Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Google представил проект OSS Rebuild для выявления скрытых изменений в пакетах"	+/–
Сообщение от opennews (??), 22-Июл-25, 09:52
Компания Google представила проект OSS Rebuild, предназначенный для выявления скрытых изменений в готовых пакетах, публикуемых в репозиториях. Работа OSS Rebuild основана на концепции воспроизводимых сборок и сводится к проверке соответствия размещённого в репозитории пакета с пакетом полученным на основе пересборки из эталонного исходного кода, соответствующего заявленной версии пакета. Код инструментария написан на языке Go и распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63613
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 22-Июл-25, 09:52	–2 +/–
Но OSS - это же open sound system.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #19

3. Сообщение от Аноним (3), 22-Июл-25, 09:55	+12 +/–
> В качестве примеров разных методов атак, от которых мог бы защитить OSS Rebuild, приводится добавление бэкдора в XZ Не мог бы. Xz написан на Си, а OSS не поддерживает его аудит.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (7), 22-Июл-25, 10:27	+/–
Полезная вещь. Особенно для npm. В идеале это должны реализовывать сами репозитории библиотек, но это требует больших ресурсов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #10

7. Сообщение от Аноним (7), 22-Июл-25, 10:30	+11 +/–
Но OSS - это же Open Source Software Operations Support System Open Search Server Object Storage Service Open Subsurface Studio Office for Strategic Services Operational Support Services One Stop Shop Operational Support System Online Self-Study Out-of-School Suspension Ovarian Stimulation Syndrome Operational Safety Standards
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #23, #31

9. Сообщение от Аноним (9), 22-Июл-25, 10:47	+1 +/–
В идеале в е должно быть в стандартной библиотеке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #40

10. Сообщение от Аноним (10), 22-Июл-25, 10:55	+1 +/–
Полезная вещь. Особенно для сишных проектов, в которых мейнтейнеры дистров ревьюят гит, но скачивают при этом тарбол, который никто не ревьюит вообще. А чо, гит же отревьюили, нахрена еще и тарбол ревьюить, гы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #14, #15

11. Сообщение от Аноним (11), 22-Июл-25, 11:02	+2 +/–
И что в итоге то проверяется? Даже crates.io с компилируемым Rust хранятся только исходники, без прекомпилированных бинарников, в том числе и из-за опасений подмены бинарников, а уж интерпретируемые питон и джаваскрипт тем более. Кого этот OSS собирает?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #18, #26

13. Сообщение от Аноним (7), 22-Июл-25, 11:09	+/–
Так там не только бинарники тестируют. Ещё и самые частые векторы атак. У питона вообще самые популярные ML библиотеки написаны на C или других низкоуровневых языках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от Аноним (7), 22-Июл-25, 11:11	+/–
Я вообще удивился, что они не с гита собирают сами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #17

15. Сообщение от ez (?), 22-Июл-25, 11:14	–1 +/–
полезная но бесполезная. не видно в списке поддержки сишки. а только мантейнеры сишных проектов так делают? и виновата в этом сишка наверное? ну и луддиты/извощики/динозавры ещё?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

17. Сообщение от Аноним (17), 22-Июл-25, 11:59	+/–
О чем речь вообще?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #22

18. Сообщение от Аноним (18), 22-Июл-25, 12:06	+/–
>интерпретируемые аналитика как она есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #25, #27

19. Сообщение от Аноним (19), 22-Июл-25, 12:11	+/–
Это у них в BSD. У нас ALSA.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #32, #42

20. Сообщение от Аноним (20), 22-Июл-25, 12:19	+/–
Где то я такое уже видел
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

22. Сообщение от Аноним (22), 22-Июл-25, 12:45	–1 +/–
тарбол заливали отдельно а не собирался из гита
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #37

23. Сообщение от Аноним (23), 22-Июл-25, 13:02	+1 +/–
Ты искусственный интеллект?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

25. Сообщение от 12yoexpert (ok), 22-Июл-25, 13:59	+/–
веб-синьоры как они есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (26), 22-Июл-25, 14:32	+/–
> Дополнительно можно упомянуть разногласия в сообществе, возникшие из-за перехода разработчиков фреймворка Serde на поставку crate-пакета serde_derive с макросом derive только в уже скомпилированном бинарном виде. Даже crates.io https://www.opennet.me/opennews/art.shtml?num=59656
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

27. Сообщение от Аноним (27), 22-Июл-25, 16:36	+/–
Просто сейчас появилось огромное количество случайных войтивойтишников. Их даже на курсах такие же вошедшие учат, что питон - интерпретируемый язык. И никому там дела нет, что интерпретируется уже скомпилированный байт-код, а не строка на питоне. Ведь у них есть интерпретатор, а компилятор они не видят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #35, #38

28. Сообщение от Соль земли2 (?), 22-Июл-25, 16:53	+/–
В компьютере?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

31. Сообщение от Аноним (-), 22-Июл-25, 17:58	–2 +/–
>Open Source Software Такого устойчивого сочетания слов не существует. Не перевирай. Есть просто Open Source, если надо добавить третье слово то, будет просто Open Source Initiative. Ниже по списку тоже много чего напридумывал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #33

32. Сообщение от Аноним (-), 22-Июл-25, 18:02	+/–
7 лет назад конфигурировал и компилировал ядро, видел в меню утилиты menuconfig звуковую систему OSS. Я всегда выбирал ALSA. Все дистростроители тоже как-то обходили OSS стороной. Видимо он давно считался устаревшим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

33. Сообщение от Эксконтрибутор FreeBSD (?), 22-Июл-25, 18:04	+2 +/–
https://en.wikipedia.org/wiki/Open-source_software Настолько не существует, что аж статья в википедии есть уже лет 20, дольше, чем ты живешь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #44

34. Сообщение от Аноним (34), 22-Июл-25, 18:34	+1 +/–
Вот, а некоторые ещё тут пытаются троллить гентушников.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

35. Сообщение от Аноним (35), 22-Июл-25, 19:02	+1 +/–
Это как-то отменяет тот факт, что Питон — интерпретируемый язык?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #43

36. Сообщение от Аноним (9), 22-Июл-25, 19:04	–1 +/–
На то он и гентущник, чтобы его троллить. Здоровый лоб, а изображает из себя молодого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от Аноним (9), 22-Июл-25, 19:05	+/–
Гит на то и гит что в нем разработка релиз это отдельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

38. Сообщение от 12yoexpert (ok), 22-Июл-25, 19:13	–2 +/–
> уже скомпилированный байт-код говори себе это почаще, глядишь, и питон перестанет быть интерпретируемым языком и тормозить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

39. Сообщение от pda (ok), 22-Июл-25, 19:40	+/–
Ого, ADinf изобрели... :)
Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от penetrator (?), 22-Июл-25, 20:01	+/–
согласен, npm hell это нечто
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

42. Сообщение от aaa (??), 22-Июл-25, 20:32	+/–
в BSD - это в Bharatiya Suraksha Dal? (шутка)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

43. Сообщение от Аноним (43), 22-Июл-25, 20:33	+/–
Интерпретируемой или компилируемой может быть реализация языка. Язык может быть и тем и другим. Компиляция не означает преобразование в машинный код. Нельзя путать её с компилятором. Есть разные языки, которые компилируются в другие языки. Пример: dart -> js, ts -> ts, vala -> c и т.п. Преобразованием в любой другой код занимается трансляция. Что там компилируется перед интерпретацией? Компилируется питон. А что там интерпретируется? Интерпретируется байт-код, а питона уже нет. С чего бы тогда питону быть интерпретируемым, если от питона к моменту интерпретации ничего не осталось? И как бы наличие компиляции до интерпретации уже говорит, что питон не интерпретируемый язык. Как и наличие кучи компиляторов для python.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

44. Сообщение от Аноним (-), 22-Июл-25, 21:08	+/–
Слsim умник. Это энциклопедия, есть много пересекающихся аббревиатур, поэтому они вынуждены были приписать дополнительное слово ¨software¨.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

45. Сообщение от ятупойтролль (ok), 22-Июл-25, 21:46	+/–
а мд5 пакета хранить рядом с файлом если?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема