eepm play загружает, конвертирует из чужих форматов и устанавливает в систему разнообразные пакеты без дополнительных проверок. Нужно хотя бы проверять контрольные суммы, а лучше ставить не в систему а в изолированное окружение.
А что, если генерировать flatpak-пакеты, а не rpm? Так уже какая-никакая изоляция будет.
Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за чего там уже много незакрытых уязвимостей. С остальным play может быть то же самое.
(Ответ для Sergey V Turchin на комментарий #2) > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > самое. Давайте без предположений, пожалуйста. Виталий, что там с chrome?
(Ответ для Sergey V Turchin на комментарий #2) > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > самое. Давайте без предположений, пожалуйста. Виталий, что там с chrome? (Ответ для Sergey V Turchin на комментарий #1) > А что, если генерировать flatpak-пакеты, а не rpm? > Так уже какая-никакая изоляция будет. Это хорошая задача. На неё нужны люди.
(Ответ для AEN на комментарий #4) > (Ответ для Sergey V Turchin на комментарий #2) > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > самое. > Давайте без предположений, пожалуйста. Ок, без предположений. С остальным всем play то же самое. Версии, до которых надо обновлять, указаны вручную и не обновляются. Вот для того пакета, который в p10 https://eepm.ru/releases/3.57.6/app-versions/
(Ответ для Sergey V Turchin на комментарий #5) > (Ответ для AEN на комментарий #4) > > (Ответ для Sergey V Turchin на комментарий #2) > > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > > самое. > > Давайте без предположений, пожалуйста. > Ок, без предположений. > С остальным всем play то же самое. Версии, до которых надо обновлять, > указаны вручную и не обновляются. > Вот для того пакета, который в p10 > https://eepm.ru/releases/3.57.6/app-versions/ Если версию в p10 нельзя обновлять, то что в этом удивительного?? Тем более, бага на Сизифе. Хватит флейма, Сергей. Давайте подождём Виталия.
(Ответ для AEN на комментарий #6) > (Ответ для Sergey V Turchin на комментарий #5) > > (Ответ для AEN на комментарий #4) > > > (Ответ для Sergey V Turchin на комментарий #2) > > > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > > > самое. > > > Давайте без предположений, пожалуйста. > > Ок, без предположений. > > С остальным всем play то же самое. Версии, до которых надо обновлять, > > указаны вручную и не обновляются. > > Вот для того пакета, который в p10 > > https://eepm.ru/releases/3.57.6/app-versions/ > Если версию в p10 нельзя обновлять, то что в этом удивительного?? Т.е. совсем не понимаете, о чём речь? Версия забита в файле по ссылке, который программа качает и смотрит. > Тем более, бага на Сизифе. Вы ищите некие поводы? На Сизифе то же самое. > Хватит флейма, Сергей. Я предоставил аргументы в ответ на вашу же просьбу. Вам они чем-то не понравились? > Давайте подождём Виталия. Ждём уже больше недели, но я не против.
1. Пожалуйста, приведите пример из нескольких пакетов для свежего обновления epm и Сизифе. 2. Пожалуйста, сформулируйте свои предложения по совершенствованию epm. Чем Вы моглибы бы помочь? Извините, но я выхожу из обсуждения до получения ответов на 1 и 2.
(Ответ для AEN на комментарий #8) > Чем Вы моглибы бы помочь? Могу помочь удалить вредоносный софт из репозитория. ;-) Извините, но я выхожу из обсуждения, т.к. разговор односторонний.
Ok. Давайте вернемся к предложению Антона. Виталий, ждём Вас.
(Ответ для Sergey V Turchin на комментарий #1) > А что, если генерировать flatpak-пакеты, а не rpm? > Так уже какая-никакая изоляция будет. Мне нравится.
(Ответ для manowar@altlinux.org на комментарий #11) > (Ответ для Sergey V Turchin на комментарий #1) > > А что, если генерировать flatpak-пакеты, а не rpm? > > Так уже какая-никакая изоляция будет. > > Мне нравится. Мне это тоже нравится. Но. 1. Надо изучить и внедрить технологию 2. Надо генерировать flatpak-пакет на лету, не сохраняя их в хранилище, так как именно такой способ, используемый epm, позволяет реализовать возможный лицензионный запрет на редистрибьюцию. В связи с этим возникает вопрос о помощи Виталию в развитии важного, на мой взгляд, проекта.
По генерации flatpak задача уже есть: https://bugzilla.altlinux.org/45924 Создание контрольных сумм для проверенных приложений уже реализовано. Остаётся добавить проверку на клиентской стороне. По поводу обновления chrome. При выполнении epm play --update обновляются установленные приложения до проверенных с данной версией epm версий. Если выполнить epm play chrome то будет установлена самая последняя версия. Тут вопрос только в том, что вышла заминка с регулярностью обновлений epm. (Ответ для Sergey V Turchin на комментарий #5) ... > С остальным всем play то же самое. Версии, до которых надо обновлять, > указаны вручную и не обновляются. > Вот для того пакета, который в p10 > https://eepm.ru/releases/3.57.6/app-versions/ Желательно не хотеть противоположного. Либо мы разрешаем устанавливать только проверенные версии, либо разрешаем устанавливать самые распоследние версии. Версии, до которых надо обновлять, не «указаны вручную», а зафиксированы для проверенных версий приложений. Чтобы не было неожиданных проблем у пользователей. Так что изначальная гипотеза, что epm play устанавливает в систему «без дополнительных проверок» не совсем состоятельна. > Версия забита в файле по ссылке, который программа качает и смотрит. Что в этом страшного? После реализации проверки контрольных сумм посмотрим на лицензионные ограничения и будем двигаться в сторону репозитория со сконвертированными бинарниками, а также же в сторону репозитория для flatpak.
Виталий, спасибо. Ждем новостей.
(Ответ для Vitaly Lipatov на комментарий #13) > Желательно не хотеть противоположного. Либо мы разрешаем устанавливать > только проверенные версии, либо разрешаем устанавливать самые распоследние > версии. Да деле получается, то либо мы _устанавливаем_ нетестированную последнюю версию, _либо_ _обновляем_ на древнюю когда-то протестированную. > Версии, до которых надо обновлять, не «указаны вручную», а зафиксированы для > проверенных версий приложений. Чтобы не было неожиданных проблем у > пользователей. > Так что изначальная гипотеза, что epm play устанавливает в систему «без > дополнительных проверок» не совсем состоятельна. Я вижу лишь подтверждение, что epm play устанавливает в систему без каких-либо проверок вообще. Что вы там тестировали в своей личной песочнице не имеет отношения, т.к. вы не проверяли _абсолютно_ _недоверенный_ процесс установки у пользователя.
(Ответ для Vitaly Lipatov на комментарий #13) > После реализации проверки контрольных сумм Вангую, что в реальности это будет означать, что epm play _почти_ никогда не будет проверять эти самые контрольные суммы.
