https://www.opennet.ru/opennews/art.shtml?num=56152

Вышла новая версия #Nuitka. Мне она пока больше кажется хайпом - решает ту же задачу, что и cython, делает это пока хуже, и местами очень странно(чего стоит тот факт, что ее выхлоп - не просто .c файл, а какая-та хрень, требующая SCons для сборки).

———
LLVM Weekly:

https://reviews.llvm.org/D112816 - "rename option -name-whitelist to -name-allowlist Needs ReviewPublic", да скока можно-то.

https://simonbyrne.github.io/notes/fastmath/ - "friends don't let friends use fast-math"

———
https://www.opennet.ru/opennews/art.shtml?num=56167 #npm

"Компания GitHub раскрыла информацию о двух инцидентах в инфраструктуре репозитория пакетов NPM. 2 ноября сторонние исследователи безопасности (Kajetan Grzybowski и Maciej Piechota) в рамках программы Bug Bounty сообщили о наличии в репозитории NPM уязвимости, позволяющей опубликовать новую версию любого пакета, используя для этого свою учётную запись, не авторизированную для выполнения подобных обновлений."

Я вот все собираюсь написать, почему PyPI(и NPM заодно) - это зло с точки зрения безопасности и воспроизводимости сборки. Если совсем коротко - потому что это лишний шаг на этапе между source control tool и конечным tgz с артефактом, на котором злоумышленник может непрозрачно поменять код. По той же причине я не советую использовать ссылки на релизы в github(их готовят люди), а использовать ссылки на теги(их готовит сам github):

https://github.com/PhilipHazel/pcre2/releases/download/pcre2-10.39/pcre2-10.39.tar.gz vs https://github.com/PhilipHazel/pcre2/archive/refs/tags/pcre2-10.39.tar.gz (сравните эти 2 файла, они разные)

https://www.forbes.ru/tekhnologii/446495-seks-loz-i-gejming-cto-skryval-glava-activision-blizzard-i-sohranit-li-on-kompaniu

Я уже писал про Близзард, по сути мне добавить нечего.

"Например, в июле 2018 года бывшая сотрудница Sledgehammer Games — студии, принадлежащей Activision Blizzard, — сообщила об изнасиловании в отдел кадров и вышестоящему руководству, но никакой реакции не последовало."

У меня только один вопрос - почему не в полицию? У вас там уже настолько киберпанк, что корпорации - это и суд, и полиция?

———
2 ссылки про управление пакетами в npm. Спойлер - это леденящий душу п:%дец.

https://dustycloud.org/blog/javascript-packaging-dystopia/
https://drewdevault.com/2021/11/16/Cash-for-leftpad.html #npm

"I’ll pay you cold hard cash to delete your npm module. The exact amount will be determined on this equation, which is designed to offer higher payouts for modules with more downloads and fewer lines of code. A condition of this is that you must delete it without notice, so that everyone who depends on it wakes up to a broken build."

https://habr.com/ru/post/599767/
https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/
https://twitter.com/marak/status/1479200803948830724?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1479200803948830724%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/

Меня это все, конечно, бесит. #npm #money

* С одной стороны, в OSS денег и славы нет(ну, примерно как в большом спорте). Я вот в OSS ищу 20 котрибуторов в пакетную базу и 1 - 2 в core graph engine, так сказать. В лучшем случае. Чего там эти странные люди обижаются, я не понимаю. Их код, вообще говоря, используют ТОЛЬКО потому, что он бесплатный. Если бы они его выложили не на github/npm, а там в маркет приложений, его бы никто и не заметил.

"These messages included the text 'LIBERTY LIBERTY LIBERTY' followed by a sequence of non-ASCII characters:"

Ага, а чо не так-то с liberty? Кто ему "швабодки" не досыпал-то?

Чувак явно хотел написать "MONEY MONEY MONEY", но постеснялся:

"Take this as an opportunity to send me a six figure yearly contract or fork the project and have someone else work on it."

Ну да, это в какой валюте? Если в имперских деньгах, то он не понимает, что такое код, и что такое деньги.

* "NPM has reverted to a previous version of the faker.js package and Github has suspended my access to all public and private projects. I have 100s of projects." С другой, вот факт, что github и npm самовольно откатили его код, это леденящий душу пиздец. Не устану напоминать, что провайдер услуг не может и не должен заниматься такой хуйней. Впрочем, может, их EULA содержит какие-то пункты, которые это разрешают, а я просто о них не знаю. Any comments?

* С третьей - конечно, индустрии это пойдет на пользу. Менеджменту давно пора понять, что бесконтрольный npm/pip install(да и вообще, любые бесконтрольные зависимости) - это потенциальное зло, а не только сотни мегабайт прекрасного кода в ваш проект. Ну и сумасшедших, которые зависят по trunk от стороннего проекта без тестов, станет поменьше.

———
https://habr.com/ru/company/dcmiran/news/t/599733/

А расскажите мне, почему в данном случае не работает рыночное решение? Типа, сложно произвести столько карт, чтобы насытить рынок, и непонятно, что потом делать с новыми производственными мощностями, когда этот пузырь лопнет? Или просто там задержка в несколько лет, от машин для литографии до конечного потребителя?

———
https://www.tiobe.com/tiobe-index/

Про Python на первом месте я уже писал, брызгая желчью.

Про Rust - конечно, очень плохо, что Cobol обогнал Rust, но зато очень хорошо, что Rust обошел Prolog!

#vendor

Забыл тогда написать про еще одну важную причину заниматься де-вендорингом.

Завендоренный код, чаще всего, собирается просто не так, так мне(или другому мейнтейнеру) нужно.

Происходит это в силу того, что просто очень сложно прокинуть весь ворох необходимых настроек от корня до проектов второго и ниже уровней. Поэтому они будут собираться "как-то", а именно, как позвал cmake/meson/etc оунер проекта первого уровня.

Ну, вот, например, если оунер проекта предполагает динамические связывание, то он и cmake для завендоренного проекта позовет с настройками для динамического связывания.

Переопределить это поведение на самом верхнем уровне или очень сложно, или совсем невозможно.

Если сделать де-вендоринг, то каждый проект будет собираться в том окружении, которое предполагает мейнтейнер, и всякие такие штуки(например, в моем случае - тип связывания) довольно легко переопределить.

Примеры таких свойств, помимо типа связывания - оконная система(X11/Wayland/both), аудио стек, и так далее.

В той же телеге пришлось патчить значительный объем сборочных файлов, чтобы X11 был не нужен даже для сборки(напомню, у меня wayland only), ну и pipewire было не очень просто выкорчевать.

———
https://www.opennet.ru/opennews/art.shtml?num=57165

Как бы я ее не любил, Fedora - это локомотив развития десктопного Linux, поэтому решения, принятые в рамках ее развития, важны.

* fedora окончательно переходит на wayland, даже с дровами от nvidia. Это хорошо, свистопляски вокруг X11 vs. Wayland порядком надоели. Wayland, конечно, не сахар, но X11 это же вообще тихий ужас.

* #fontconfig писал как-то про выбор дефолтного шрифта для mix(выбор, фактически, у меня был между noto и ibm flex). Fedora переходит на Noto с Dejavu, и это прямо очень, очень хорошо.

* "В исполняемые файлы и библиотеки в формате ELF добавлена информация о том, к какому rpm-пакету принадлежит данный файл" Интересно, как скоро они придут к модели macos, где, по умолчанию, неподписанный external код запускать вообще нельзя.

*Судя по списку пакетов, некоторые из которых literally вышли неделю назад, fedora - это прямо bleeding edge, КМК, они даже перестают притворяться, что туда попадает хоть как-то оттестированный код.

———
https://blog.rust-lang.org/2022/05/10/malicious-crate-rustdecimal.html #vendor #npm

В crates.io попал вредонос.

crates ничем не лучше в этом отношении, чем pypi или npm, или любой другой per language repo, ничего удивительного в этом нет.

Чтобы там не было вредоносов, нужно, чтобы у оунеров этих проектов был соответствующий KPI, и, очевидно, его у них нет. Ответственности они за это перед пользователями не несут.

Это все всем давно известно, и никому не интересно.

Я предлагаю подумать вот про какую мысль - мейнтейнеры дистрибутивов, это, ко всему прочему, еще и фильтры вот такого вот говна.

Я для каждого пакета, который кладу в дистрибутив, ищу его дубликаты, нахожу обязательно "оригинал". КМК, мимо меня вот такой вредонос не прошел бы.

И вторая мысль - дистрибутив гораздо легче сменить, чем язык, и чем его экосистему, поэтому мейнтейнеры дистрибутивов гораздо более заинтересованы в поддержании своего реноме, чем условный crates.io.

Нашел на просторах интернета красивое.

https://github.com/jasperla/openbsd-wip/issues/86

О судьбе форка firefox Pale Moon в OpenBSD.

TL;DR - коллеги, с точки зрения оунеров Pale Moon, криво портировали браузер, и поэтому не имеют права на официальную символику Pale Moon.

В комментарии пришел, натурально, БОЕВОЙ ДАЛЕК, и сказал, что все должны obey его rules, и obey его license. Exterminate!

Реально, я совсем не утрирую:

"You must comply with the directive or you must disable official branding for your builds."

Тред фееричный, прочитайте обязательно.

———
https://lists.busybox.net/pipermail/busybox/2010-December/074114.html

Забавный текст про историю /bin, /sbin/, /usr/bin, /usr/sbin, /opt, /usr/local в unix.

В #mix есть только /bin, которая symlink на /mix/realm/system/bin, и /usr -> /. Потому что очень много скриптов полагается на наличие /usr/bin/env, и менять это дорого.

Кстати, в этом месте у меня довольно серьезное отличие от nix и guix, если я все верно понял.

nix, guix стараются прописать конкретные пути к выполняемым бинарям(это верно? поправьте, если я неверно понял), а я объединяю наборы пакетов в realm, и замыкаю их PATH на bin/ в этом realm. Получается, можно собрать разные realm, в которых один и тот же пакет взаимодействует с другим внешним окружением.

Cамое простое, можно набор скриптов запустить с coreutils, а можно с busybox. Или с разными версиями интерпретатора python.

Мне кажется, так более composable.

———
Короткое дополнение ко вчерашней теме, #vendor, #npm

То, как устроены per language repo, не помогает мейнтейнерам решать задачу по фильтрации всякого вредного говна.

Схема с мейнтейнерами работает, когда мейнтейнеров мало, они trusted, и дорожат своей репутацией. Если мейнтейнеров много, то они точно так же untrusted, как и оунеры кода, и увеличение числа причастных к процессу людей только увеличивает вероятность факапа.

Если мейнтейнеров мало, то они не могут делать аудит кода, когда каждый проект зависит от своего, уникального, набора версий. Слишком большой объем работы на одного человека.

Нужен какой-то компромисс, чтобы те же crates.io/npm/pypi составляли рекомендуемый набор версий, чтобы его можно было относительно легко аудировать внешними силами.

https://medium.com/@mproberts/a-discussion-about-the-breaking-of-the-internet-3d4d2a83aa4d #npm

Я, например, тогда не следил за всей этой историей, и переписку автора модуля, который "сломал интернет", с оунерами на trademark, не читал.

А правда, что trademark дает такие серьезные права на это слово? То есть, я не могу на github завести репозиторий с названием yandex/google/whatever? А может, например, владелец trademark запретить употреблять это слово вообще, или в каком-то контексте?

#vendoring #vendor #npm

https://www.opennet.ru/opennews/art.shtml?num=57596

В копилочку темы про пользу дистрибутивов и их мейнтейнеров.

https://www.opennet.ru/opennews/art.shtml?num=57614

КМК, мое решение проблемы в supply chain по ссылке проще - надо просто исключить кожаный мешок из подготовки релиза, пусть tgz готовит система контроля версий.

#npm не нужен