Debian sareng Fedora nyobian ngungkulan masalah kagumantungan

Distribusi Linux Ubuntu nyanghareupan masalah paningkatan katergantungan tina proyék-proyék, sanaos jumlah kagumantungan pikeun kode Python, Perl sareng Ruby disimpen Dina wates anu wajar, proyek JavaScript latihan ngabagi kana perpustakaan anu leutik pisan, sering ngalakukeun fungsi saderhana.

Repository NPM parantos ngagaduhan langkung ti sajuta bungkus sareng aplikasi anu khas tautan kana ratusan kagumantungan, anu dina gilirannana ngagaduhan katergantungan nyalira, janten hésé pikeun ngajaga sareng ngadistribusikaeun pakét tradisional kalayan aplikasi JavaScript dina distribusi Linux.

Kusabab keterbatasan ketergantungan perpustakaan JavaScript, nganyahokeun pakét naon waé sareng perpustakaan sapertos kitu dina distribusi éta tiasa ngarecah bungkusan anu sanés.

Pangiket vérsi ngégélkeun masalah: Hiji perpustakaan panginten peryogi hiji vérsi katergantungan pikeun ngajalankeun stabil, sareng anu sanésna meryogikeun anu sanés.

Seueur proyek peryogi versi perpustakaan anu paling anyar pikeun jalan, éta henteu salawasna nyumponan sarat stabilitas distribusi (pangwangunan kontinyu dilakukeun dina ékosistem Node.js nganggo vérsi kerangka anu pang anyarna, sareng distribusi peryogi dukungan salami sababaraha taun).

Usaha pikeun ngalereskeun versi pakét dina distribusi nyalira ngakibatkeun paningkatan dina versi luntur dina Repository anu henteu parantos diénggalan mangtaun-taun. Gangguan pangropéa pikeun hiji bungkus mangaruhan pisan kana bungkusan sanésna sareng nyiptakeun langkung seueur masalah.

Salajengna, lgumantungna cross ngakibatkeun kanyataan yén loba perpustakaan tina Node.js janten mustahil pikeun dicabut tina sistemanu, dina gilirannana, nyegah anjeun uninstall program Node.js anu sanés.

Pikeun ngungkulan hal éta, proyék Fedora nembé nyatujuan rencana pikeun ngeureunkeun formasi standar bungkus misah sareng perpustakaan anu dianggo dina proyék-proyék dumasar Node.js.

Anjeunna mutuskeun, dimimitian ku Fedora 34, ngan ukur nyayogikeun paket dasar pikeun Node.js ku juru basa, lulugu, perpustakaan primér, binér, sareng alat manajemén paket dasar (NPM, benang).

Dina aplikasi Repository Fedora anu nganggo Node.js, éta diijinkeun pikeun nyisipkeun sadaya kagumantungan anu aya dina bungkus, tanpa ngabagi sareng misahkeun perpustakaan anu dianggo dina bungkus anu misah.

Perpustakaan ngempelkeun bakal ngaleungitkeun kakusutan pakét alit, nyederhanakeun pangropéa pakét (anu sateuacanna pangurus nyéépkeun waktos langkung seueur pikeun marios sareng uji coba ratusan bungkus sareng perpustakaan tibatan dina paket utama kalayan program), ngahémat infrastruktur tina konflik perpustakaan sareng ngabéréskeun masalah anu aya hubungan sareng vérsi pustaka (pangropéa bakal kalebet versi anu diuji sareng diuji produksi dina bungkus).

Kelemahan integrasi bakal janten komplikasi tina prosés ngabenerkeun pikeun kerentanan di perpustakaan, anu bakal meryogikeun padamel koordinator pikeun sadayana paket anu kalebet perpustakaan anu rentan. Aya bahaya yén bungkus bakal hilap pikeun ngapdet pustaka internal bawaan sareng bungkus bakal henteu diperhatoskeun.

Pamekar ngeunaan Debian ogé nyawalakeun ngalih kana modél integrasi kagumantungan rangkep anu sami. Salaku tambahan kana Node.js, diskusi éta nyentuh ngeunaan nyiptakeun bungkus kanggo platform Kubernetes sareng proyek dina basa PHP sareng Go, anu ngagaduhan kacenderungan dibagi kana kagumantungan alit. Teu acan aya kaputusan anu dicandak, tapi dipiharep antukna waktos masalahna ngan ukur bakal parah sareng gancang atanapi engké proyek kapaksa ngalakukeun hiji hal.

Antarmuka wéb gsa (Greenbone Security Assistant) pikeun gvm (Greenbone Vulnerability Management) scanner kaamanan dicutat salaku conto masalah anu ngagaduhan pakét.

Versi gsa anu dikirim ku Debian ternyata henteu cocog sareng vérsi gvm anu langkung énggal, tapi henteu mungkin pikeun ngapdet gsa kana vérsi ayeuna sabab ngandung parobihan anu penting sareng ngagunakeun npm pikeun ngaunduh perpustakaan Node.js anu diperyogikeun.

Perpustakaan anu dipénta seueur teuing sareng meryogikeun nyiptakeun bungkus énggal dina Debian pikeun saha waé pikeun ngajaga éta, sabab aturan Debian ngalarang ngamuat komponén éksternal nalika prosés ngawangun.

sumber: https://lwn.net/


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Koméntar, tinggalkeun anjeun

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun. Widang diperlukeun téh ditandaan ku *

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.

  1.   Qtkk cenahna

    Fragméntasi ieu kerangka sareng perpustakaan di ECMAscript parantos teu aya tangan.
    Tulisan anu saé.