Deaia a s-au inventat VM-urile. Ca sa vezi ce face codul altora. 2015-08-20 17:40 GMT+01:00 Petru Rațiu <[email protected]>:
> Am si eu o intrebare pt. astia care sunteti mai curent cu ultimele traznai > din domeniul phpistic: chestia numita composer poate fi folosita intr-un > mod care sa nu faca pe cineva moderat de paranoic sa se suie pe pereti? > > *** approximate rant start *** > > Din ce m-am prins pana acum, toata lumea downloadeaza un phar cu traznaia > impachetata si il ruleaza. Exista codul sursa dar nu are nici o > documentatie mai ca pentru prosti de cum se produce acel phar si aparent > nimeni de pe internet n-a mai avut aceasta dilema. So daca te-a incaltat > cineva cu un composer.phar rootkitat, poate sa-ti faca ce chestii vrea pe > proiectele curente si viitoare (si probabil si pe servere, pentru ca lumea > il ruleaza ca root, doh. > > Sarind peste problema de bootstrap (care sa zicem ca s-ar rezolva daca ma > lamuresc ce script trebuie rulat sa compilez traznaia din surse), asta mai > departe trage chestii de pe github sau wherever (e chiar fain, iti trage by > default ultimul commit ca sa ai si tu cele mai noi features/bugs/exploits > ca restul de cool kids) si daca inteleg bine isi face si auto-update, ca de > ce nu. > > Atat proiectul din care rulezi ala cat si dependintele lui pot avea diverse > hookuri si traznai care se ruleaza la update si carora le face review naiba > stie cine (pentru ca pe github e numai cod de calitate si perfect). > si s-a si intimplat. Firma X a cumparat add-on-ul foarte popular din chrome Y ( cu 100k useri ) si a pus ce a vrut in el, pentru ca Chrome nu verifica update-urile. cauta, o sa gasesti exemple. > Pana aici am ajuns inainte sa ma doara capul, sunt convins ca o sa mai am > niste minunate intalniri cu features care sunt valabile doar de la php 9.x > in sus sau cu vreun minunat framework care are alte concepte la fel de > creative. > > *** approximate rant end *** > deaia are PHP safe_mode, disable_functions si alte chestii frumoase. Iei si pui tot frumos intr-un container (in care ai doar apache+php, nu si curl si wget si alte prostii) si gata. Acu serios, inteleg si pana la un punct sustin toata treaba asta cu agile, > fast development, rapid prototyping, etc, etc. Da' diverse alte roti > patrate cu care am mai avut de-a face pana acu mai aveau documentate niste > metode de-a le face cat de cat mai compatibile cu conceptul sysadminaresc > de mediu de productie (si la npm si la rubygems poti sa-ti compilezi sau > obtii din distro package managerul, cu un efort mediu poti preinstala > pachetele cu pricina undeva in sistem a.i. sa nu aibe nevoie sa downloadeze > chestii, e relativ documentat cum poti avea configuri out-of-tree > pt.diverse environments, etc, etc). > Problema care o rezolva compozer (si berkshelf, puppet librarian/r10k si multe altele) e sa tii codul altora la zi si codul tau sa-l ai cu ce versiune vrei tu. Nu te opreste nimeni sa iei v1.2.3 si sa stai cu versiunea aia pe viata, dar daca folosesti tools gen composer atunci poti sa si faci refresh la module fara sa te complici (download manual, etc). Gindeste-te si la containere, nu-ti trebuie RPM si package manager in container e prea "gras". Lumea vrea containere mici, 60-80MB/serviciu. Revenind la chestii mai concrete, daca cineva lucreaza cu aplicatii php > bazate pe composer (si alti prieteni de-ai lui gen laravel) si poate sa le > tina in friu intr-un mod mai security-conscious, ziceti-mi si mie chestii. > De cautat pe google am cautat da' gasesc in cel mai bun caz de-aia care > stiu ca "curl | sh" e insecure, trebuie sa dai "curl -o , chmod +x ; > ./stuff" si mi-au cam murit cei mai rabdatori dintre neuroni. > preferat din php direct + container, cum ziceam mai sus, limiteaza mult de tot environment-ul. > > -- > P. > > PS: peluza din subiect se refera la "get off my lawn" > _______________________________________________ > RLUG mailing list > [email protected] > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
