From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <cas@altlinux.org>
Message-ID: <94ceeb51-0f09-4330-ba6d-db8b48fdf985@altlinux.org>
Date: Sun, 22 Mar 2026 21:29:21 +0300
MIME-Version: 1.0
User-Agent: Mozilla Thunderbird
To: sisyphus@lists.altlinux.org
References: <10je9gj$94d$2@ciao.gmane.io> <10pojll$klk$1@ciao.gmane.io>
Content-Language: ru
From: Andrey Cherepanov <cas@altlinux.org>
In-Reply-To: <10pojll$klk$1@ciao.gmane.io>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [sisyphus]
 =?utf-8?b?0KDRg9GB0YHQutC40LUg0L7Qv9C40YHQsNC90LjRjyA=?=
 =?utf-8?b?0L/QsNC60LXRgtC+0LIg0L3QsCBwLmEubw==?=
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
 <mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
 <mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sun, 22 Mar 2026 18:29:25 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/94ceeb51-0f09-4330-ba6d-db8b48fdf985@altlinux.org/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

22.03.2026 14:26, Alexei V. Mezin пишет:
> 04.01.2026 20:54, Alexei V. Mezin пишет:
>>
>> А как у нас устроен вывод русскоязычных описание пакетов на p.a.o?
>>
>
> Ну чтож, раз локализация описаний пакетов -- это секретная технология, 
> скрытая от сообщества, и не имеющая собственного компонента в 
> багзилле, на который можно зарегистрировать ошибку, буду писать об 
> ошибках здесь.
>
> Сегодня обновился очередной негодно локализованный пакет: 
> https://packages.altlinux.org/ru/sisyphus/srpms/bubblewrap/
>
>
> 1.
> В спеке: Unprivileged sandboxing tool
> В описании на сайте: Непривилегированный инструмент песочницы
>
> В английской фразе нет слова "песочница" как существительного. Там 
> есть слово sandboxing как описание _действия_. Ближайший по смыслу 
> перевод мог бы звучать, например, как "Непривилегированный инструмент 
> для изоляции". Гугл-переводчик предлагает "Инструмент для работы в 
> изолированной среде без привилегий".
>
>
> Далее уже надо учитывать нюансы: инструмент запускается от рута, но 
> делает изолированную среду, которая урезана по привилегиями. Или 
> инструмент запускается от пользователя, и позволяет делать 
> изолированную среду. И эти нюансы знает мэйнтейнер пакета.
>
> В любом случае перевод "по словарю" не соответствует реальности.
>
>
> 2.
> в спеке:
>
> Many container runtime tools like systemd-nspawn, docker, etc. focus 
> on providing
> infrastructure for system administrators and orchestration tools (e.g. 
> Kubernetes) to run containers.
>
> These tools are not suitable to give to unprivileged users,
> because it is trivial to turn such access into to a fully privileged 
> root shell on the host.
>
> на сайте:
> Многие разделяемые инструменты для контейнеров, наподобие
> ystemd-nspawn, docker и так далее, предоставляют инфраструктуру
> для системных администраторов и инструментов оркестровки
> (например, Kubernetes) для запуска контейнеров.
>
> Эти инструменты не подходят для непривилегированных пользователей
> потому что это малозначительно — превращать такой доступ в полностью
> привилегированную корневую оболочку на хосте.
>
>
> Во-первых, даже в спеке описание пакета неподходящее. Там указано, что 
> вот другие системы типа докера умеют проблемы безопасности. И все. 
> Точка. То, что другие программы имеют проблемы безопасности -- не 
> может являться описанием пакета.
>
> Да, на сайте проекта именно в оригинале такое "плохое" описание. И 
> надо читать дальше, и выискивать там фразы типа
>
> Bubblewrap could be viewed as setuid implementation of a subset of 
> user namespaces. Emphasis on subset - specifically relevant to the 
> above CVE, bubblewrap does not allow control over iptables.
>
> Где, собственно, указано, что же такое программа Bubblewrap, а не 
> перечислены недостатки других проектов. И как-то из них собирать 
> нормальное. понятное описание пакета.
>
> Во-вторых. в русской версии описания есть опечатки (ystemd-nspawn). Но 
> это все технические мелочи. (однако, которые невозможно оформить багом)
>
>
> В-третьих, фраза "это малозначительно — превращать такой доступ в 
> полностью привилегированную корневую оболочку на хосте" вообще НЕ 
> ИМЕЕТ НИКАКОГО отношения к оригинальному тексту.Совсем. Никак. Просто 
> бессмысленный в данном контексте набор слов.
Нет, технология не секретная, но в потребительском обществе абсолютно 
никому не нужная. Наслаждайтесь потугами ИИ,

-- 
Andrey Cherepanov
cas@altlinux.org