Vlákno názorů k článku
Vyšlo Go 1.10 od samavoda - Otazka je, kde je hranice mezi pragmaticnosti a...

Otazka je, kde je hranice mezi pragmaticnosti a nedomyslenosti. Opravdu je vhodne tak zjednodusit vkladani knihoven, ze se rovnou tahaji s githubu? Opravdu budete pokazde kontrolovat, ze nekdo nehackul autorovi pristup a neco si tam nepridal (jako se to stalo napr. u relativne popularnich javaskriptovych knihoven.)?
V pripade pouziti knihoven z distribuce muzu (a nemusim) mit duveru v bezpecnostni mechanismy, ktere stoji za vydavanim te distribuce. V pripade, tahani z githubu je musim mit pro kazdou knihovnu extra (bude to autor, co si aktualizuje svoji stanici? Bude to autor, co neleze na nebezpecne stranky na webu atd. atd.).

Problém vidím (pokud se něco nezměnilo) spíš v tom, že není možné rozumně nastavovat závislost na konkrétních verzích knihovny.

Myslel jsem tohle, to nebývalo:

dep, is an official experiment for the dependency tool.

Díky za odkaz, snad už to tedy mají nějak vyřešené.

Prinejmensim je tam dalsi par (nebo spis pary) oci, ktere to vidi. A distribuce vydavaji balicky v cyklech, takze je tam i vetsi cas na kontrolu. A kontrola navic je jedna z roli, ktere by mely distribuce zajistovat.

A vlastni kopie tohle neresi, jen umoznuje vlastni intervaly kontroly.

Pochopitelne asi zalezi na distribuci. Pokud ma sice v nazvu enterprise, ale clovek je rad i za to, kdyz nejsou zavislosti v kolizi, tak se na nejakou vetsi bezpecnost opravdu nemuze spolehnout.