<div dir="auto"><div><div><br></div><div><br></div><div data-smartmail="gmail_signature"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">ср, 28 февр. 2024 г., 00:17 Vitaly Lipatov <<a href="mailto:lav@altlinux.ru">lav@altlinux.ru</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Anton Farygin писал(а) 23.2.24 12:56:<br>
> Всем привет.<br>
> <br>
> Глядя на то, с каким трудом Юра собирал <br>
> <a href="https://packages.altlinux.org/ru/sisyphus/srpms/libjxl/" rel="noreferrer noreferrer" target="_blank">https://packages.altlinux.org/ru/sisyphus/srpms/libjxl/</a> я понял, что <br>
> SharedLibsPolicy тяжела для осознания даже опытными ментейнерами с <br>
> большим стажем.<br>
> <br>
> Дополнил SharedLibsPolicy двумя условиями, про выполнение которых часто <br>
> забывают ментейнеры, делая ошибки сборки shared библиотек в отдельные <br>
> подпакеты.<br>
> <br>
...<br>
> Думаю что надо добить SharedLibsPolicy до стадии утверждённой политики <br>
> и внести проверки на обязательное соответствие policy в сборочную <br>
> систему.<br>
<br>
Согласен, что для массово используемых (т.е. известных) библиотек это <br>
просто необходимо, особенно когда они имеют внешних пользователей или <br>
стали де факто частью Linux-системы.<br>
<br>
Но я бы предложил обсудить применение требования policy не ко всем <br>
библиотекам, а ко всем, имеющим больше 3 (т.е. много) пользователей <br>
(пакетов) в репозитории.<br>
Предполагаю, что существует много как бы внутренних библиотек, <br>
упакованных в пакеты lib*, потому что таковы требования — выделять <br>
библиотеки, даже если у них и нет отдельных пользователей. И для них <br>
лишние сложности ни к чему.<br>
<br>
Кстати говоря, у нас не все пакеты с библиотеками имеют префикс lib, а <br>
мы уже хотим суффикс обязательный сделать. Например, вот zlib, bzlib.<br>
<br>
Или в проверке на соответствие policy будет добавлен список исключений?<br>
<br>
Также вот, например, libxxhash:<br>
$ epm --short wd libxxhash<br>
$ apt-cache whatdepends libxxhash<br>
libxxhash-devel<br>
telegram-desktop<br>
texlive<br>
stress-ng<br>
rsync<br>
rpcs3<br>
radare2<br>
python3-module-xxhash<br>
lighttpd<br>
kitty<br>
flycast<br>
dolphin-emu<br>
borg<br>
libblack_hole_solver1<br>
<br>
Вроде бы пора добавлять версию? С другой стороны, мы долгое время <br>
отличались от других систем, что они добавляли soname в название пакета, <br>
а мы нет.<br>
<br>
Кажется, что основной критерий — это то, возможно ли одновременное <br>
существование актуальных приложений, требующих разные версии библиотек.<br>
И если при наличии замкнутого репозитория долгое время удавалось это <br>
обходить удалением пакетов, обновлением всех под новую версию (с <br>
проблемами), то при наличии внешних пользователей к необходимости <br>
присутствия в системе всех ожидаемых ими библиотек (а это может быть и <br>
5-7 лет существования приложения) стоит отнестись серьёзнее.<br>
Например, допускать одновременное существование в репозитории libssl1.1 <br>
и libssl3.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Мне кажется, это неудачный пример. </div><div dir="auto">Версия 1.1 не поддерживается апстримом. Мы введём пользователей в заблуждение, сохраняя такое. </div><div dir="auto"><br></div><div dir="auto">Rgrds, Алексей</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br><br></blockquote></div></div></div>