AS
https://www.opennet.ru/opennews/art.shtml?num=54566 не было еще?
Size: a a a
2021 February 10
in
https://www.opennet.ru/opennews/art.shtml?num=54566 не было еще?
очень элегантно
AS
мне тоже понравилось
in
первый залетевший дятел разрушит всё к чёртовой бабушке
AS
ну в конце даны рекомендации как таких дятлов не пускать
SA
А если бы пинились не просто версии, а чексуммы? Кажется, даже примитивные локфайлы позволяют такое на подлёте рубить. В питоне такое есть года 2-3 точно
AS
ну в ярне чексуммы есть в локфайле
SA
В npm тоже
AS
а в питоне оно откуда есть- чем?
in
ну в конце даны рекомендации как таких дятлов не пускать
хых. можно подумать что
1. раньше таких рекомендаций не давали
2. все возьмут и пофиксят
1. раньше таких рекомендаций не давали
2. все возьмут и пофиксят
RB
а в питоне оно откуда есть- чем?
Даже в requirements.txt можно с хэшами
AS
хых. можно подумать что
1. раньше таких рекомендаций не давали
2. все возьмут и пофиксят
1. раньше таких рекомендаций не давали
2. все возьмут и пофиксят
ССЗБ, дальше не вижу смысла обсуждать это.
AS
Даже в requirements.txt можно с хэшами
ни разу такого не видел(но и не знал)
AS
с buildout к примеру можно не собирать свой пакет(если момнореп), а вот сказать возьми все отсюда)
SA
а в питоне оно откуда есть- чем?
pipenv, poetry, pip-tools такое делают из коробки. А так да, sha256-чексуммы есть уже несколько лет
AS
ну в общем @rbolkhovitin @nineseconds - спасибо- буду знать)
SA
Но да, эта практика все ещё немного экзотична. У нас, скажем, она не используется. Но у нас абсолютно все тянется со внутренних зеркал, а сам продукт поставляется в виде аплаенса
KK
А если бы пинились не просто версии, а чексуммы? Кажется, даже примитивные локфайлы позволяют такое на подлёте рубить. В питоне такое есть года 2-3 точно
Это не поможет когда разработчик решит обновить версии зависимостей и удалит lock-файл.
KK
Правда он быстро заметит подвох, когда тесты поломаются. Но это примерно как заметить через 5 минут, что тебе нож в спину воткнули.