LINUX.ORG.RU
ФорумTalks

Телеметрия в Golang

 , ,


1

4

Привет, ЛОР!

Я тут тебе покушать принёс. Компания Google решила добавить телеметрию прямо в компилятор языка Go.

https://www.theregister.com/2023/02/10/googles_go_programming_language_telemetry_debate/

Телеметрия будет включена из коробки. Предполагаемый объём данных, который будет передаваться гуглу, неизвестен.

Из вкусного:

Модераторы на гитхабе уже активно трут комментарии, критически оценивающие компанию Google, в дискуссии о допустимости телеметрии.

★★★★★

Последнее исправление: hateyoufeel (всего исправлений: 3)
Ответ на: комментарий от anonymous_sapiens

Потому что Rust не пренадлежит гуглу, пока ещё.

hateyoufeel ★★★★★
() автор топика

Как будто это что-то удивительное. Я всегда говорил что го не нужно.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Тогда, как написали выше, «не нужно».

anc ★★★★★
()

Хороший вброс.

Разговор о телеметрии - это очень узкая постановка вопроса. На самом деле вопрос стоит о доверии к компилятору Go как таковому: что ещё он там внутри себя делает, и что и при каких условиях он включает в генерируемый код. Достаточно ли для установления доверия проводить аудит исходных кодов компилятора? Или в процессе компиляции этих исходников, в объектный код получившегося компилятора может попадать что-то, чего в исходниках в общем-то и не было?

Manhunt ★★★★★
()
Последнее исправление: Manhunt (всего исправлений: 3)
Ответ на: комментарий от Manhunt

То же самое можно спросить про вообще любой компилятор, интерпретатор и VM.

Но т.к. всё это впопенсорцное, я думаю, закладки нашли бы уже.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Закладка может быть не опубликована в официальных исходниках. А степень сложности компилятора такова, что выявить закладки в объектном коде - может быть совсем не просто.

Manhunt ★★★★★
()
Ответ на: комментарий от Manhunt

Закладка может быть не опубликована в официальных исходниках.

Значит, большая часть людей её не получат. Все дистры собирают компиляторы из сырцов, так что проблемы считай нет.

А степень сложности компилятора такова, что выявить закладки в объектном коде - может быть совсем не просто.

На самом деле, их и в исходниках выловить не то чтобы легко. В последний раз, когда я интересовался, компилятор голанга был почти 800к строк.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Значит, большая часть людей её не получат. Все дистры собирают компиляторы из сырцов, так что проблемы считай нет.

Сборка из компилятора из сорцов - да, это минимальная гигиена, без которой вообще никак.

Однако теоретически, компилятор go может по каким-то признакам распознавать, что собирает сейчас компилятор go, и встраивать в бинарный код эту самую закладку.

Теоретически проблема с бинарным встраиванием закладки в новый билд компилятора должна решаться за счет того, что следующую версию компилятора всегда можно собрать с помощью предыдущей. А самая старая версия компилятора вообще написана на каком-нибудь Си, и может быть собрана доверенным компилятором Си. И все версии, которые образуют цепочку от Си до современного компилятора, на самом деле можно раздобыть. И всё это умеет работать оффлайн. Тогда проводим аудит исходников всех промежуточных версий компилятора, собираем их все по цепочке, profit.

Но что-то я не уверен, что конкретно в случае Go, всё необходимое для такого воспроизведения - на самом деле доступно.

И такой объемный аудит будет стоить немеряных бабок. У какого-нибудь правительства Китая эти деньги/ресурсы может быть и есть, а вот у просто-сообщества ... думаю, что нет.

Manhunt ★★★★★
()
Последнее исправление: Manhunt (всего исправлений: 3)
Ответ на: комментарий от Infra_HDC

Я уже хотел книжку по нему приобрести.

Ну вы и шустрый :) Я пока ещё думаю, надо ли мне подумать, на предмет подумать :)

anc ★★★★★
()
Ответ на: комментарий от Manhunt

И такой объемный аудит будет стоить немеряных бабок.

На самом деле, проще будет свой с нуля сделать. Благо, голанг – не шибко сложный язык. Это тебе не плюсы какие-нибудь.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

На самом деле, проще будет свой с нуля сделать.

Похоже, что так.

Manhunt ★★★★★
()
Последнее исправление: Manhunt (всего исправлений: 1)

Я тут тебе покушать принёс. Компания Google решила добавить телеметрию прямо в компилятор языка Go.

Обратимся к первоисточнику:

To be clear, I am only suggesting that the instrumentation be added to the Go command-line tools written and distributed by the Go team, such as the go command, the Go compiler, gopls, and govulncheck. I am not suggesting that instrumentation be added by the Go compiler to all Go programs in the world: that’s clearly inappropriate.

Т.е. конечных пользователей плюс-минус не касается.

А также:

The decisions about what metrics to collect are made in an open, public process.

Вот гады! Ещё и публично обсуждают!

AP ★★★★★
()
Последнее исправление: AP (всего исправлений: 2)
Ответ на: комментарий от AP

Обратимся к первоисточнику:

[ ..skip ] such as the go command, the Go compiler, gopls, and govulncheck.

блин, аж перечитать пришлось.. Всё-таки хорошую вещь не назовут говюлнчеком :-)

MKuznetsov ★★★★★
()

Модераторы на гитхабе уже активно трут комментарии, критически оценивающие компанию Google, в дискуссии о допустимости телеметрии.

Так у Microsoft рыльце тоже в пушку. Они раньше всех додумались телеметрию аж в libstdc++ запихать:

https://habr.com/ru/post/281374/

EXL ★★★★★
()
Ответ на: комментарий от EXL

Так у Microsoft рыльце тоже в пушку.

А когда за последние годы не было? :)

anc ★★★★★
()
Ответ на: комментарий от AP

Очевидно, что это только первый шаг. Если сразу включить логирование всего на полную мощность, то возникнет большой скандал. А вот маленькими шажками - запросто. Сначала объявляем о включении почти незаметной бесполезной телеметрии. С каждым релизом чуточку расширяем область того, что логируется. Через 10 лет Go-телеметрия начнёт отправлять видео с камеры разработчика, звуки, записанные с микрофона, и всё остальное, включая «хэши» фотографий с жесткого диска (строго ради «борьбы с CP»!). И все будут молчать, потому что все дискуссии уже отгорели на первом шаге.

emorozov
()
Ответ на: комментарий от emorozov

Через 10 лет оно уже вашу флюорографию и другие рентгены найденные на вашем харде слать начнет :) И конечно строго ради «борьбы с CP»! :)

anc ★★★★★
()
Ответ на: комментарий от firkax

Наглая ложь, как и остальные 80% твоих высказываний тут

George
()
Ответ на: комментарий от tt

Путаешь. До этого телеметрию только в .net core добавляли.

hateyoufeel ★★★★★
() автор топика

Все собранные данные будут публиковаться в открытом доступе для инспектирования и анализа. [из новости с опеннета]

Этот момент я не совсем понял. Гугля после разоблачения вашей жопы ещё и опубликует её в открытом доступе? Неслыханный уровень сервиса.

bread
()
Ответ на: комментарий от AP

Вот гады! Ещё и публично обсуждают!

А потом они такие: «Это всё по воле народа было сделано, мы тут не причём!»

hateyoufeel ★★★★★
() автор топика

А я и здесь напишу: пщщпду - [censored]!

untitl3d
()
Ответ на: комментарий от AP

Вот гады!

Конечно. Заставили юзеров 15 лет страдать с неудобным и неэффективным инструментарием. Хотя могли бы в версии 1.0 уже встроить телеметрию.

bread
()
Ответ на: комментарий от emorozov

Через 10 лет Go-телеметрия начнёт отправлять видео с камеры разработчика, звуки, записанные с микрофона, и всё остальное, включая «хэши» фотографий с жесткого диска

Я тебя, вероятно, огорчу, но ничто не мешает гуглу отправлять себе все эти данные уже прямо сейчас, без телеметрии в golang. Более того, пользователи сами регулярно отдают эти данные посторонним лицам при помощи разных там приложений для состаривания лиц на фотографиях. Слабенькая, в общем, теория заговора. На троечку.

AP ★★★★★
()
Последнее исправление: AP (всего исправлений: 1)

1984 - не не слышал.

sambo ★★
()

А я всё думал, в чём подвох со свободным Go от корпорации зла. А его всё не было, ни в каком виде. Вот теперь всё встало на свои места.

CrX ★★★★★
()

Ну-с, во-первых, будет флаг GOTELEMETRY=off, во-вторых, можете сами проверить, шлётся что-то или нет, с помощью того же tcpdump или ещё чего, а в-третьих, есть gccgo, как справедливо уже отметили выше.

sT331h0rs3 ★★★★★
()

А чего ещё ждать от этих чушек

DumLemming ★★☆
()
Ответ на: комментарий от anc

а, да, забыл, что докер тоже на голанге написан

cobold ★★★★★
()
Ответ на: комментарий от Manhunt

Достаточно ли для установления доверия проводить аудит исходных кодов компилятора?

Угу, посредством ! grep -Fi '(c) google'.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Вы все ещё собираете вне sandbox’ов?

А есть популярные средства сборки в песочнице без интернета? Ну кроме Nix, который всё же довольно нишевая штука.

Потому что обычный разраб таскает с собой докер-контейнер, имеющий полный доступ куда угодно.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от anc

А если выдернуть шнур, выдавить вифи, оно (Go) робить будет?

Оно даже не соберется, ибо половину пакетов тянет с гитхаба. В первый раз, по крайней мере.

Zhbert ★★★★★
()
Ответ на: комментарий от t184256

Это не то чтобы истинный путь. Так, нишевая хренотень.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от th3m3

Осталось только написать для него замену cargo.

t184256 ★★★★★
()
Ответ на: комментарий от Zhbert

А если выдернуть шнур, выдавить вифи, оно (Go) робить будет?

Оно даже не соберется, ибо половину пакетов тянет с гитхаба. В первый раз, по крайней мере.

На момент установки это понятно и обьяснимо, вопрос в том, будет ли эта хрень без инета робить потом?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)