[devel] zed is alive, baby, for now

[Alexey V. Vissarionov]

Good ${greeting_time}!

On 2025-06-20 20:56:16 +0400, Andrey Limachko wrote:

 > Не понимаю, что такого в том, что приложение загружает
 > бинарники из сети?

Из какой сети? Как осуществляется контроль целостности?
Везде ли он реализован? Что с воспроизводимостью сборки?

 > Так много кто делает, тут уже упомянули об этом.

Если кто-то творит какую-то дурь - обязательно нужно творить
такую же дурь? А зачем?

 > Использование docker'а, к примеру, под эти цели и заточено.

Использование дыркера заточено на тиражирование помоек.

 > На самом деле, стоит подумать не только о загрузке бинарников,
 > но и о любом обращении в сеть в целом.

Здесь все предельно просто: из сборочной среды доступа в сеть
быть не должно. Никакого, нигде и никогда.

То, что тот же хешер умеет unshare() без CLONE_NEWNET - это
функция отладочной среды (в качестве которой его тоже можно
использовать).

 > Обращение в сеть должно быть осознанным для пользователя.

Для пользователя - возможно. В простейшем случае - на уровне
"тут интернет, тут могут и по-всякому".

Для сборочной среды - исключено полностью. Все необходимое
попадает в сборочную среду либо в комплекте исходиников, либо
по списку сборочных зависимостей.

 > К примеру, виджет погоды Gnome ни кого ни о чём не спрашивает.

Остается надеяться, что его запросы наружу если не анонимизированы,
то как минимум неуникальны. Впрочем, это уже забота мейнтейнера.

 > 20 июн. 2025г. 19:51:42 Alexandr Shashkin <dutyrok на altlinux.org>:

- Потому что люди читают сверху вниз.
- Почему нельзя писать ответ перед цитатой?


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net