SZ
Size: a a a
2021 December 06
с
при этом есть гугловский прокси, в котором они все-таки сохраняются, если тянуть зависимости через него
RB
главное медленно
SA
можно athens использовать, который я выше упоминал. и достаточно поставить ровно одну переменную окружения
с
ну это тоже прокси же
с
просто свой, а не гугловый
с
так в Go в качестве имени модули используется домен+путь
RB
а кто их в актуальном состоянии поддерживать будет?
с
можно настроить реплейс, но это kinda костыль
с
проще использовать предназначенные для этого прокси
KK
Безопасники, кто-же ещё
RB
не, от них один вред
KK
Но ведь они изначально проверили все 100500 зависимостей на наличие в них бекдоров и уязвимостей. Вот пускай и новые версии проверяют сами.
KK
Знаем мы как это делается - натравливают на исходники какое-то платное или не очень решение, которое само ищет уязвимости и строит красивый отчёт.
А ты потом прыгаешь на одной ножке и доказываешь, что тулза "тупая" и у тебя это не уязвимость, а так и задумано по ТЗ.
А ты потом прыгаешь на одной ножке и доказываешь, что тулза "тупая" и у тебя это не уязвимость, а так и задумано по ТЗ.
RB
это сложна. а вендоринг в тулинг встроен и просто работает
RB
кстати выглядит, как будто в расте то же самое присутствует
https://doc.rust-lang.org/cargo/commands/cargo-vendor.html
https://doc.rust-lang.org/cargo/commands/cargo-vendor.html
KK
Да, есть такое. Но вроде как в официальных доках этот путь не пропагандируют.