* [devel] MD5 for tarballs
@ 2002-09-17 10:19 Igor Homyakov
2002-09-17 12:52 ` Alexey Morozov
0 siblings, 1 reply; 12+ messages in thread
From: Igor Homyakov @ 2002-09-17 10:19 UTC (permalink / raw)
To: ALT Linux Team
Это скорее похоже на feture request.
Сейчас практически все исходники выкладываються с конрольными суммами.
Может стоит добавить тег в спек файл указывающий на это файл (или уже
содержащий такую сумму). При автоматической сборке/пересборке пакета по spec,
если когда нибуть будет такое, эта возможность понадобиться.
--
Igor Homyakov
<homyakov at altlinux dot ru>
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 10:19 [devel] MD5 for tarballs Igor Homyakov
@ 2002-09-17 12:52 ` Alexey Morozov
2002-09-17 12:57 ` Igor Homyakov
0 siblings, 1 reply; 12+ messages in thread
From: Alexey Morozov @ 2002-09-17 12:52 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 02:19:25PM +0400, Igor Homyakov wrote:
> Сейчас практически все исходники выкладываються с конрольными суммами.
> Может стоит добавить тег в спек файл указывающий на это файл (или уже
> содержащий такую сумму). При автоматической сборке/пересборке пакета по spec,
> если когда нибуть будет такое, эта возможность понадобиться.
Учитывая склонность пэкеджеров перепаковывать все bzip'ом, это практически
бесполезный запрос.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 12:52 ` Alexey Morozov
@ 2002-09-17 12:57 ` Igor Homyakov
2002-09-17 13:21 ` Alexey Morozov
2002-09-17 13:25 ` Alexander Bokovoy
0 siblings, 2 replies; 12+ messages in thread
From: Igor Homyakov @ 2002-09-17 12:57 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 07:52:38PM +0700, Alexey Morozov wrote:
> On Tue, Sep 17, 2002 at 02:19:25PM +0400, Igor Homyakov wrote:
> > Сейчас практически все исходники выкладываються с конрольными суммами.
> > Может стоит добавить тег в спек файл указывающий на это файл (или уже
> > содержащий такую сумму). При автоматической сборке/пересборке пакета по spec,
> > если когда нибуть будет такое, эта возможность понадобиться.
> Учитывая склонность пэкеджеров перепаковывать все bzip'ом, это практически
> бесполезный запрос.
Если потребовать использовать в Source: действительный URL, что
imho надо сделать. Такая практика прекратиться.
--
Igor Homyakov
<homyakov at altlinux dot ru>
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 13:25 ` Alexander Bokovoy
@ 2002-09-17 13:19 ` Igor Homyakov
2002-09-17 13:43 ` Alexander Bokovoy
2002-09-17 13:23 ` Alexey Morozov
1 sibling, 1 reply; 12+ messages in thread
From: Igor Homyakov @ 2002-09-17 13:19 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 04:25:10PM +0300, Alexander Bokovoy wrote:
> Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
> ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).
Почему же не правильно ? Ссылка дается на оригинал, который имеет
"официальную" подпись (check sum). Неправильно как раз перепаковывать
исходники, т.к в этом случае нет никакой гарантии что tarball оригинальный.
--
Igor Homyakov
<homyakov at altlinux dot ru>
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 13:21 ` Alexey Morozov
@ 2002-09-17 13:20 ` Igor Homyakov
0 siblings, 0 replies; 12+ messages in thread
From: Igor Homyakov @ 2002-09-17 13:20 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 08:21:31PM +0700, Alexey Morozov wrote:
> On Tue, Sep 17, 2002 at 04:57:42PM +0400, Igor Homyakov wrote:
> > > > если когда нибуть будет такое, эта возможность понадобиться.
> > > Учитывая склонность пэкеджеров перепаковывать все bzip'ом, это практически
> > > бесполезный запрос.
> > Если потребовать использовать в Source: действительный URL, что
> > imho надо сделать. Такая практика прекратиться.
> Ну, я-то за :-). Но только если apt-get source будет и вправду выдавать
> сорцы, а не src.rpm :-). Нет, кроме шуток, было бы очень неплохо...
> часто качаешь пакет только из-за спека и/или набора патчей...
Эту тему уже обсуждали, планируеться что в будущем будет всё это
будет в CVS.
--
Igor Homyakov
<homyakov at altlinux dot ru>
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 12:57 ` Igor Homyakov
@ 2002-09-17 13:21 ` Alexey Morozov
2002-09-17 13:20 ` Igor Homyakov
2002-09-17 13:25 ` Alexander Bokovoy
1 sibling, 1 reply; 12+ messages in thread
From: Alexey Morozov @ 2002-09-17 13:21 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 04:57:42PM +0400, Igor Homyakov wrote:
> > > если когда нибуть будет такое, эта возможность понадобиться.
> > Учитывая склонность пэкеджеров перепаковывать все bzip'ом, это практически
> > бесполезный запрос.
> Если потребовать использовать в Source: действительный URL, что
> imho надо сделать. Такая практика прекратиться.
Ну, я-то за :-). Но только если apt-get source будет и вправду выдавать
сорцы, а не src.rpm :-). Нет, кроме шуток, было бы очень неплохо...
часто качаешь пакет только из-за спека и/или набора патчей...
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 13:25 ` Alexander Bokovoy
2002-09-17 13:19 ` Igor Homyakov
@ 2002-09-17 13:23 ` Alexey Morozov
2002-09-17 13:43 ` Alexander Bokovoy
1 sibling, 1 reply; 12+ messages in thread
From: Alexey Morozov @ 2002-09-17 13:23 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 04:25:10PM +0300, Alexander Bokovoy wrote:
> > Если потребовать использовать в Source: действительный URL, что
> > imho надо сделать. Такая практика прекратиться.
> Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
> ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).
Э-э-э, это как? И зачем? Можно поподробнее, для т.... медленно соображающих,
вроде меня?
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 12:57 ` Igor Homyakov
2002-09-17 13:21 ` Alexey Morozov
@ 2002-09-17 13:25 ` Alexander Bokovoy
2002-09-17 13:19 ` Igor Homyakov
2002-09-17 13:23 ` Alexey Morozov
1 sibling, 2 replies; 12+ messages in thread
From: Alexander Bokovoy @ 2002-09-17 13:25 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 04:57:42PM +0400, Igor Homyakov wrote:
> On Tue, Sep 17, 2002 at 07:52:38PM +0700, Alexey Morozov wrote:
> > On Tue, Sep 17, 2002 at 02:19:25PM +0400, Igor Homyakov wrote:
> > > Сейчас практически все исходники выкладываються с конрольными суммами.
> > > Может стоит добавить тег в спек файл указывающий на это файл (или уже
> > > содержащий такую сумму). При автоматической сборке/пересборке пакета по spec,
> > > если когда нибуть будет такое, эта возможность понадобиться.
> > Учитывая склонность пэкеджеров перепаковывать все bzip'ом, это практически
> > бесполезный запрос.
>
> Если потребовать использовать в Source: действительный URL, что
> imho надо сделать. Такая практика прекратиться.
Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).
--
/ Alexander Bokovoy
---
Hear about the young Chinese woman who just won the lottery?
One fortunate cookie...
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 13:19 ` Igor Homyakov
@ 2002-09-17 13:43 ` Alexander Bokovoy
2002-09-17 13:50 ` Igor Homyakov
0 siblings, 1 reply; 12+ messages in thread
From: Alexander Bokovoy @ 2002-09-17 13:43 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 05:19:07PM +0400, Igor Homyakov wrote:
> On Tue, Sep 17, 2002 at 04:25:10PM +0300, Alexander Bokovoy wrote:
> > Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
> > ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).
>
> Почему же не правильно ? Ссылка дается на оригинал, который имеет
> "официальную" подпись (check sum). Неправильно как раз перепаковывать
Иногда просто невозможно дать ссылку на оригинал, поскольку оригинал мог
уже измениться (версия сменилась, старую убрали). Или тарболл получен в
результате cvs checkout. Что здесь делать? Просто существует более чем
один способ построения тарболла и получения его.
> исходники, т.к в этом случае нет никакой гарантии что tarball оригинальный.
Эту гарантию нужно требовать от мейнтейнера, для этого и существует его
подпись в пакете.
--
/ Alexander Bokovoy
---
Fried's 1st Rule:
Increased automation of clerical function
invariably results in increased operational costs.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 13:23 ` Alexey Morozov
@ 2002-09-17 13:43 ` Alexander Bokovoy
0 siblings, 0 replies; 12+ messages in thread
From: Alexander Bokovoy @ 2002-09-17 13:43 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 08:23:35PM +0700, Alexey Morozov wrote:
> On Tue, Sep 17, 2002 at 04:25:10PM +0300, Alexander Bokovoy wrote:
> > > Если потребовать использовать в Source: действительный URL, что
> > > imho надо сделать. Такая практика прекратиться.
> > Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
> > ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).
> Э-э-э, это как? И зачем? Можно поподробнее, для т.... медленно соображающих,
> вроде меня?
Технически можно сделать так, что если не найдет foo.tar.bz2, запрашивать
foo.tar.gz при попытке получить Source: по указанному URI.
--
/ Alexander Bokovoy
---
There is much Obi-Wan did not tell you.
-- Darth Vader
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 13:43 ` Alexander Bokovoy
@ 2002-09-17 13:50 ` Igor Homyakov
2002-09-17 14:20 ` Alexander Bokovoy
0 siblings, 1 reply; 12+ messages in thread
From: Igor Homyakov @ 2002-09-17 13:50 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 04:43:04PM +0300, Alexander Bokovoy wrote:
> On Tue, Sep 17, 2002 at 05:19:07PM +0400, Igor Homyakov wrote:
> > On Tue, Sep 17, 2002 at 04:25:10PM +0300, Alexander Bokovoy wrote:
> > > Неправильно. На самом деле, правильнее научить RPM вытягивать архивы по
> > > ссылкам с учетом вариативности расширений (gz <-> bz2, tar.gz <-> tgz).
tar.Z, zip, tar, cpio, shar .... не слишком ли ?
> > Почему же не правильно ? Ссылка дается на оригинал, который имеет
> > "официальную" подпись (check sum). Неправильно как раз перепаковывать
> Иногда просто невозможно дать ссылку на оригинал, поскольку оригинал мог
> уже измениться (версия сменилась, старую убрали). Или тарболл получен в
> результате cvs checkout. Что здесь делать? Просто существует более чем
> один способ построения тарболла и получения его.
Всё это решается в рамках package policy.
> > исходники, т.к в этом случае нет никакой гарантии что tarball оригинальный.
> Эту гарантию нужно требовать от мейнтейнера, для этого и существует его
> подпись в пакете.
Человек может элементарно ошибиться, не говоря уже о том что его
рабочая станция находиться неизвестно где и что на ней твориться никто не
знает.
--
Igor Homyakov
<homyakov at altlinux dot ru>
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] MD5 for tarballs
2002-09-17 13:50 ` Igor Homyakov
@ 2002-09-17 14:20 ` Alexander Bokovoy
0 siblings, 0 replies; 12+ messages in thread
From: Alexander Bokovoy @ 2002-09-17 14:20 UTC (permalink / raw)
To: devel
On Tue, Sep 17, 2002 at 05:50:57PM +0400, Igor Homyakov wrote:
> > > Почему же не правильно ? Ссылка дается на оригинал, который имеет
> > > "официальную" подпись (check sum). Неправильно как раз перепаковывать
> > Иногда просто невозможно дать ссылку на оригинал, поскольку оригинал мог
> > уже измениться (версия сменилась, старую убрали). Или тарболл получен в
> > результате cvs checkout. Что здесь делать? Просто существует более чем
> > один способ построения тарболла и получения его.
> Всё это решается в рамках package policy.
Что именно? Как Вы собираетесь решать при помощи package policy принципиальное
отсутствие тарболла на сайте в случае, когда исходники берутся из CVS? Или
наличие еженочно обновляемого тарболла с этим именем, когда пакет
представляет собой слепок на какую-то дату (пример --
ftp://ftp.ruby-lang.org/pub/ruby/snapshot-stable.tar.gz), пусть и
изготавливаемый авторами, но успешно перезаписываемый через определенный
интервал времени.
> > > исходники, т.к в этом случае нет никакой гарантии что tarball оригинальный.
> > Эту гарантию нужно требовать от мейнтейнера, для этого и существует его
> > подпись в пакете.
> Человек может элементарно ошибиться, не говоря уже о том что его
> рабочая станция находиться неизвестно где и что на ней твориться никто не
> знает.
За аутентичность кода, который он отправляет в публичный репозитарий
и подписывает собственным, заверенным в команде, ключем, разработчик
несет вполне очевидную ответственность. Хотя бы перед командой.
--
/ Alexander Bokovoy
---
I must have slipped a disk -- my pack hurts!
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2002-09-17 14:20 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-09-17 10:19 [devel] MD5 for tarballs Igor Homyakov
2002-09-17 12:52 ` Alexey Morozov
2002-09-17 12:57 ` Igor Homyakov
2002-09-17 13:21 ` Alexey Morozov
2002-09-17 13:20 ` Igor Homyakov
2002-09-17 13:25 ` Alexander Bokovoy
2002-09-17 13:19 ` Igor Homyakov
2002-09-17 13:43 ` Alexander Bokovoy
2002-09-17 13:50 ` Igor Homyakov
2002-09-17 14:20 ` Alexander Bokovoy
2002-09-17 13:23 ` Alexey Morozov
2002-09-17 13:43 ` Alexander Bokovoy
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git