Názory k článku Založte si vlastní repositář pro Ubuntu
-
anonymníJak ktere a jeste je otazka jak moc prasecky. Treba debootstrap pro etch lze nacpat do woodyho a jde jim strapnout Lenny, nebo to aspon nedavno slo. Nekdy si jeden musi vypomoct upgradem nekterych knihoven, coz nekdy konci nepouzitelnosti a nutnosti aktualizace dalsich kousku, ktere vyzaduji aktualizaci dalsich knihoven...
Tohle je asi ten nejvetsi problem z hlediska zpetne kompatibility v unixu, nakonec clovek zjisti, ze pro provoz nemala softu z 90 let skutecne potrebuje bud nejake plne virtualizovane prostredi nebo dualni knihovny, coz zase neni aplikovatelne genralne. Ted si vemte, ze unix tu je od let 70, jakpak asi bude tehdejsi soft kompatibilni s dnesnimi systemy? No, skoro vubec a pokud to bude slozitejsi nez hello world, asi bude nutne sahnout tomu vyrazne do zdrojaku pred kompilaci. Osobne vidim budoucnost prave ve virtualizaci a jmennych prostorech, kde bude mozne (byt se zvysenym rizikem) jet kazdou aplikaci s jeji stoletou knihovnou - pravda bude to dusledek bezpecnostnich snah vyvojaru kernelu, ale tohle by mohl byt velmi uzitecny side effect a v pripade nouze by mohlo byt v mnoha pripadech jednodussi napsat nejaky zbezpecnujici wrapper nez prepisovat celou aplikaci :)
V tomhle jsou na tom wokna i MacOS podobne, bud neco archeologickeho neslape, nebo to ma vykonove handicapy a v horsich pripadech handicapy stabilitni ci bezpecnostni. Akoratze komecni systemy maji u vyvoje prachy na to, aby programatory zaplatili za tu zoufalou prudu s prevadenim a odchytavanim jednoho API nad druhym a linuxaci radeji delaji nove technologie zerou zbytecne tuny pameti a vykonu nez aby delali nezazivne kousky - tady si myslim, ze uz celkem dlouho linux zachranuji komercni firmy schopne platit programatory, na dobrovolne bazi bychom uz asi byli uplne jinde nez ve fazi rustu.
Bohuzel se to tyka i vetsiny OS aplikaci - co umi dnesni KDE oproti verzi 1.2 navic? Sezere vic nez desetinasobek RAM, stoji stonasobek taktu CPU, ale funkcne je to prakticky totez, takze se dostavame presne do stadia, ktere na M$ tak vehementne kritizujeme - on treba design NT kernelu jako takoveho je velmi dobry (aby ne, kdyz na nem delali autori VMS a NT4 na systemech Alpha slape skutecne uzasne), treba takovy exceli team na pozadavek o zvetseni objemu baliku zareagoval zaclenennim MS flight simulatoru aniz by tim ohrozil funkcnost sve prace; problem je v managementu, ktery je schopen prodat jen veci viditelne vylepsene (zvetsene), u OpenSource je problem v tom, ze optimalizace a debugovani jsou pruda a pak mozna taky v tom, ze debugovat kod vyzaduje vice dovednosti nez jeho tvorba tak jsou kusy kodu na jejihz debug uz nikdo nema. Co umi dnesni linux tak zasadniho oproti RedHatu3 aby zabiral mnohonasobek? Myslim tim skutecny zaklad se siti bez sluzeb (ani logrotate) a shellem, jakmile bychom dosli ke sluzbam, grafice, nebo komplexnim aplikacim, byl by muj dotaz o mnoho komplexnejsi, tema by zustalo.
Takze zaverem tohoto rozvlekleho postu bych rekl, ze to nakonec nemusi byt uplne spatne, ze je nejake ubuntu a vrazi prachy do vyvoje linuxu, drtiva vetsina jeho investic se diky GPL dostane k dispozici komukoliv a vlivem Dellu by mohlo jit i o investice do skutecne podstatnych kousku. -
Myslim, ze toto je dulezity dotaz. Take by me to zajimalo. Balicky jsou digitalne podepsane. Pro balicky z noveho zdroje si budu muset stahnout verejny klic autora - coz delam. Problem je, ze si nedokazu predstavit, jak budu dohledavat "duveryhodnost autora" nekde na webu pro kazdy balicek. Prijde mi to takovy "zivelny" zpusob distribuce bez zpetne vazby (rozumejte kontroly), tak jako v hlavni vetvi. -
A jak dohledáte důvěryhodnost autora třeba na takovém http://www.apt-get.org/ ? -
Je to podepsané všechno klíčem 025BC58F, který je pro PPA a který si musíte stáhnout. Oficiální archívy jsou podepsané jiným klíčem.
Akorát pořád nerozumím tomu rozdílu? On vám ten repozitář do /etc/apt/sources.list{,.d} někdo přidá nevědomě? Tak či onak je to vědomá akce, a jestli musí následovat "apt-key add" je snad úplně jedno.
O. -
Ano. Samozrejme, ze si uzivatel zdroje prida umyslne. Ja akorat nechapu jinou vec. O oficialni repozitare se stara jen nekolik lidi (z Canonicalu) pouzivajicich stejny podpis.
Ten "doplnkovy" repozitar bude mit jednotny podpis nebo bude podepsany kazdy balicek zvlast?
Modelova situace:
Udelam si vlastni balicek programu xxx. Do oficialniho Ubuntu repozitare jej osobne nedam (nemam prava). Poslu jej tedy nejakemu vyvojari Ubuntu. Ten se na nej samozrejme podiva a skodlivy kod muze (nemusi) odhalit. Naproti tomu u "doplnkoveho" repozitare proste prepisu neci balicek svym aktualizovanym (se skodlivym kodem) a pojistka kontroly odpada.
Repozitare tretich stran samozrejme v sources mam. Je-li zdroj na oficialnim firemnim serveru, pak lze duveryhodnost klice uverit snadno u autority. Repozitare soukromniku (Cihar - stardict) jsem doplnil do sources az pote co jej nekolik diskuznich skupin nezavisle na sobe doporucovalo jako alternativni zdroj.
Naproti tomu balicek nekde v hromade "balastu" (omlouvam se za ten vyraz), ktery tam mohl nahrat kdykoli, kdokoli je trochu jine kafe.
Ptam se jako uzivatel Ubuntu, kteremu se tato varianta zamlouva. Ne jako stoural ;-) -
Stejně tak si ten repozitář můžete přidat až po té, co si ho ověříte, že je ok. Jestli má repozitář každého uživatele vlastní podpis nebo nemá, je úplně jedno. Když si přidáte:
deb http://ppa.launchpad.net/ondrej/ubuntu gutsy main
tak vám to bude stahovat pouze balíčky, které jsem tam nahrál já. A od nikoho dalšího už ne. -
anonymníJasne, drtiva vetsina takto stvorenych repositaru bude skutecne spise osobniho charakteru a ty jim budes verit na zaklade toho, ze soused Tonda by tam zadny svinstvo prece nedal a ma tam zajimavej soft. Je to cesta k jedinecnemu stepeni sil a vzniku stovek paralelnich souboru stejneho obsahu, jejihz duveryhodnost bude zacinat prave od duveryhodnosti autora - kdyz si takove repository vytvori skutecny tvurce nejakeho softu, bude obtizne tvrdit, ze by takove repository bylo mene bezpecne nez jeho zdrojaky stahnutelne z jeho webu - a tady presne narazime na to, ze cely system umi spolehlive jen ubuntu jako cilovy system a lze pochybovat o zajmu tvurcu softu o ztratu casu s takovym projektem, radeji vytvori balicky po sve ose pro vice systemu nebo skompiluji staticky tarball. Takze z meho pohledu je to hracka pro hracicky, ktera muze slouzit spise jako inkubator vyvojaru nez cokoliv jineho.
-
Zkuste níže zmíněný OpenSUSE Build Service. Ten Debian podporuje.
http://en.opensuse.org/Build_Service/Deb_builds -
dejf (neregistrovaný)No, ono to je o tom, kolik tam zvladaj mit realne prostredi proti nimz budou kompilovat. Kdyz se udela balicek sikovne, da se prenest i na debian - s veeeelkou rezervou, cim vic je toho v nem statickeho, tim snaze to bude prenositelne. Ale omezeni poctu HW architektur je skutecne nicive, z meho pohledu se jedna o dosti minoritni architektury s minimem zastupcu v mem vlastnictvi.
-
El-Condor (neregistrovaný)----------------------------------------------------------------------------------------------
29. 11. 2007 10:58 smazal Petr Krčmář, důvod:Komentář odstraněn kvůli vulgárním výrazům.
---------------------------------------------------------------------------------------------- -
msk (neregistrovaný)To je vsetko super, sam som si s vypatim vsetkeho usilia vlastny ppa zalozil, ale vobec som neprisiel na to, akym sposobom vyhladavat v repozitaroch! Da sa vyhladavat podla username, alebo description k repozitaru, ale vyhladavanie podla nazvu package som nikde nenasiel. Tym padom vysledok = 0, pretoze pokial sa nedozviem o hladanom baliku v ppa, logicky ho nepouzijem a usilie packagerov bude premrhane.
