From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-0.8 required=5.0 tests=BAYES_00, DKIM_ADSP_CUSTOM_MED, FREEMAIL_FORGED_FROMDOMAIN,FREEMAIL_FROM,HEADER_FROM_DIFFERENT_DOMAINS, NML_ADSP_CUSTOM_MED autolearn=no autolearn_force=no version=3.4.1 X-Injected-Via-Gmane: http://gmane.org/ To: sisyphus@lists.altlinux.org From: "Alexei V. Mezin" Date: Sun, 22 Mar 2026 14:26:45 +0300 Message-ID: <10pojll$klk$1@ciao.gmane.io> References: <10je9gj$94d$2@ciao.gmane.io> Mime-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit User-Agent: Mozilla Thunderbird Content-Language: ru In-Reply-To: <10je9gj$94d$2@ciao.gmane.io> Subject: Re: [sisyphus] =?utf-8?b?0KDRg9GB0YHQutC40LUg0L7Qv9C40YHQsNC90LjRjyA=?= =?utf-8?b?0L/QsNC60LXRgtC+0LIg0L3QsCBwLmEubw==?= X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: alexei.mezin@gmail.com, ALT Linux Sisyphus discussions List-Id: ALT Linux Sisyphus discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 22 Mar 2026 11:26:58 -0000 Archived-At: List-Archive: List-Post: 04.01.2026 20:54, Alexei V. Mezin пишет: > > А как у нас устроен вывод русскоязычных описание пакетов на p.a.o? > Ну чтож, раз локализация описаний пакетов -- это секретная технология, скрытая от сообщества, и не имеющая собственного компонента в багзилле, на который можно зарегистрировать ошибку, буду писать об ошибках здесь. Сегодня обновился очередной негодно локализованный пакет: https://packages.altlinux.org/ru/sisyphus/srpms/bubblewrap/ 1. В спеке: Unprivileged sandboxing tool В описании на сайте: Непривилегированный инструмент песочницы В английской фразе нет слова "песочница" как существительного. Там есть слово sandboxing как описание _действия_. Ближайший по смыслу перевод мог бы звучать, например, как "Непривилегированный инструмент для изоляции". Гугл-переводчик предлагает "Инструмент для работы в изолированной среде без привилегий". Далее уже надо учитывать нюансы: инструмент запускается от рута, но делает изолированную среду, которая урезана по привилегиями. Или инструмент запускается от пользователя, и позволяет делать изолированную среду. И эти нюансы знает мэйнтейнер пакета. В любом случае перевод "по словарю" не соответствует реальности. 2. в спеке: Many container runtime tools like systemd-nspawn, docker, etc. focus on providing infrastructure for system administrators and orchestration tools (e.g. Kubernetes) to run containers. These tools are not suitable to give to unprivileged users, because it is trivial to turn such access into to a fully privileged root shell on the host. на сайте: Многие разделяемые инструменты для контейнеров, наподобие ystemd-nspawn, docker и так далее, предоставляют инфраструктуру для системных администраторов и инструментов оркестровки (например, Kubernetes) для запуска контейнеров. Эти инструменты не подходят для непривилегированных пользователей потому что это малозначительно — превращать такой доступ в полностью привилегированную корневую оболочку на хосте. Во-первых, даже в спеке описание пакета неподходящее. Там указано, что вот другие системы типа докера умеют проблемы безопасности. И все. Точка. То, что другие программы имеют проблемы безопасности -- не может являться описанием пакета. Да, на сайте проекта именно в оригинале такое "плохое" описание. И надо читать дальше, и выискивать там фразы типа Bubblewrap could be viewed as setuid implementation of a subset of user namespaces. Emphasis on subset - specifically relevant to the above CVE, bubblewrap does not allow control over iptables. Где, собственно, указано, что же такое программа Bubblewrap, а не перечислены недостатки других проектов. И как-то из них собирать нормальное. понятное описание пакета. Во-вторых. в русской версии описания есть опечатки (ystemd-nspawn). Но это все технические мелочи. (однако, которые невозможно оформить багом) В-третьих, фраза "это малозначительно — превращать такой доступ в полностью привилегированную корневую оболочку на хосте" вообще НЕ ИМЕЕТ НИКАКОГО отношения к оригинальному тексту.Совсем. Никак. Просто бессмысленный в данном контексте набор слов.