i
Для твоего кода - да. Для кода в инете - гарантий нет. Были кейсы с архивацией, переименованием или удалением реп.
Для кода в инете тоже есть
Size: a a a
2020 July 02
GG
В случае с докером вообще на самом деле часто кроме ОС ничего не надо, то есть надо только условный buster:slim такой-то версии
nope
HC
В случае с докером вообще на самом деле часто кроме ОС ничего не надо, то есть надо только условный buster:slim такой-то версии
раньше ещё был трабл с кодировочкой, вместо логов кракозябры, но щас норм
SC
можно просто сделать генератор докерфайлов с sha из темплейта, но гораздо проще свои образы иметь
HC
nope
why not?
i
там явно указывается в локах, версия такая-то, тег такой-то, sha коммита такой-то
GG
У меня всрато эмэль - там 100500 пакетов надо ещё поставить. Но я готов на то, что если сборка рабочая - мы ее метим и успокаиваемся
i
То есть если и перетегать - sha коммита не совпадет
GG
можно просто сделать генератор докерфайлов с sha из темплейта, но гораздо проще свои образы иметь
+
GG
У меня всрато эмэль - там 100500 пакетов надо ещё поставить. Но я готов на то, что если сборка рабочая - мы ее метим и успокаиваемся
Я просто чокнусь, например, фиксить версию какого-нибудь jinja. Т.е. - приёмка по факту прохождения всех тестов. Но вот потом спустя три месяца "собрать бинарно то же самое" - не всегда возможно, к сожалению
SC
в случае с пакетными менеджерами - фиксация по sha не спасает от поехавшего разраба сторонней либы, удалившей его из репозиториев с исходниками или от удаления версии с малварью какой-нибудь
SC
(тут правда в основном проблемы nodejs)
GG
Идеальный сценарий был бы:
1. Собрали
2. Прогнали тесты, поняли, что этот набор версий рабочий
3. Записали версии компонентов в BOM
4. Скриптом запинили эти версии в каком-то docker-packages.json
5. Собрали прод образ уже с запиненными версиями, убедились, что все Оке и положили в артифактори
1. Собрали
2. Прогнали тесты, поняли, что этот набор версий рабочий
3. Записали версии компонентов в BOM
4. Скриптом запинили эти версии в каком-то docker-packages.json
5. Собрали прод образ уже с запиненными версиями, убедились, что все Оке и положили в артифактори
i
Собственно не поленился за примером сходить
"name": "aws/aws-sdk-php",
"version": "3.134.5",
"source": {
"type": "git",
"url": "https://github.com/aws/aws-sdk-php.git",
"reference": "f5a2d82660e73ed613643a5e7ad833d2569d5fdf"
},
GG
Собственно не поленился за примером сходить
"name": "aws/aws-sdk-php",
"version": "3.134.5",
"source": {
"type": "git",
"url": "https://github.com/aws/aws-sdk-php.git",
"reference": "f5a2d82660e73ed613643a5e7ad833d2569d5fdf"
},
Что ты этим хочешь сказать )
i
>Для кода в инете - гарантий нет
Я к тому, что нельзя по тому же коммиту скачать не то
Я к тому, что нельзя по тому же коммиту скачать не то
i
И получить другую сборку
i
Можно только не получить, если коммита нет
GG
>Для кода в инете - гарантий нет
Я к тому, что нельзя по тому же коммиту скачать не то
Я к тому, что нельзя по тому же коммиту скачать не то
Вообще-то можно )