From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@altlinux.org>
Date: Wed, 25 Aug 2021 20:14:41 +0300
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20210825171440.GA22230@altlinux.org>
References: <20210824182050.GA5179@altlinux.org>
 <20210824182216.GC5179@altlinux.org>
 <20210825000457.GE7829@altlinux.org>
 <e2c3e73b0a9a6f720d710d6081d5bdbc@altlinux.ru>
 <20210825082809.r4nzvfuoa2ug6qx6@titan.localdomain>
 <41ac3be1639efbaa3b3c5b8b8522142a@altlinux.ru>
 <20210825121840.f772f428a53841c8278577b6@altlinux.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20210825121840.f772f428a53841c8278577b6@altlinux.org>
Subject: Re: [devel] devel-static
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 25 Aug 2021 17:14:41 -0000
Archived-At: <http://lore.altlinux.org/devel/20210825171440.GA22230@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Wed, Aug 25, 2021 at 12:18:40PM +0300, Andrey Savchenko wrote:
> On Wed, 25 Aug 2021 11:38:58 +0300 Vitaly Lipatov wrote:
> > Ivan A. Melnikov писал 25.8.21 11:28:
> > > On Wed, Aug 25, 2021 at 11:18:16AM +0300, Vitaly Lipatov wrote:
> > ...
> > >> boost    iv sem @qa
> > >>     boost-devel-static - Boost libraries
> > >>           karbowanecwallet 	drool @everybody
> > >>           sibcoin 	drool @everybody
> > >>           taler 	drool @everybody
> > > 
> > > Я помню просьбы людей, использовавших boost из репозитория в своих
> > > проектах, оставить devel-static. Было это правда давно: одним из
> > > этих людей был real@. Но всё равно, думаю тут лучше починить.
> > Да, это может быть кому-то полезно для сборки каких-то standalone, 
> > недистрибутивных решений.
> > 
> > > Насколько boost-devel-static нужен именно при сборке пакетов в Сизиф
> > > -- это другой вопрос. Я думаю, что скорее не нужен.
> > Да. Я просто воспользовался случаем обратить внимание, что по 
> > возможности надо бы избавиться от статической линковки.
> 
> А почему не наоборот?
> 
> Динамическая линковка лишь создаёт иллюзию безопасности за счёт
> исправления проблемы в одной библиотеке сразу для всех. Но проблема
> может быть в хедерах, а C++ библиотеки всё больше переходят
> в хедеры. В итоге может получится, что CVE исправлен, библиотека
> обновлена без изменения ABI, а непересобранные приложения всё ещё
> уязвимы.

А безопаснее всего публиковать только исходники, и пусть пользователи
сами пересобирают, как сочтут нужным, правда же?


-- 
ldv