичью, чтобы вас прокормить? Нет? Она видимо всё же ходила в магазин покупать там то, что изготовили другие люди. Т.е. без других людей вам никак. А значит растило вас общество. Вы можете сколько угодно биться в истерике, но это факт.
> А ты не молчи, ты расскажи, как там везде работают исключительно альтруисты
> за бесплатно и как это ровно ничего никому не стоит. Просто
> манна небесная.Господа "бесплатно" или "на халяву" - это к вам. Коммунисты говорят: "Каждый получает по труду".
>Коммунисты говорят: "Каждый получает по труду".Нет. Они говорят:"От каждого - по способностям, каждому - по потребностям".
> Нет. Они говорят:"От каждого - по способностям, каждому - по потребностям".Это - следующий этап)) На мой взгляд он не наступит никогда (труд можно измерить объективно - в рабочем времени, а вот потребности - величина не измеряемая), но это - мой личный взгляд. Тут бы для начала к "каждый получает по труду" нормально перейти...
> Господа "бесплатно" или "на халяву" - это к вам. Коммунисты говорят: "Каждый получает по труду".Разве?
Мне казалось "тащи с завода каждый гвоздь, ты тут хозяин, а не гость!"
Ну и качество работы было соответствующим)
> Разве?
> Мне казалось "тащи с завода каждый гвоздь, ты тут хозяин, а не
> гость!"
> Ну и качество работы было соответствующим)Так это опять же по вашей части, господа ;) Это у вас общественно-экономическая система построена на присвоении чужого труда. Т.е. на воровстве. Иными словами, если человек делает, как говорите вы, то он уже не коммунист точно.
> Так это опять же по вашей части, господа ;) Это у вас общественно-экономическая система построена на присвоении чужого труда. Т.е. на воровстве.Угу, но меня в то время еще в проекте не было.
А так поступали самые лучшие в мире рабочие и самой лучшей коммунистической страны на земном шарике....
Наверное это был "неправильный коммунизм")> Иными словами, если человек делает, как говорите вы, то он уже не коммунист точно.
Ха, "ненастоящий шотландец"?
Вы еще скажите что настроящий коммунист не будет грабить-убивать и насиловать,
не отправит человека в гулаг за "лишнюю корову" и тд
> Угу, но меня в то время еще в проекте не было.
> А так поступали самые лучшие в мире рабочие и самой лучшей коммунистической
> страны на земном шарике....
> Наверное это был "неправильный коммунизм")Ну во-первых, существование СССР условно можно разделить на три периода. И это три разных СССР. Последний период (восьмидесятые) - там всё плохо было, ибо реставрация капитализма в полный рост. А капитализм - он вот такой. Во-вторых, коммунизма в СССР ни в один из периодов внезапно не было ;) В-третьих, если вас покусали либералы и/или фашисты (впрочем, разницы всё равно нет - и те, и другие за одно и то же по большому счёту), то неплохо бы сыворотку "Включи мозг" вколоть, пока процессы заражения не зашли слишком далеко. В-четвёртых, какая собственно разница, что там было в СССР? Этого государства уже больше 30 лет, как нет. А живёте вы здесь и сейчас. И вот прям сейчас вам наглядно показывают - что такое капитализм. Достаточно новостную ленту почитать. То тут война, то там бомбят, то здесь голод и бездомные в палатках. Рядом с полупустыми особняками, ага. Однако подлецы всё равно - коммунисты. Потому что собираются у "уважаемых людей" особняки поотбирать и создать там дома культуры. Фарфоровый унитаз вместо золотого - это ж ни в какие ворота не лезет. Что эта чернь себе позволяет?!
> Ха, "ненастоящий шотландец"?
> Вы еще скажите что настроящий коммунист не будет грабить-убивать и насиловать,
> не отправит человека в гулаг за "лишнюю корову" и тдИменно так и скажу. Ибо как только человек нечто подобное сделает, то под определение коммуниста он уже не попадает. А что там в партбилете у него написано, или что человек про себя говорит - значения не имеет. Судите по делам, а не по словам и бумажкам.
> Она видимо всё же ходила в магазин покупать […]. А значит растило вас общество.Вот это поворот! Ходила в магазин мама, а растило — общество. И всё это за бесплатно и поэтому должен, но в магазине брали рубли и копейки.
> Господа "бесплатно" или "на халяву" - это к вам. Коммунисты говорят: "Каждый получает по труду".
А реальность говорит: «каждый получает по результатам своего труда». Но коммунисты с реальностью никогда не дружили, это хорошо известный факт.
> Вот это поворот! Ходила в магазин мама, а растило — общество. И
> всё это за бесплатно и поэтому должен, но в магазине брали
> рубли и копейки.Она с копьём за дичью бегала? Или таки в магазин ходила, за товарами, изготовленными другими людьми? И да, представьте себе - за труд других людей нужно платить.
Как уже говорил, вас растило общество - это факт. А он автоматом тянет за собой всё остальное - необходимость адекватной оценки труда, общественная собственность, и т.д. Если же вам это не нравится - нет проблем. Раздевайтесь до гола и топайте в лес. Сами себе добывайте еду и воду, сами ищите убежище и т.д. И да - с другими людьми общаться вам нельзя, и пользоваться чем-либо из продуктов труда человечества - тоже. Даже мусором. Посмотрим, сколько вы так протянете.
> А реальность говорит: «каждый получает по результатам своего труда».
Не-а. Реальность сейчас говорит, что каждый получает столько, сколько сможет урвать. И ещё она говорит, что если так будет продолжаться, то вымрем. Просто и банально. В общем-то уже вымираем по большому счёту.
> В том-то весь и фокус, что в проекте не было ни одной специфичной для какого-либо компилятора строчки кода. Всё строго по стандарту. Однако ж вот...Какого стандарта?
Если речь про С или С++, то там прямо в стандарте написано "ну фиг его знает как сложить 2 числа, пусть будет UB, т.е на усмотрение "> А что не так?)) Взял - значит открывай.
"Принцип соразмерности" существует с глубокой древности.
А то можно дойти до "ты взял 3 колоска, теперь отдай всё".>> Не удивительно, что народ поумнел и ее популярность упала в несколько раз.
> Ну-ну))Можно ставить ))) но реальность от этого не изменится.
Статья за 2020 год opennet.ru/opennews/art.shtml?num=52211 :
"В 2012 году 59% всех открытых проектов поставлялись под копилефт лицензиями, такими как GPL, LGPL и AGPL, а доля пермиссивных лицензий, таких как MIT, Apache и BSD, составляла 41%.
В 2016 соотношение изменилось в пользу пермиссивных лицензий, которое отвоевали 55%.
К 2019 году разрыв увеличился и под пермиссивными лицензиями поставляет 67% проектов, а под копилефт - 33%"2023 год (к сожалению без С/C++)
The GNU General Public License (GPL), embodying the ethos of free software, enjoys a presence but falls behind MIT and Apache 2.0.
www.opennet.ru/opennews/art.shtml?num=60252Люди просто умнеют.
> Нет, я против воровства ;)
Ну... у вас свое ОСОБОЕ виденье, как и опредение воровства.
И кстати касательно кода, разве слово воровство вообще уместно? Он же нигде не убыл.
Таким определением только всякие "копирасты" пользуются.
Был о вас лучшего мнения.> Частной собственностью может считаться только то, что было получено исключительно собственным трудом. Но тут есть нюанс - ни один человек ничего не получает собственным трудом.
Я пошел в лес и набрал хвороста....
Но давайте не будем, я уже много спорил с вами, про ваши упоротые теории.
> "Принцип соразмерности" существует с глубокой древности.
> А то можно дойти до "ты взял 3 колоска, теперь отдай всё"Принцип наказания обьевшегося ухи тоже наличествует и прмер с одной чужой строкой кода на 100к своих это хорошо демонстрирует:
если при своих 100к утянул 1, то или труд оценивается не совсем в LOC и именно ту самую строку не осилил сам (странно, вадь 100к написал) или просто положил на лицензию и взял что хотел по быстрому.
в обеих случаях, если придется заплатить, это соразмерно.
Предыдущий мой ответ не понравился модератору, поэтому - заново))> Какого стандарта?
> Если речь про С или С++, то там прямо в стандарте написано
> "ну фиг его знает как сложить 2 числа, пусть будет UB,
> т.е на усмотрение "Не начинайте старую песню. Всё равно в итоге придём к тому, что это - бред. И почему - вам хорошо известно. А если нет - читайте как работают процессоры.
> "Принцип соразмерности" существует с глубокой древности.
> А то можно дойти до "ты взял 3 колоска, теперь отдай всё".Чего?)) При чём тут соразмерность? Если у вас программа не работает без той строчки кода из чужого проекта, то значит она у вас не работает без того проекта. Т.е. тот проект - неотъемлемая часть вашего. А значит - всё под GPL. Впрочем, это всё не важно. А важно то, что у вас нет ни одной причины закрывать код, кроме желания на нём нажиться. Нажива же - это кража у общества. И нет, не путайте со справедливой оплатой труда - она вам должна начисляться один раз соразмерно затраченному времени. Хотите, чтобы ваш труд нормально оплачивался, - воюйте не со мной, а с теми, кто навязывает вам общественно-экономические отношения при которых человек человеку волк.
>[оверквотинг удален]
> "В 2012 году 59% всех открытых проектов поставлялись под копилефт лицензиями, такими
> как GPL, LGPL и AGPL, а доля пермиссивных лицензий, таких как
> MIT, Apache и BSD, составляла 41%.
> В 2016 соотношение изменилось в пользу пермиссивных лицензий, которое отвоевали 55%.
> К 2019 году разрыв увеличился и под пермиссивными лицензиями поставляет 67% проектов,
> а под копилефт - 33%"
> 2023 год (к сожалению без С/C++)
> The GNU General Public License (GPL), embodying the ethos of free software,
> enjoys a presence but falls behind MIT and Apache 2.0.
> www.opennet.ru/opennews/art.shtml?num=60252"А судьи кто?" ;)
> Люди просто умнеют.
Спасибо, долго смеялся)))
> Ну... у вас свое ОСОБОЕ виденье, как и опредение воровства.
> И кстати касательно кода, разве слово воровство вообще уместно? Он же нигде
> не убыл.
> Таким определением только всякие "копирасты" пользуются.
> Был о вас лучшего мнения.Снова долго смеялся)))
> Я пошел в лес и набрал хвороста....
> Но давайте не будем, я уже много спорил с вами, про ваши
> упоротые теории.Вот и не начинайте снова. Поскольку аргументов против у вас всё равно нет.
А что он выиграл с того, что его библиотекой пользуются? НИЧЕГО! Абсолютно ничего. Ему за работу не платят, имя знают только гики. Он остался никем, ничего не заработал, зато НА НЕМ заработали отлично!
Не может быть такого, я думал что Google, Microsoft и прочие компании, ВСЁ САМИ ПИШУТ, ВЕСЬ ОПЕНСОРТ! Аноним (-) меня в этом убедил... мне что теперь анонимам не верить?
> ВСЁ САМИ ПИШУТ, ВЕСЬ ОПЕНСОРТВесь? Ни разу не слышал такое утверждение.
Достаточно ядра, андроида и хрома)
Кто-то же пишет васяноподелия для недоДЕ и прдольных поделок типа вимʼа
Неужели никто ещё не сослался на пророческий "Dependency"?
> Информация о сути уязвимости будет размещаться в публичном доступе сразу, не дожидаясь формирования патча и распространения исправления в дистрибутивах и операционных сиcтемах.Интересно, как быстро ему прилетит cease and desist с угрозами потащить в суд за преднамеренное вредительство. То, что ему не хочется работать над ошибками, а хочется развлекаться со своим хобби это понятно, к этому вообще никаких вопросов нет. Но проблема в том, что проект не его и никогда не был его проектом, так что в libxml2 скоро будет на одного майнтейнера меньше.
Вредительства нет, в лицензиях на софт написано no warranty. И вообще, full disclosure - благо. Создаёт лишние иллюзии, что плохиши глупые и сами уязвимость не найдут
Если бы всё было так просто. Но реальность всегда немного сложнее, чем написано в лицензии. Если дело дойдёт до суда — а для этого всего лишь нужно чтобы в результате преждевременного раскрытия кто-то получил материальный ущерб — то суд не будет смотреть в лицезию и отказ от ответственности. Суд будет устанавливать простую истину: понимал ли мейнтейнер возможные последствия своих действий, и если понимал, то чем мотивировался. Если понимал (и тем более не дай бог мотивировался суммами денег от третьих лиц), то будет должен или вовсе сядет, несмотря на «no warranty» и «as is». Вредительство, тем более намеренное, тем более широкому и не определенному кругу лиц — преступление, и никакая бумажка от этого не поможет.Что касается гарантии — той самой «no warranty» — она касается лишь того, что авторы не гарантируют работоспособность программы на вашей системе. И это прямой эффект локальных законов о защите потребителей. Если автор решит туда вкрячить зловред, никакая no warranty не поможет. Такие дела.
>Вредительство, тем более намеренное, тем более широкому и не определенному кругу лиц — преступление, и никакая бумажка от этого не поможет.Это мы сейчас про какую юрисдикцию говорим? Мне просто интересно, в каких странах существуют термин вредительство и уголовная ответственность за него.
Я не знаю как лучше перевести на русский слово «malice». Но знаю из опыта судебных тяжб, что в зависимости от результатов (лишился денег vs. лишился здоровья vs. лишился жизни) наказание будет от взыскания ущерба до отъезда за решётку. Термин из англо-саксонского права. По месту регистрации домена персонажа он может быть неприменим (хотя это Германия, руководство VW ща dieselgate таки село), но осудить можно заочно и принять в другом месте, что бывало не раз. Ну или Германия возьмёт да и выдаст. Почему бы и нет?
https://github.com/GNOME/libxml2/blob/master/Copyright
...
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FIT-
NESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN
THE SOFTWARE.
Это работает, доказано в судах и не раз. А уж как выяснится что использовалось бесплатно ... ;-)
Работает, если ты скажешь «я вашу либу поставил, а она у меня не работает, чините!» — тут AS IS и всё остальное применимо. Но в случае «я вашу либу поставил, а она мне всё удалила и вот тут есть код, который специально всё удаляет» — не спасёт. Ошибаться можно, намеренно вредить не можно.
Именно в лицензионное соглашение, заключенное между лицензиаром и лицензиатом, определяющее характер их отношений, суд и будет смотреть в первую очередь.
И он никаких "зловредов" вкорячивать туда не собирался. Какие-то отстраненные фантазии.
Как понял, он просто перестанет принимать "секретные" сообщения на специальный ящик, будет принимать всё в общем порядке. И исправлять без лишней суеты: в порядке очереди или по желанию.
*Такие* дела.
>И он никаких "зловредов" вкорячивать туда не собирался. Какие-то отстраненные фантазии.Он бы хотел чтобы за вредительство сажали здесь, но не сажают, поэтому ему кажется что сажают там.
В вашем «здесь» я ничего не хочу уже очень и очень давно. А в моём «здесь» за malice сажают.
Вот в твоём "здесь" дойди до лойера и спроси у него, что значит malice. Он тебе объяснит, что это намерение причинить ущерб. Доказать это намерение в отношение Ника невозможно: он свою мотивацию описал, в ней нет никакого намерения причинить вред, только отказ альтруистично причинять добро.Более того, он всех открыто предупредил о том, что он будет делать с репортами о дырах. Так что, если кто и будет виноват, то тот кто этот репорт заслал Нику, не приложив усилий к тому, чтобы сначала залатать дыру или хотя бы предупредить заинтересованных лиц, которые могут пострадать от преждевременного раскрытия бага.
Мне лоер и объяснял, когда мой бывший работник начал гадить моему бизнесу после того как я его уволил. В результате я понёс финансовые убытки, которые бедолага возмещает по решению суда. Суд большую часть наших аргументов отмёл, включая slander, и — теперь уже когда эмоции улеглись — могу сказать что вполне справедливо, мой адвокат не доработал, а его адвокат не прошляпил. Но нам всё же удалось доказать злонамеренность действий персонажа и решение было принято в нашу пользу.> он всех открыто предупредил о том, что он будет делать с репортами о дырах
Он мог и открыто предупредить, что будет есть детей, но это всё равно не делает определённые действия легальными или приемлимыми в обществе. Ассиметрия возможностей (Ник майнтейнер с возможностями коммита, в отличие от репортера) не в пользу Ника. Правильным действием, если ему не хочется возиться, было бы отказать принять (acknowledge) репорт и _не_ разглашать его содержимое. В проекте заняты другие люди, и можно обратиться через них. Разглашение в данном случае при наличии ущерба будет достаточным основанием для судебного иска. Без прямого ущерба в результате разглашения (что непросто будет доказать) Ник всего лишь выставит себя в нелицеприятном свете, но драмы не будет.
Никакая лицензия не поможет в случае прямого (а в некоторых случаях и косвенного) ущерба от твоих действий. Даже если в ней будет написано, что ты себе оставляешь право вредить и наносить ущерб.
Так пусть берут и пишут свою библиотеку, нанимают для этого отдел программистов на C, ой а это слишком дорого? Оказывается программистам в штате надо платить деньги в отличие от opensource.
Если он их не заставлял использовать свою либу (и это нужно доказать) или не вводил в заблуждение рекламой - ответственность за ущерб будет на том, кто принял решение использовать либу, если не был сделан due diligence. Если был сделан - значит (с точкт зрения суда) были предприняты все необходимые меры по предотвращению потенциального ущерба, то что их не хватило - значит не судьба - дерьмо случается.
Лол, какие же фантазеры здесь, это даже первокурсник юридического колледжа раскидаетНу ка, вопрос на засыпку: что связывает майнтейнера либы и контору, которая эту либу вкорячила? Договор/гарантии/какая-то хоть минимально юридически значимая бумажка об ответственности? Нет? Значит досвидания.
Ты взял бесплатно и без бумажек старую доску (а владелец доски просто кивнул головой и сказал "бери, но она плохая"), построил на ней дом и дом рухнул по причине этой доски (несколько 200, куча 300 и много материального ущерба). Кто же пойдет на сгуху?
Ну раз ты такой дока в юридических вопросах, встречный вопрос на засыпку: почему т.н. доксинг является (на практике) наказуемым деянием? В обоих случаях мы говорим о разглашении сведений, которые:1. известны или могут быть известны непоределённому кругу третьих лиц в ходе обычной жизни в обществе, т.е. не являются коммерческим, государственным или иным секретом
2. могут быть получены из открытых источников без применения спецсредств, закрытых или регулируемых технологий
Так же:
3. имеется достаточно большой круг лиц, которые имеют легальное право требовать раскрытия всех или части этих данных для осуществления услуг или продажи товаров
4. не существует закона, прямо запрещающего их распространение
> Ты взял бесплатно и без бумажек старую доску (а владелец доски просто кивнул головой и сказал "бери, но она плохая"), построил на ней дом и дом рухнул по причине этой доски (несколько 200, куча 300 и много материального ущерба). Кто же пойдет на сгуху?
Ну это просто, на сгуху пойдёт твой котёнок с дверцей.
> проект не его и никогда не был его проектомЕсть Yota, которая в девичестве была SkyLink. Потом Yota продалась мегафону, который связь не улучшает, не забывая менять тарифы в сторону удорожания. Директор мегафона ответил за это?
Йопта продалась в основном потому, что сделала ставку на мёртвую технологию (wimax).
>В описание проекта libxml2 добавлено примечание, указывающее на то, что библиотека написана энтузиастами, сопровождается одним добровольцем, плохо протестирована, написана на языке небезопасно работающем с памятью, содержит множество уязвимостей и не рекомендована для обработки не заслуживающих доверия данных.
>Предполагается, что переход к обработке уязвимостей как обычных ошибок даст возможность Нику сосредоточиться на основной работе над libxml2, не прерываясь на внеплановые задачи.Типичный сишник. Вот интересно, какая может быть основаня работа, если библиотка забагована? Почему у людей нет даже желания делать хорошо?
>По словам Ника, библиотека libxml2 не обладает уровнем качества, пригодным для использования в браузерах и операционных системах. Тем не менее, крупные компании, такие как Apple, Google и Microsoft, стали использовать libxml2 в своих операционных системах и продуктах. Подобные действия названы безответственными, а проводимая работа - попытками избавиться от симптомов, а не устранить причину проблем.
Народ, вам уже прямым текстом сами сишники советуют не использовать их сишный код, а вы до сих пор не готовы признаться в важности продвинутой типизации. И сборщика мусора как огня боитесь, не смотря на то, что он значительно облегчает разработку.
> Народ, вам уже прямым текстом сами сишники советуют не использовать их сишный код, а вы до сих пор не готовы признаться в важности продвинутой типизации. И сборщика мусора как огня боитесь, не смотря на то, что он значительно облегчает разработку.Смешно, что как мне тут поведал с цитатами, сами авторы Си рассчитывали, что это язык для мелких программ, а для чего покрупнее нужно или сборщик мусора, или собирать из блоков маленьких. Но вышло как вышло :)
>вышло как вышлоСобственно, недостатки Си в плане надёжности заметили сразу же (Си начал широко распространятся с 1974-го года), поэтому сразу начали придумывать языки, исправляющие недостатки: в 1977-м - Modula-2, в 1978-м - PL/M, в 1983-м - Ada, C++, Turbo Pascal.
Надёжные системные языки уже давно придуманы, надо просто пользоваться ими.
> в 1983-м - AdaВ каком году ракета Ariane 5 из-за программной ошибки взорвалась?
> C++
> Надёжные системные языкиСколько строк в стандрате? Есть формально верифицированный компилятор?
> Turbo Pascal.
> надо просто пользоваться ими.Это не смешно, дядя.
> Modula-2, PL/M, Ada, C++, Turbo Pascal.Плюсы отнести к надёжным ... ну такое ;)
А главное - и ГДЕ сейчас _весь_ этот списочек?!?!? (Ну кроме плюсов?)
В глуууууубоко в (_|_) ... Хотя казалось-бы ...
:-)
> Собственно, недостатки Си в плане надёжности заметили сразу же (Си начал широко распространятся с 1974-го года), поэтому сразу начали придумывать языки, исправляющие недостатки: в 1977-м - Modula-2, в 1978-м - PL/M, в 1983-м - Ada, C++, Turbo Pascal.
> Надёжные системные языки уже давно придуманы, надо просто пользоваться ими.Каша какая-то
А ниче что Modula-2 это вообще-то производная Pascal? А Turbo Pascal это IDE и диалект языка (пусть даже очень и очень продвинутый)?
> сами авторы Си рассчитывали, что это язык для мелких программ, а для чего покрупнее нужно или сборщик мусора, или собирать из блоков маленьких.Авторы СИ еще жаловались, что комитет сделал такой стандарт, на котором не возможно нормально писать.
Так что "стало только хуже"))
Не совсем так, т.к. авторы переписали на нём ядро - так-то не маленькую программу. Поэтому я хз что там с цитатами, но не всё так буквально. Но в целом, очевидно, что если не требуется какая-то особая производительность и это юзерспейс, то проще взять tcl, perl, lua и т.п., который в нужных местах будет дополнен функциями на Си. Tcl в этом плане хорош - легко расширяется с помощью Си.
> Не совсем так, т.к. авторы переписали на нём ядро - так-то не маленькую программуКак бы ты оценил размер и сложность это «не маленькой» программы? В абсолютных величинах и в сравнении с каким-нибудь широко известным современным проектом. И сколько по-твоему ушло времени на портирование? Оцени временной интервал, который информировал авторов в принятии решений.
Соберись, пожалуйста, и вырази свою мысль понятным языком. Ты сказать-то чего хотел?
> Типичный сишник.Да. Создал код которым вся планета пользуется.
А не "начал переписывать" чтобы "когда-то, в светлом будущем"(С) ...Как то тагЪ :-P
> А не "начал переписывать" чтобы "когда-то, в светлом будущем"(С) ...Вообще оригинальный план был именно такой: сделать чтобы работало хоть что-то и потом уже переписать всё как следует. Но всё пошло не так.
А ведь всего-навсего надо было использовать лицензию GPL (или даже AGPK) вместо «свободной» MIT, и Apple, Google и Microsoft обходили бы её стороной. Но лицензию поменять и сейчас не поздно.
*AGPL
Правильно! Библиотека дырявая, использовать в надёжных проектах нельзя. Поэтому и лицензию надо подстать, чтобы не возникало соблазна в годные проекты тащить
GPL забирают корпорации себе:
Google забрала ядро Linux, с явными нарушениями GPL лицензии. Они не только закрыли часть кода ядра, но и добавили столько интеграций, что открытая часть исходников ядра стала не пригодна для изменений. А изменение есть база GPL, ценностью является возможность изменить исходный код.
А фонд FSF претензии предъявил Google, но никакого результата, их проигнорировали.
Оказывается, правовая система не способна даже прочитать текст лицензии верно, без ошибок.
> Google забрала ядро Linux, с явными нарушениями GPL лицензииГже купить или скачать бесплатно Google Linux с их изменениями в бинарном виде? Что там внутри используется и как линцезия не регулирует. Она только про отношения производитель/пользователь. Пока ты не продаёшь ГПЛьный код, лицензия не при делах.
Сама идея GPL дискредитирована появлением Android.>с их изменениями в бинарном виде?
Прошивки для смартфонов с Android.
Ядро Linux не только смешано с бинарными модулями, но и изрядно «обфусцировано» добавлением кода, который препятствует собрать чистое лицензионно ядро.>не продаёшь ГПЛьный код
>лицензия не при делахGPL не об этом.
> Сама идея GPL дискредитирована появлением Android.Это почему же? По-моему всё ровно наоброт: Android — квинтэссенция GPL. У каждого есть возможность взять готовый продукт и адаптировать его для своей платформы.
>с их изменениями в бинарном виде?
> Прошивки для смартфонов с Android.
> Ядро Linux не только смешано с бинарными модулями, но и изрядно «обфусцировано» добавлением кода, который препятствует собрать чистое лицензионно ядро.Ядро Linux, естествено, позволяет связывание с бинарными модулями по весьма прозрачной и подробно описанной схеме, иначе никакой бизнес не стал бы с ним связываться. Если ты нашёл, что там что-то «обфусцировано» — беги скорее в FSF, у них есть специальные адвокаты для борьбы с таким грубейшим нарушением лицензии, и уж кого-кого, а Alphabet они с удовольствием прижмут к стенке, весь от A до Z.
пусть переходят на expat (бггг)!!
> пусть переходят на expat (бггг)!!вот тут, кстати, как-то туманно.. есть тесты, где expat быстрее.. есть также трэды, где с радостными воплями expat меняют на lxml2.. скорее по обстоятельствам, вкусовщина, фломастеры и всё такое-прочее..
кстати.. в expat недавно тоже эпично латали рекурсии.. Siemens и ещё кто-то, емнип..
>> По словам Ника, библиотека libxml2 не обладает уровнем качества, пригодным для использования в браузерах и операционных системах. Тем не менее, крупные компании, такие как Apple, Google и Microsoft, стали использовать libxml2 в своих операционных системах и продуктах. Подобные действия названы безответственными, а проводимая работа - попытками избавиться от симптомов, а не устранить причину проблем. По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2.Бесплатно и уксус сладкий. Ждём такого как было у явасцэнаристов с их is-promise (Ставшая причиной этого библиотека is-promise состоит из всего лишь двух строк исходного кода, выполняющих базовую проверку с булевым результатом (да-нет). Несмотря на крайнюю простоту, is-promise является одним из самых популярных на сегодняшний день npm-пакетов (библиотек) JavaScript. Согласно GitHub, эта библиотека входит в более чем 3,4 млн проектов и используется в качестве зависимости 766 другими библиотеками JavaScript.
), пакетиками colors и faker от Marak Squires и напомните как звали того парня который тоже явасцэнарист, автор мегавостербованной библиотеки и который отсидел в колонии за наезд на пяную женщину?
> В описание проекта libxml2 добавлено примечание, указывающее на то, что библиотека написана энтузиастами, сопровождается одним добровольцем, плохо протестирована, написана на языке небезопасно работающем с памятью, содержит множество уязвимостей и не рекомендована для обработки не заслуживающих доверия данных.Вот это порвался. Хотя бы правду выдал.
> Предполагается, что переход к обработке уязвимостей как обычных ошибок даст возможность Нику сосредоточиться на основной работе над libxml2, не прерываясь на внеплановые задачи. В текущем виде Нику приходится тратить несколько часов в неделю на обработку сообщений об уязвимостях и подготовку патчей, что создаёт достаточно большую нагрузку с учётом того, что сопровождение осуществляется на голом энтузиазме.
Бедненький, код нормальный написать не смог, теперь жалуется.
> За закрытыми дверями уязвимости больше устраняться не будут и все имеющиеся сведения о проблемах с безопасностью сразу будут публиковаться в открытом доступе, независимо от требований по неразглашению до заданной даты и без откладывания раскрытия информации до релиза.
Астрологи объявили неделю уязвимостей.
ps По-моему челик поставил на себя клеймо не вполне адекватного человека, либы которого стоит избегать. Если ему хочется пилить либу с свое удовольствие, то пусть пилит, а раз баги репортят, значит есть к либе интерес.
Что ему стоило сделать? Не беситься и капризничать, а объявить о нехватке рабочих рук или сборе средств. Думаю крупные конторы готовы бы выделить ему несколько сотен баксов.
На месте Ника я бы поднял Bounty Program завел туда эту программу и пригласил всех кто использует данную библиотек. Ника шантажируют OpenSFF, а он выставляет цену за решение проблемы. Все скинулись и Ник довольный сидит и пишет код понимая, что по сути нанят не одной компанией, а несколькими. Энтузиасты получают свой код и все довольны.
Да он просто чудик> По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2.
Зачем он вообще что-то делает? По его же словам либа плохо сделана, а они негодяи такие пользуются. Еще и баг репорты заводят. Вот жеж злыдни. Не будет ничего исправлять в приоритете! И точка!
То есть он напортачил на целую CVE, поставил под угрозу пользователей и бизнес, а когда его носом ткнули, он еще и фыркает!? Да это обиженка какая-то!Пусть катиться с репы тогда.
Дык он бы с радостью!, как только ТЫ подхватишь дрогнувшее знамя! :-)А пока знамя реет только потому что ОН его держит - GTFO ононемузЪ! ВотЪ такЪ!(С) :)
> Пусть катиться с репы тогда.
> Ник также снял с себя полномочия сопровождающего библиотеку libxslt и высказал сомнения в том, что найдётся кто-то готовый взять на себя её поддержку.Бери пользователей и бизнес, в свои лапки!
расписался в собственном непрофессионализме и безответственности
Если пишешь код just for fun, держи его на localhost'е. Если выкладываешь в открытый доступ, да ещё в виде библиотеки, будь готов его поддерживать.
> Если пишешь код just for fun, держи его на localhost'е. Если выкладываешь
> в открытый доступ, да ещё в виде библиотеки, будь готов его поддерживать.Так в том-то и дело что он его не писал. opennet.ru/openforum/vsluhforumID3/137144.html#81
Либа писалась с 1999 года. А он пришел в 2016м дописывать и ВНЕЗАПНО поддерживать.А тут оказывается что поддерживать в тягость, а нехорошие корпы зарабатыват бабло, плак-плак. Ну так не поддерживай, "тебя вообще кто-то заставлял?"
А почему Гном не помогает поддерживать?
Мда, с каждым годом опенсорс все больше теряет лицо. Этож надо такое ляпнуть - уязвимости теперь у него "просто баги".
А ничего что это как бы критические "баги" и нормальный человек должен фиксить их в первую очередь?
Пофиг на корпов, это вообще не важно - начал свой проект, так и веди его до конца, а не хочешь - найди того кто хочет.
Повидал я таких, кто вместо работы на диване валяется(в рабочее время), у меня к таким только негативное отношение - это очень ненадежные персонажи. Такие все бюджеты "прогуляют" и в закат уйдут с невинной миной.
> даст возможность Нику сосредоточиться на основной работе над libxml2, не прерываясь на внеплановые задачиЧто там можно ещё делать в этой "основной работе"? Всё никак не могут допарсить разметку которая за это время настолько устарела, что была полностью в новых разработках вытеснена жсоном?
Ну покажи мастер класс! Походу миру нужен доделанный парсер XML!
С твоей то квалификацией - на недели 3 работы ... озолотишься точно!
Возьмёшся?:)
Чукча-писатель не прочитал основной посыл, что там не на чем озолачиваться, это уже устаревшая технология, а где используется, там и текущих парсеров хватает.
Из вечного:Однажды инженер Чжа Вынь сообщил:
– Я нашёл уязвимость в программе «Лин». Что вы об этом думаете, Учитель?
– Надо сообщить Производителю.
Через некоторое время Чжа Вынь снова пришёл к почтенному защитнику Иню.
– Я написал об уязвимости Производителю. Мне ответили, что закроют уязвимость только в следующей версии. Она выйдет через полгода.
Инь Фу Во помрачнел:
– Напиши им, что мы опубликуем эту уязвимость ровно через две недели.
Через три дня вышел патч к программе «Лин».
– А если бы они не выпустили патч? – спросил Сисадмин Учителя. – Вы бы позволили Чжа Выню опубликовать найденную уязвимость?
Инь Фу Во мягко улыбнулся и сказал:
– Нет. Дао информационной безопасности тем и прекрасен, что по нему нельзя идти в одиночку. Как только ты опередил других, другие ускоряют шаг. Как только ты оторвался от других, ты покинул Дао.
1. Вопрос автором библиотеки поставлен правильно. Хотите приоритетного обслуживания - давайте либо дополнительные руки, либо деньги.
2. Я думаю, что по факту он публиковать информацию об уязвимостях до патча не будет. Если сам не поймёт, коллеги подскажут. Или юристы, если будут жертвы.
3. Кризис левых идей опенсорса уже давно происходит. Энтузиастов становится меньше, ибо (глобально) времена не благоволят энтузиазму.
4. Нужно формировать и утверждать новые принципы и процессы опенсорс-проектов для новых сложившихся условий, когда идут большие перекосы:
- крупные опенсорс-проекты так или иначе становятся собственностью крупных корпораций, которые потом решают, что из компонентов в "своём" софте поддерживать (как история с Xorg);
- от энтузиастов требуют какого-то комплайенса по срочным задачам (как в случае с libxml2, у меня даже есть такая история: NDA с Mozilla и иногда срочные задачи по локализации... не требуют, но очень просят через личку, и иногда перестал некоторые вещи делать срочно);
5. Если опенсорс в новых условиях не придумает, как дальше более справедливо (в изначальных опенсорсных терминах про работу сообщества: ты что-то взял, ты чем-то помог взамен, хотя бы добрым словом или помощью в поддержке пользователей), он будет потихоньку загибаться. Надеюсь, что сообщество придумает, а не только будет искать виноватых.
1. Чел не первый разработчик. Он пришел уже в готовый проект в 2016 году.
Его никто не заставлял брать на себя ответственность. И тем более ломать устоявшийся подход.2. Посмотрим. Судя по всему у него здорово подгорело, так что может назло и публиковать.
Юристы скорее всего не помогут, тк AS IS. Тут маскимум давить морально или незаконными методами (подкараулить и начистить чубучку или под дверь нагадить).3. Т.е почти с самого начала)?
Усльтра левые идеи (коммунизм) показал свою нежизнеспособность, все страны которые не внесли капиталистические элементы просто померли или находятся на уровне дна.
Манифест ГНУ, как и лицензия, направлены на защиту потребителей, а не создателей.
Пограммисту предлагают или просить пожертвования или создавать "союзы пользователей и платить взносы" (как можно догадаться они будут в первую очередь удовлетворять хотелки платящих).> времена не благоволят энтузиазму
Просто люди не хотят делать халявную работу для неблагодарного сообщества.
В общем-то тема про это самое)4. Кто будет это формировать?
Сообщество™ которое хочет только потреблять?
Люди который ужаляют из кода KDE баннер с просьбой помочь деньгами?5. Нет. Не загнется. Опенсорсом он так же останется.
Просто сообществом станут те, кто вкладывает ресурсы - т.е корпы.ps просто опенсорсу нужна "социальная реклама" типа "поддержи разработчика деньгами или кодом - получай открытый проект хорошего качества"
но это идет в разрез с постулатами организаций типа OSI/FSF
Почти со всем из написанного согласен, даже с P.S.
Не согласен при этом, что социальная реклама не работает.
Например, разработка Thunderbird идёт иначе, чем Firefox.
И там основное внимание уделяется социальной рекламе.
На сайте цитаты разработчиков Thunderbird.
Они начали с недавних пор вести видеоблог, куда приглашают разработчиков из своего сообщества.
Они рассказывают, на что идут деньги (Thunderbird для Android и даже для iOS).
И они достаточно прилично собирают денег.Другие сообщества могут поступать так же :)
> Не согласен при этом, что социальная реклама не работает.А я не говорил, что она не работает.
Просто много где - ее просто нет.А в некоторых случаях, сообщество на нее реагирует неадекватно.
Предположу, что из-за старых установок "опенсорс (линукс|либрофис|гимп), это как проприетарь (винда|микрософт-офис|фотошоп), но бесплатно"> Например, разработка Thunderbird идёт иначе, чем Firefox.
> И там основное внимание уделяется социальной рекламе.Лиса, мне кажется, тоже пыталась в блоге объяснить, что разработка требует денег и поэтому вот вводим всякие ВПНы и прочие сервисы. Получилось, ИМХО, не очень удачно.
Плюс всякие деривативы типа паленки бездоказательно кричат про слежку, записывая в нее даже телеметрию или отправку крашрепортов> Они начали с недавних пор вести видеоблог, куда приглашают разработчиков из своего сообщества.
> Они рассказывают, на что идут деньги (Thunderbird для Android и даже для iOS).Да, это один из примеров хорошего подхода.
Открытость и прозрачность.> Другие сообщества могут поступать так же :)
Но они почему-то так не делают.
Например на сайте FSF найти "куда тратятся донаты" весьма непросто, а после нахождения все равно не понятно.В общем привить людям идею "за все нужно платить, особенно за свободу" будет очень-очень не просто.
> В общем привить людям идею "за все нужно платить, особенно за свободу"
> будет очень-очень не просто.Я бы уточнил, не почему _нужно_ платить за свободу, а почему _стоит_ это делать. Свобода - это всё же не про нарратив, а про то, что свобода идёт всегда рука об руку с ответственностью :)
>Я думаю, что по факту он публиковать информацию об уязвимостях до патча не будет.Конечно не будет. Просто у тебя будет 2 выбора: 1) Самому написать публичный багрепорт, 2) ничего не писать. Бгг