2015-08-20 19:55 GMT+03:00 Alex 'CAVE' Cernat <[email protected]>: > On 20/8/2015 7:40 PM, Petru Rațiu wrote: > > > > Revenind la chestii mai concrete, daca cineva lucreaza cu aplicatii php > > bazate pe composer (si alti prieteni de-ai lui gen laravel) si poate sa > le > > tina in friu intr-un mod mai security-conscious, ziceti-mi si mie > chestii. > > De cautat pe google am cautat da' gasesc in cel mai bun caz de-aia care > > stiu ca "curl | sh" e insecure, trebuie sa dai "curl -o , chmod +x ; > > ./stuff" si mi-au cam murit cei mai rabdatori dintre neuroni. > > > curentul la moda (baga-l-as la 220 pe ala care a inventat moda asta > cretina) e ce a 'rant'-uit tu mai devreme, cu nebunii, module, > update-uri, ca oricum nu dam doi bani pe securitate si ne doare in > paispe de ea, doar e treaba fraierului de admin sa faca asta nu ? > adicatelea pui intr-un conf o caruta de module, de naiba stie cine le-a > facut si ce buguri au, le mai impachetezi cu 2-3 legaturi si gata, te > lauzi ca ai facut aplicatia lu peste prajit > partea buna este ca daca ocolesti putin filosofia default nebuna a lu > composerul lu' laravel si a familiei sale, poti sa faci ce vrea muschii > tai de programator pe serverul de dezvoltare, ca oricum pe ala toata > lumea face teste, dar cand e vorba de productie faci upload la surse ca > atare, fara executabilele sau scripturi de composer, doar > aplicatia/site-ul in sine; la partea de server de productie blindezi > php-ul si sistemul cum crezi de cuviinta si toata lumea e fericita > > pe scurt: isi face programatorul de cap cu compozoare cat vrea pe > dezvoltare, si apoi deploy la site/aplicatie ca atare > daca urla ca e treaba (sau ca tu esti) old fashion ... zi-i ca poate sa > ma pupe si pe mine undeva, dar are de stat la coada > > Alex > > ps: as vrea sa mai vad si eu un programator gandind asa cum trebuie > inainte de a se apuca de munca (nu mai zic de documentatie, ca suntem in > romania) ... dar deh, toate treburile trebuie terminate ieri, si se mai > si schimba specificatiile dupa cum bate vantul >
Adica zici ca astea merg si rulate la el pe statie si de comis si deploy se poate face la codul gata mantzocarit? Asta inseamna ca code review si security acceptance si alte alea se fac pe codul final (caz in care tratez astea ca pe niste scule de development cu care nu vreau sa am de-a face) sau pe codul initial (caz in care procesul de build , deploy, rollback, bla e tot la mine in curte). Ca sa-mi intelegi pozitia, am niste devi care au facut o jucarie (ma rog, jucarie ii zic eu pentru ca n-are treaba cu cardurile, aparent unii-l considera proiect important pentru ca business impact, etc) in chestii de-astea super hipsteresti, iar acu se apropie momentul cand trebuie sa fie si "pe live", si incerc sa ma prind de unde se apuca fara sa te murdaresti de chestii. Inteleg ca e ceva relativ popular si ca posibil se poate folosi si corect, da' sa mor daca gasesc cum. Cu developerii nu prea pot sa fac treaba, ei considera ca si-au terminat misiunea cand codul e comis si trece testele la ei pe statie (iar draciile astea metrosexuale ii ajuta foarte mult cand vine vorba de neglijat probleme de care-mi pasa numai mie). -- P. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
