דעביאַן און פעדאָראַ זענען טריינג צו אַדרעס די דיפּענדאַנסיז פּראָבלעם

לינוקס דיסטריביושאַנז האָבן די פּראָבלעם פון ינקריסינג דיפּענדאַנסיז פון די פּראַדזשעקס, כאָטש די נומער פון דיפּענדאַנסיז פֿאַר פּיטהאָן, פּערל און רובי קאָד איז אפגעהיט אין גלייַך לימאַץ, דזשאַוואַסקריפּט פראיעקטן פיר דיוויידינג אין זייער קליין לייברעריז, אָפט דורכפירן אַ פּשוט פונקציע.

די NPM ריפּאַזאַטאָרי האט שוין מער ווי אַ מיליאָן פּאַקידזשיז און טיפּיש אַפּלאַקיישאַנז לינק צו הונדערטער דיפּענדאַנסיזוואָס האָבן זייער אייגענע דעפּענדענסיעס, וואָס מאַכן עס שווער צו טייַנען און פאַרשפּרייטן טראדיציאנעלן פּאַקידזשיז מיט דזשאַוואַסקריפּט אַפּלאַקיישאַנז אויף לינוקס דיסטריביושאַנז.

רעכט צו דער ענג ינטערטוויינינג דיפּענדאַנסיז פון דזשאַוואַסקריפּט ביבליאָטעק, דערהייַנטיקן קיין פּעקל מיט אַזאַ לייברעריז אין אַ פאַרשפּרייטונג עס קענען ברעכן אנדערע פּאַקידזשיז.

ווערסיע בינדינגס יגזאַסערבייט די פּראָבלעם: איין ביבליאָטעק קען דאַרפן איין ווערסיע פון ​​אַ אָפענגיקייַט צו לויפן סטאַביל, און אן אנדערער קען דאַרפן אן אנדער.

אין פילע פּראַדזשעקס, די לעצטע ווערסיעס פון לייברעריז זענען ארבעטן, וואָס טאָן ניט שטענדיק טרעפן די פעסטקייַט באדערפענישן פון די פאַרשפּרייטונג (קעסיידערדיק אַנטוויקלונג איז פּראַקטיסט אין די Node.js יקאָוסיסטאַם מיט די לעצטע ווערסיעס פון פראַמעוואָרקס, און די פאַרשפּרייטונג דאַרף שטיצן פֿאַר עטלעכע יאָרן).

פרווון צו פאַרריכטן פּעקל ווערסיעס בלויז אין די פאַרשפּרייטונג פירן צו אַ פאַרגרעסערן אין אַוטדייטיד ווערסיעס אין די ריפּאַזאַטאָרי וואָס זענען נישט דערהייַנטיקט פֿאַר יאָרן. די דיסראַפּשאַן פון וישאַלט פֿאַר איין פּעקל אַפעקץ פילע אנדערע פּאַקידזשיז און קריייץ אפילו מער פּראָבלעמס.

דערצו, לקרייז דיפּענדאַנסיז פירן צו די פאַקט אַז פילע לייברעריז פון Node.js ווערן אוממעגלעך צו נעם אַוועק פון די סיסטעםוואָס, אין קער, פּריווענץ איר צו נעם אַוועק אנדערע נאָדע.דזשס מגילה.

צו אַדרעס דעם, די Fedora פּרויעקט לעצטנס באוויליקט אַ פּלאַן צו האַלטן די פעליקייַט פאָרמירונג פון באַזונדער פּאַקידזשיז מיט לייברעריז געניצט אין Node.js-באזירט פּראַדזשעקס.

ער באַשלאָסן, סטאַרטינג מיט Fedora 34, צו צושטעלן בלויז באַזע פּאַקידזשיז פֿאַר Node.js מיט אַ יבערזעצער, כעדערז, ערשטיק לייברעריז, בינאַריעס, און יקערדיק פּעקל פאַרוואַלטונג מכשירים (NPM, יאַרן).

אין פעדאָראַ ריפּאַזאַטאָרי אַפּלאַקיישאַנז וואָס נוצן Node.js, עס איז ערלויבט צו ימבעד אַלע יגזיסטינג דיפּענדאַנסיז אין אַ פּעקל, אָן דיוויידינג און סעפּערייטינג די לייברעריז געניצט אין באַזונדער פּאַקידזשיז.

עמבעדדינג לייברעריז וועט באַקומען באַפרייַען פון קליין פּעקל קלאַטער, פאַרפּאָשעטערן פּעקל וישאַלט (ביז אַהער די מאַינטאַינער פארבראכט מער צייט ריוויוינג און טעסטינג פון הונדערטער פּאַקידזשיז מיט לייברעריז ווי אין די הויפּט פּעקל מיט דעם פּראָגראַם), שפּאָרן ינפראַסטראַקטשער פֿון קאָנפליקט. פֿון ביבליאָטעקן און סאָלווע ישוז מיט פֿאַרבינדונג צו ביבליאָטעק ווערסיעס (מאַינטאַינערס וועט אַרייַננעמען טעסטעד און פּראָדוקציע טעסטעד ווערסיעס אין דעם פּעקל)

די דאַונסייד פון ינאַגריישאַן איז דער קאָמפּליצאַציע פון ​​דער פּראָצעס פון ברענגען קערעקשאַנז צו וואַלנעראַביליטיז אין לייברעריז, וואָס וועט דאַרפן אַ קאָואָרדאַנייטיד אַרבעט פון די מיינטיינז פון אַלע פּאַקידזשיז וואָס אַרייַננעמען די שפּירעוודיק ביבליאָטעק. עס איז אַ געפאַר אַז אַ פּעקל וועט פאַרגעסן צו דערהייַנטיקן אַ שפּירעוודיק געבויט-אין ביבליאָטעק און דער פּעקל וועט זיין אַננאָוטיסט.

די דעוועלאָפּערס פון דעביאַן דיסקוטירן אויך באַשטימען צו אַ ענלעך ינאַגריישאַן מאָדעל פון פּעקל דעפּענדענסי. אין אַדישאַן צו Node.js, די דיסקוסיע רירט וועגן די שאַפונג פון פּאַקידזשיז פֿאַר די Kubernetes פּלאַטפאָרמע און פּראַדזשעקס אין די PHP און Go שפּראַכן, פֿאַר וואָס עס איז אַ טענדענץ צו צעטיילן אין קליין דיפּענדאַנסיז. קיין באשלוס איז נאך נישט געמאכט געווארן, אבער מען האפט אז מיט דער צייט וועט דער פראבלעם נאר ווערן ערגער און פריער אדער שפעטער וועט דער פראיעקט ווערן געצוואונגען צו טאן עפעס.

די GSA (Greenbone Security Assistant) וועב צובינד פֿאַר די גוום (Greenbone Vulnerability Management) זיכערהייט סקאַננער איז סייטאַד ווי אַ ביישפּיל פון די פּראָבלעמס אַז פּעקל מיינטיינז האָבן.

די דעביאַן-שיפּט ווערסיע פון ​​gsa איז געווען ינקאַמפּאַטאַבאַל מיט נייַער ווערסיעס פון gvm, אָבער עס איז ניט מעגלעך צו דערהייַנטיקן gsa צו די קראַנט ווערסיע, ווייַל עס כּולל באַטייטיק ענדערונגען און ניצט npm צו אָפּלאָדירן די נויטיק נאָדע.דזשס לייברעריז.

די פארלאנגט ביבליאָטעקן זענען צו פילע און דאַרפן שאַפֿן נייַע פּאַקידזשיז אין דעביאַן פֿאַר עמעצער צו האַלטן זיי, ווייַל דעביאַן כּללים פאַרווערן לאָודינג פונדרויסנדיק קאַמפּאָונאַנץ בעשאַס די בויען פּראָצעס.

מקור: https://lwn.net/


דער אינהאַלט פון דעם אַרטיקל אַדכיר צו אונדזער פּרינציפּן פון לייט עטיקס. צו מעלדונג אַ טעות גיט דאָ.

א באַמערקונג, לאָזן דיין

לאָזן דיין באַמערקונג

אייער בליצפּאָסט אַדרעס וועט נישט זייַן ארויס. Required fields זענען אנגעצייכנט מיט *

*

*

  1. פאַראַנטוואָרטלעך פֿאַר די דאַטן: Miguel Ángel Gatón
  2. ציל פון די דאַטן: קאָנטראָל ספּאַם, קאָמענטאַר פאַרוואַלטונג.
  3. לעגיטימאַטיאָן: דיין צושטימען
  4. קאָמוניקאַציע פון ​​די דאַטן: די דאַטן וועט נישט זיין קאַמיונאַקייטיד צו דריט פּאַרטיעס אַחוץ דורך לעגאַל פליכט.
  5. דאַטן סטאָרידזש: דאַטאַבייס כאָוסטיד דורך Occentus Networks (EU)
  6. רעכט: צו קיין צייט איר קענט באַגרענעצן, צוריקקריגן און ויסמעקן דיין אינפֿאָרמאַציע.

  1.   קטק דאָס

    די פראַגמאַנטיישאַן פון פראַמעוואָרקס און לייברעריז אין עקמאַסקריפּט איז גאַט אויס פון האַנט.
    גוטע אַרטיקל.