ALT Linux Team development discussions
 help / color / mirror / Atom feed
* [devel] MD5 for tarballs
@ 2002-09-17 10:19 Igor Homyakov
  2002-09-17 12:52 ` Alexey Morozov
  0 siblings, 1 reply; 12+ messages in thread
From: Igor Homyakov @ 2002-09-17 10:19 UTC (permalink / raw)
  To: ALT Linux Team

Это скорее похоже на feture request.

Сейчас практически все исходники выкладываються с конрольными суммами.
Может стоит добавить тег в спек файл указывающий на это файл (или уже
содержащий такую сумму). При автоматической сборке/пересборке пакета по spec,
если когда нибуть будет такое, эта возможность понадобиться.


--
Igor Homyakov
<homyakov at altlinux dot ru>


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 10:19 [devel] MD5 for tarballs Igor Homyakov
@ 2002-09-17 12:52 ` Alexey Morozov
  2002-09-17 12:57   ` Igor Homyakov
  0 siblings, 1 reply; 12+ messages in thread
From: Alexey Morozov @ 2002-09-17 12:52 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 02:19:25PM +0400, Igor Homyakov wrote:
> Сейчас практически все исходники выкладываються с конрольными суммами.
> Может стоит добавить тег в спек файл указывающий на это файл (или уже
> содержащий такую сумму). При автоматической сборке/пересборке пакета по spec,
> если когда нибуть будет такое, эта возможность понадобиться.
Учитывая склонность пэкеджеров перепаковывать все bzip'ом, это практически
бесполезный запрос.



^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 12:52 ` Alexey Morozov
@ 2002-09-17 12:57   ` Igor Homyakov
  2002-09-17 13:21     ` Alexey Morozov
  2002-09-17 13:25     ` Alexander Bokovoy
  0 siblings, 2 replies; 12+ messages in thread
From: Igor Homyakov @ 2002-09-17 12:57 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 07:52:38PM +0700, Alexey Morozov wrote:
> On Tue, Sep 17, 2002 at 02:19:25PM +0400, Igor Homyakov wrote:
> > Сейчас практически все исходники выкладываються с конрольными суммами.
> > Может стоит добавить тег в спек файл указывающий на это файл (или уже
> > содержащий такую сумму). При автоматической сборке/пересборке пакета по spec,
> > если когда нибуть будет такое, эта возможность понадобиться.
> Учитывая склонность пэкеджеров перепаковывать все bzip'ом, это практически
> бесполезный запрос.

Если потребовать использовать в Source: действительный URL, что 
imho надо сделать. Такая практика прекратиться.

--
Igor Homyakov
<homyakov at altlinux dot ru>


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 13:25     ` Alexander Bokovoy
@ 2002-09-17 13:19       ` Igor Homyakov
  2002-09-17 13:43         ` Alexander Bokovoy
  2002-09-17 13:23       ` Alexey Morozov
  1 sibling, 1 reply; 12+ messages in thread
From: Igor Homyakov @ 2002-09-17 13:19 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 04:25:10PM +0300, Alexander Bokovoy wrote:
> Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
> ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).

Почему же не правильно ? Ссылка дается на оригинал, который имеет
"официальную" подпись (check sum). Неправильно как раз перепаковывать
исходники, т.к в этом случае нет никакой гарантии что tarball оригинальный.

--
Igor Homyakov
<homyakov at altlinux dot ru>


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 13:21     ` Alexey Morozov
@ 2002-09-17 13:20       ` Igor Homyakov
  0 siblings, 0 replies; 12+ messages in thread
From: Igor Homyakov @ 2002-09-17 13:20 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 08:21:31PM +0700, Alexey Morozov wrote:
> On Tue, Sep 17, 2002 at 04:57:42PM +0400, Igor Homyakov wrote:
> > > > если когда нибуть будет такое, эта возможность понадобиться.
> > > Учитывая склонность пэкеджеров перепаковывать все bzip'ом, это практически
> > > бесполезный запрос.
> > Если потребовать использовать в Source: действительный URL, что 
> > imho надо сделать. Такая практика прекратиться.
> Ну, я-то за :-). Но только если apt-get source будет и вправду выдавать
> сорцы, а не src.rpm :-). Нет, кроме шуток, было бы очень неплохо...
> часто качаешь пакет только из-за спека и/или набора патчей...

Эту тему уже обсуждали, планируеться что в будущем будет всё это
будет в CVS.

--
Igor Homyakov
<homyakov at altlinux dot ru>


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 12:57   ` Igor Homyakov
@ 2002-09-17 13:21     ` Alexey Morozov
  2002-09-17 13:20       ` Igor Homyakov
  2002-09-17 13:25     ` Alexander Bokovoy
  1 sibling, 1 reply; 12+ messages in thread
From: Alexey Morozov @ 2002-09-17 13:21 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 04:57:42PM +0400, Igor Homyakov wrote:
> > > если когда нибуть будет такое, эта возможность понадобиться.
> > Учитывая склонность пэкеджеров перепаковывать все bzip'ом, это практически
> > бесполезный запрос.
> Если потребовать использовать в Source: действительный URL, что 
> imho надо сделать. Такая практика прекратиться.
Ну, я-то за :-). Но только если apt-get source будет и вправду выдавать
сорцы, а не src.rpm :-). Нет, кроме шуток, было бы очень неплохо...
часто качаешь пакет только из-за спека и/или набора патчей...



^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 13:25     ` Alexander Bokovoy
  2002-09-17 13:19       ` Igor Homyakov
@ 2002-09-17 13:23       ` Alexey Morozov
  2002-09-17 13:43         ` Alexander Bokovoy
  1 sibling, 1 reply; 12+ messages in thread
From: Alexey Morozov @ 2002-09-17 13:23 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 04:25:10PM +0300, Alexander Bokovoy wrote:
> > Если потребовать использовать в Source: действительный URL, что 
> > imho надо сделать. Такая практика прекратиться.
> Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
> ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).
Э-э-э, это как? И зачем? Можно поподробнее, для т.... медленно соображающих,
вроде меня?



^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 12:57   ` Igor Homyakov
  2002-09-17 13:21     ` Alexey Morozov
@ 2002-09-17 13:25     ` Alexander Bokovoy
  2002-09-17 13:19       ` Igor Homyakov
  2002-09-17 13:23       ` Alexey Morozov
  1 sibling, 2 replies; 12+ messages in thread
From: Alexander Bokovoy @ 2002-09-17 13:25 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 04:57:42PM +0400, Igor Homyakov wrote:
> On Tue, Sep 17, 2002 at 07:52:38PM +0700, Alexey Morozov wrote:
> > On Tue, Sep 17, 2002 at 02:19:25PM +0400, Igor Homyakov wrote:
> > > Сейчас практически все исходники выкладываються с конрольными суммами.
> > > Может стоит добавить тег в спек файл указывающий на это файл (или уже
> > > содержащий такую сумму). При автоматической сборке/пересборке пакета по spec,
> > > если когда нибуть будет такое, эта возможность понадобиться.
> > Учитывая склонность пэкеджеров перепаковывать все bzip'ом, это практически
> > бесполезный запрос.
> 
> Если потребовать использовать в Source: действительный URL, что 
> imho надо сделать. Такая практика прекратиться.
Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).

-- 
/ Alexander Bokovoy
---
Hear about the young Chinese woman who just won the lottery?
One fortunate cookie...


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 13:19       ` Igor Homyakov
@ 2002-09-17 13:43         ` Alexander Bokovoy
  2002-09-17 13:50           ` Igor Homyakov
  0 siblings, 1 reply; 12+ messages in thread
From: Alexander Bokovoy @ 2002-09-17 13:43 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 05:19:07PM +0400, Igor Homyakov wrote:
> On Tue, Sep 17, 2002 at 04:25:10PM +0300, Alexander Bokovoy wrote:
> > Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
> > ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).
> 
> Почему же не правильно ? Ссылка дается на оригинал, который имеет
> "официальную" подпись (check sum). Неправильно как раз перепаковывать
Иногда просто невозможно дать ссылку на оригинал, поскольку оригинал мог
уже измениться (версия сменилась, старую убрали). Или тарболл получен в
результате cvs checkout. Что здесь делать? Просто существует более чем
один способ построения тарболла и получения его.

> исходники, т.к в этом случае нет никакой гарантии что tarball оригинальный.
Эту гарантию нужно требовать от мейнтейнера, для этого и существует его
подпись в пакете.

-- 
/ Alexander Bokovoy
---
Fried's 1st Rule:
	Increased automation of clerical function
	invariably results in increased operational costs.


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 13:23       ` Alexey Morozov
@ 2002-09-17 13:43         ` Alexander Bokovoy
  0 siblings, 0 replies; 12+ messages in thread
From: Alexander Bokovoy @ 2002-09-17 13:43 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 08:23:35PM +0700, Alexey Morozov wrote:
> On Tue, Sep 17, 2002 at 04:25:10PM +0300, Alexander Bokovoy wrote:
> > > Если потребовать использовать в Source: действительный URL, что 
> > > imho надо сделать. Такая практика прекратиться.
> > Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
> > ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).
> Э-э-э, это как? И зачем? Можно поподробнее, для т.... медленно соображающих,
> вроде меня?
Технически можно сделать так, что если не найдет foo.tar.bz2, запрашивать
foo.tar.gz при попытке получить Source: по указанному URI.
-- 
/ Alexander Bokovoy
---
There is much Obi-Wan did not tell you.
		-- Darth Vader


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 13:43         ` Alexander Bokovoy
@ 2002-09-17 13:50           ` Igor Homyakov
  2002-09-17 14:20             ` Alexander Bokovoy
  0 siblings, 1 reply; 12+ messages in thread
From: Igor Homyakov @ 2002-09-17 13:50 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 04:43:04PM +0300, Alexander Bokovoy wrote:
> On Tue, Sep 17, 2002 at 05:19:07PM +0400, Igor Homyakov wrote:
> > On Tue, Sep 17, 2002 at 04:25:10PM +0300, Alexander Bokovoy wrote:
> > > Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
> > > ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).
tar.Z, zip, tar, cpio, shar .... не слишком ли ?

> > Почему же не правильно ? Ссылка дается на оригинал, который имеет
> > "официальную" подпись (check sum). Неправильно как раз перепаковывать
> Иногда просто невозможно дать ссылку на оригинал, поскольку оригинал мог
> уже измениться (версия сменилась, старую убрали). Или тарболл получен в
> результате cvs checkout. Что здесь делать? Просто существует более чем
> один способ построения тарболла и получения его.
Всё это решается в рамках package policy.

> > исходники, т.к в этом случае нет никакой гарантии что tarball оригинальный.
> Эту гарантию нужно требовать от мейнтейнера, для этого и существует его
> подпись в пакете.
Человек может элементарно ошибиться, не говоря уже о том что его
рабочая станция находиться неизвестно где и что на ней твориться никто не
знает.

--
Igor Homyakov
<homyakov at altlinux dot ru>


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [devel] MD5 for tarballs
  2002-09-17 13:50           ` Igor Homyakov
@ 2002-09-17 14:20             ` Alexander Bokovoy
  0 siblings, 0 replies; 12+ messages in thread
From: Alexander Bokovoy @ 2002-09-17 14:20 UTC (permalink / raw)
  To: devel

On Tue, Sep 17, 2002 at 05:50:57PM +0400, Igor Homyakov wrote:
> > > Почему же не правильно ? Ссылка дается на оригинал, который имеет
> > > "официальную" подпись (check sum). Неправильно как раз перепаковывать
> > Иногда просто невозможно дать ссылку на оригинал, поскольку оригинал мог
> > уже измениться (версия сменилась, старую убрали). Или тарболл получен в
> > результате cvs checkout. Что здесь делать? Просто существует более чем
> > один способ построения тарболла и получения его.
> Всё это решается в рамках package policy.
Что именно? Как Вы собираетесь решать при помощи package policy принципиальное 
отсутствие тарболла на сайте в случае, когда исходники берутся из CVS? Или
наличие еженочно обновляемого тарболла с этим именем, когда пакет
представляет собой слепок на какую-то дату (пример --
ftp://ftp.ruby-lang.org/pub/ruby/snapshot-stable.tar.gz), пусть и
изготавливаемый авторами, но успешно перезаписываемый через определенный
интервал времени.


> > > исходники, т.к в этом случае нет никакой гарантии что tarball оригинальный.
> > Эту гарантию нужно требовать от мейнтейнера, для этого и существует его
> > подпись в пакете.
> Человек может элементарно ошибиться, не говоря уже о том что его
> рабочая станция находиться неизвестно где и что на ней твориться никто не
> знает.
За аутентичность кода, который он отправляет в публичный репозитарий 
и подписывает собственным, заверенным в команде, ключем, разработчик 
несет вполне очевидную ответственность. Хотя бы перед командой.

-- 
/ Alexander Bokovoy
---
I must have slipped a disk -- my pack hurts!


^ permalink raw reply	[flat|nested] 12+ messages in thread

end of thread, other threads:[~2002-09-17 14:20 UTC | newest]

Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-09-17 10:19 [devel] MD5 for tarballs Igor Homyakov
2002-09-17 12:52 ` Alexey Morozov
2002-09-17 12:57   ` Igor Homyakov
2002-09-17 13:21     ` Alexey Morozov
2002-09-17 13:20       ` Igor Homyakov
2002-09-17 13:25     ` Alexander Bokovoy
2002-09-17 13:19       ` Igor Homyakov
2002-09-17 13:43         ` Alexander Bokovoy
2002-09-17 13:50           ` Igor Homyakov
2002-09-17 14:20             ` Alexander Bokovoy
2002-09-17 13:23       ` Alexey Morozov
2002-09-17 13:43         ` Alexander Bokovoy

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git