https://www.rbc.ru/politics/21/07/2025/687e59379a79472f381211a0

Держим за него кулачки!

#prog #rust #cpp #meme

(thanks @dev_meme)

https://www.opennet.ru/opennews/art.shtml?num=63613

"Компания Google представила проект OSS Rebuild, предназначенный для выявления скрытых изменений в готовых пакетах, публикуемых в репозиториях. Работа OSS Rebuild основана на концепции воспроизводимых сборок и сводится к проверке соответствия размещённого в репозитории пакета с пакетом полученным на основе пересборки из эталонного исходного кода, соответствующего заявленной версии пакета. Код инструментария написан на языке Go и распространяется под лицензией Apache 2.0"

Много раз говорил, и не устану повторять, что все #хорошее в Open Source делают проклятые капиталисты!

Новые supply chain атаки (известные) случаются чуть ли не раз в неделю, я даже перестал про них писать. Никто ничего системно не сделал, а Google сделал, спасибо им за это.

https://medium.com/@eyal.itkin/the-a-file-is-a-relic-why-static-archives-were-a-bad-idea-all-along-8cd1cf6310c5

"The .a File is a Relic: Why Static Archives Were a Bad Idea All Along"

TL;DR - вполне разумная критика того, как устроены .a файлы, а не статической линковки per se, как могло бы показаться. Автору статическая линковка нравится, и он сетует на то, как устроен тулинг вокруг:

* Известная проблема про то, что линкер, когда линкует .a файл, имеет больше возможностей выкинуть неиспользуемый код. Часто от этого ломается логика библиотек, связанная с вызовом глобальных конструкторов, e.g. "инициализация логгера".

* БОльшая вероятность пересечения по символам из разных .a файлов, потому что в .a архивах нет понятия "symbol visibility". Я писал про это 100500 раз, когда находил такие пересечения, в целом, это неприятно, но решаемо, с помощью llvm-objcopy и переименования символов.

В итоге, утверждается, что нам нужен новый формат библиотек для статической линковки, некий "Static Bundle Object", .sbo, без указания того, как он устроен.

Тут я готов поспорить с автором текста, потому что новый формат не нужен.

Семантика "как у .so" достигается слиянием всех .o файлов в один ("prelink", "fat object", он же ld -r), и изготовлением .a файла из этого единственного большого .o файла. Тогда, если из этого .o файла используются символы, то он будет взят линкером целиком, и ничего не потеряется, а если не используются - то линкер выкинет этот код, как неиспользуемый (основное отличие предложенной схемы от -Wl,—whole-archive).

А symbol visibility решается case by case, переименованием символов. И это, кстати, удобнее, чем иметь несколько скрытых символов с одинаковым именем, с точки зрения отладки. Потому что когда тебе дебуггер ставит 10 breakpoint на "parse_list", это такое себе развлечение.

https://t.iss.one/ru2chvg/44905

Ну такое, конечно.

Вечер в хату!

Мне тут коллеги подогнали скриншот записи моего блога в ЖЖ, ей чуть меньше, чем 20 лет.

Эксперимент тогда пришлось прекратить, потому что измеримого профита не случилось.

Такие дела.

https://www.opennet.ru/opennews/art.shtml?num=63628

"Администраторы репозитория Python-пакетов PyPI (Python Package Index) сняли блокировку, после того как выяснилось, что 1500 проектов были созданы не злоумышленниками, а командой, занимающейся обеспечением безопасности в компании VK, которой принадлежит домен inbox.ru. Целью была заявлена деятельность по предотвращению потенциальных атак на внешние библиотеки, используемые в VK. Представители VK извинились и заверили, что больше не будут подобным образом регистрировать проекты для выявления и предотвращения атак"

https://www.agner.org/forum/viewtopic.php?t=287&start=10

TL;DR - разбор Zen 5 на микроархитектурном уровне, от Agner Fog (https://t.iss.one/itpgchannel/1737)

Удивительно, насколько детально он умеет понимать микроархитектуру CPU только по внешним, косвенным, признакам.

https://www.theregister.com/2025/03/04/free_software_foundation_agplv3/

Случился очень смешной казус с AGPL3, а я раньше и не заметил.

TL;DR - лицензия AGPL3 разрешает убирать дополнительные ограничения на распространение кода, если их кто-то (например, автор) добавит. Вот, есть такая либа, Neo4j, автор которой взял, да и добавил дополнительные ограничения в одной из новых версий. А какой-то сторонний чувак взял да и убрал это ограничение, в своем форке, и стал его раздавать без этого ограничения.

Автор кода перевозбудился, и подал в суд на автора форка, и суд встал на его сторону.

В этот момент перевозбудились #FSF, потому что это ставит под сомнение их четкость (ну и защищабельность их лицензии в суде), и вмешались в дело.

Продолжения этой истории я не нашел, наверное, оно work in progress.

https://www.opennet.ru/opennews/art.shtml?num=63627

"Суть Maintenance Fee в ведении ежемесячного платежа для пользователей и компаний, которые получают коммерческую выгоду и прямо или косвенно зарабатывают на использовании открытого проекта. Стимулирование оплаты производится через добавление сопровождающим пользовательского соглашения (EULA), регламентирующего доступ к инфраструктуре, бинарным сборкам и готовым пакетам. Для перечисления платы предлагается использовать систему GitHub Sponsorship"

Много раз писал, что в open source денег #money нет, и не будет. По крайней мере, в виде завуалированной "продажи кода за деньги".

Инициатива эта, как и все предыдущие попытки, обречена на провал.