LINUX.ORG.RU

История изменений

Исправление AlexM, (текущая версия) :

Конечно же, подобные репозитории — это «эксплуатация», а не «разработка».

Могу сказать, что такие же по смыслу репозитории есть в (некоторых) крупных софтовых компаниях. Разрабатывать ты можешь на чём угодно, в принципе, но для того, чтобы твой код и требуемые тебе библиотеки попали на прод, нужно, чтобы код и библиотеки удовлетворяли некоторому комплайнсу.

Одним из пунктов комплайнса является отсутствие известных CVE-шек в библиотеках, которые требуются коду. Вот буквально «org.sample:library:1.2.3» можно использовать, а «org.sample:library:1.2.2» и «org.sample:library:1.2.4» — нет. 1.2.2 из-за того, что по ней прошло оповещение о CVE, а 1.2.4 — потому что никто из ответственных лиц ещё не проверял и не заливал эту версию в репозиторий.

Управлением подобным репозиторием занимаются специально выделенные люди из отдела эксплуатации. И совершенно очевидно, что мелкие и средние конторы себе подобного позволить чисто финансово не могут, т.к. поток алертов по библиотекам в проекте размера от среднего и выше — довольно плотный.

То, что РТК выкатил подобное в паблик — большое ему спасибо. Насколько оно хорошо будет управляться — ну, это может только время показать: многое зависит от оперативности реагирования.

Исходная версия AlexM, :

Конечно же, подобные репозитории — это «эксплуатация», а не «разработка».

Могу сказать, что такие же по смыслу репозитории есть в (некоторых) крупных софтовых компаниях. Разрабатывать ты можешь на чём угодно, в принципе, но для того, чтобы твой код и требуемые тебе библиотеки попали на прод, нужно, чтобы код и библиотеки удовлетворяли некоторому комплайнсу.

Одним из пунктов комплайнса является отсутствие известных CVE-шек в библиотеках, которые требуются коду. Вот буквально «org.sample:library:1.2.3» можно использовать, а «org.sample:library:1.2.2» и «org.sample:library:1.2.4» — нет. 1.2.2 из-за того, что по ней прошло оповещение о CVE, а 1.2.4 — потому что никто из ответственных ещё не проверял, и не заливал эту версию в репозиторий.

Управлением подобным репозиторием занимаются специально выделенные люди из отдела эксплуатации. И совершенно очевидно, что мелкие и средние конторы себе подобного позволить чисто финансово не могут, т.к. поток алертов по библиотекам в проекте размера от среднего и выше — довольно плотный.

То, что РТК выкатил подобное в паблик — большое ему спасибо. Насколько оно хорошо будет управляться — ну, это может только время показать: многое зависит от оперативности реагирования.