From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 25 Aug 2021 20:14:41 +0300 From: "Dmitry V. Levin" To: devel@lists.altlinux.org Message-ID: <20210825171440.GA22230@altlinux.org> References: <20210824182050.GA5179@altlinux.org> <20210824182216.GC5179@altlinux.org> <20210825000457.GE7829@altlinux.org> <20210825082809.r4nzvfuoa2ug6qx6@titan.localdomain> <41ac3be1639efbaa3b3c5b8b8522142a@altlinux.ru> <20210825121840.f772f428a53841c8278577b6@altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20210825121840.f772f428a53841c8278577b6@altlinux.org> Subject: Re: [devel] devel-static X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 25 Aug 2021 17:14:41 -0000 Archived-At: List-Archive: List-Post: On Wed, Aug 25, 2021 at 12:18:40PM +0300, Andrey Savchenko wrote: > On Wed, 25 Aug 2021 11:38:58 +0300 Vitaly Lipatov wrote: > > Ivan A. Melnikov писал 25.8.21 11:28: > > > On Wed, Aug 25, 2021 at 11:18:16AM +0300, Vitaly Lipatov wrote: > > ... > > >> boost iv sem @qa > > >> boost-devel-static - Boost libraries > > >> karbowanecwallet drool @everybody > > >> sibcoin drool @everybody > > >> taler drool @everybody > > > > > > Я помню просьбы людей, использовавших boost из репозитория в своих > > > проектах, оставить devel-static. Было это правда давно: одним из > > > этих людей был real@. Но всё равно, думаю тут лучше починить. > > Да, это может быть кому-то полезно для сборки каких-то standalone, > > недистрибутивных решений. > > > > > Насколько boost-devel-static нужен именно при сборке пакетов в Сизиф > > > -- это другой вопрос. Я думаю, что скорее не нужен. > > Да. Я просто воспользовался случаем обратить внимание, что по > > возможности надо бы избавиться от статической линковки. > > А почему не наоборот? > > Динамическая линковка лишь создаёт иллюзию безопасности за счёт > исправления проблемы в одной библиотеке сразу для всех. Но проблема > может быть в хедерах, а C++ библиотеки всё больше переходят > в хедеры. В итоге может получится, что CVE исправлен, библиотека > обновлена без изменения ABI, а непересобранные приложения всё ещё > уязвимы. А безопаснее всего публиковать только исходники, и пусть пользователи сами пересобирают, как сочтут нужным, правда же? -- ldv