11 марта 2022 в 20:01
В связи с кризисом на Украине, владельцы composer и packagist решили использовать свое привилегированное положение и пропагандировать в коде свою политическую позицию и мнение. Вчера запустил composer update и там выскочил хештэг с призывом быть на стороне Украины. Политизация данного проекта является неправильной и я не хочу использовать политически ангажированные средства. источники, системы, которые не уважают других пользователей мнение которых может быть просто иным. Поэтому хотел узнать, возможно ли использование друпал без composer ?
Packagist развивается и поддерживается немецкой коммерческой компанией, а packagist ею соответственно спонсируется.
На английском форуме сказали, что можно запретить packagist. Но так не работает composer update . Стоит наверно отказываться от composer но вопрос будет ли работать друпал? И как перейти с системы установленной через composer на систему без него? Несколько сайтов устанавливал как и рекомендовалось через composer.
Спасибо
Комментарии
Да, можно. Но некоторые модули, например commerce, ставятся только через composer из-за большого количества зависимостей
Там уже обсуждение выпилить это сообщение,так что не руби сгоряча технологию.
Тут дело не в технологии, а в том, кто её развивает. Если такие коммиты попадают в мастер, то где гарантия, что завтра там не окажется
сервисных входовбэкдоров?вот вот, и у меня те же мысли.
Сохраняйте "холодный разум", не истерите...
Вчера "ковид", сегодня "войнушка", завтра "эмо-культура".
P.S. Некоторые свою днюху в expires пихают... Но вроде это никого не напрягает )))
И что тут такого? Оно же работает, ничего не блочит. И в призывах ничего криминального, любой здравомыслящий человек это поддерживает, так что пользуйтесь без опасений.
не нужно просто политизировать проект. Как сказали выше: сегодня призывы, а завтра бэкдоры. Кроме того это банальное злоупотребление положением, неуважение к пользователям и навязывание им своего мнения, которое у них может быть просто иным.
А почему вы не создавали подобные темы, когда, к примеру, многие проекты вешали лэйбл "black lives matter"?
Вы занимаетесь демагогией. Никаких блм при composer update я не видел. Если б было, еще б тогда спросил, как отключить эту политически ангажированную фигню.
Считаю, что нужно отвечать только за себя, без обобщений вида «любой здравомыслящий». Иначе сам себя загоняешь в ловушку, так как «нездравомыслящими» будешь считать всех, кто не согласен с тобой или поддерживает другие точки зрения.
Я за код вне политики.
Обсуждение, где Jordi Boggiano просили не навязывать всем свою личную точку зрения, а в итоге он всех послал и остался при своем.
Забей или пользуйся пока форком https://github.com/open-composer/composer
Действительно, ничего криминального, кроме накручивания взаимной ненависти разных социальных групп. Любой здравомыслящий скорее поддержит тэг #StandWithPeace. Но Jordi Boggiano так не устраивает.
Сегодня разработчик начитался Твиттера и внес изменения в код. Завтра он чего начитается и какие внесет правки? Его кто-то заставил? Ему запретили высказываться публично, ходить на демонстрации? Зачем он полез в код? Может быть потому, что его мнение по данному вопросу никому даром не надо?
Полное спокойствие может дать человеку только страховой полис.
Ну, или аудит/сертификация. Долго, дорого, далеко не всегда оправдано. Глобальная проблема всего ПО, железа на недокументированные возможности.
Здесь разработчик решил слить свою репутацию, как профессионала, внеся изменения в код не с целью улучшения, приведения к требованиям, стандартам, а всего-лишь по личным мотивам.
Говорим "спасибо", что изменения не деструктивные, а "ведь мог и полоснуть".
спасибо за ссылку, однако дело не только в composer но и в packagist (см. twitter.com/packagist). Кроме того на сайте composer указано, что их спонсор - packagist. Поэтому там речь не только о Jordi Boggiano но и Nils Adermann , см. packagist.com / about/imprint
Очень уж в Германии переживают за Украину
Очень смешно. В данном случае абсолютно весь цивилизованный солидарен с разработчиком.
PS: на сайте твига сверху слева тоже ненавистный вам хэштег, так что имеет смысл поискать другой шаблонизатор)))
Данная ситуация показала, что «весь цивилизованный мир» — это не то что «большинство», это даже не какая-то значимая часть людей. По реакциям, комментариям, issue и PR можно было увидеть, что немалое количество человек (на самом деле большинство) против добавления политического баннера.
Да и сам термин «цивилизованный мир» — в общем-то расистский термин, отказывающий другим людям/государствам иметь собственные иные мнения.
Реакции и комментарии под issue - не показатель, т.к. юзер, согласный с призывом разработчика, априори не пойдёт искать какие-то ишью по этому поводу.
Слабая тактика — придумывать правила игры на ходу. У тебя для себя есть однозначные показатели «согласности/несогласности», уровня поддержки?
P.S. Можно по-разному вертеть реальность, чтобы на глаза попадались только удобные для личного восприятия грани.
Выбирать ПО исходя из политических предпочтений?
Может еще религию и ориентацию разрабов будем спрашивать?
Автор, вы уверены, что разработчики Битрикса будут с вами согласны ближайшее время?
вы видимо не совсем поняли о чем шла или идет речь.
1. речь в теме все таки не о разработчиках, т.к composer и packagist не относятся к drupal. Так что ваш ответ уже в этом не совсем корректен.
2. меня лично не интересуют ни полит.предпочтения ни религия ни еще что-то разработчиков. Это как раз ребята из packagist (которые содержат и composer) решили что могут навязывать остальным свои политические взгляды пользуясь своим положением.
В этом и проблема. Потому что , как уже заметили выше, сегодня они навязывают свое мнение, завтра начнут вставлять закладки, бэкдоры тем, кто имеет отличное от их мнение. Они могут это реализовать? - легко.
Мне друпал нравится. Хорошая система, но она становится зависимой от тех кто руководит composer и packagist.
3. про битрикс я не понял, объясните
Мне клиент заявил (несложный сайт на Drupal 9), что нужно переходить на "российский" Битрикс.
Потому-что так безопаснее, если блокировки дойдут до CMS.
Я искренне не понимаю, какая блокировка может задеть Drupal, или в теории такое возможно?
Понятно ещё, если JS подгружаются из CDN, но они подключены локально.
Как считаете, Drupal 9 безопасен и никакие блокировки для РФ быть не могут?
что могу заметить, так это то, что битрикс рекомендуется ставить на прожорливый апач (ну или виндовс что еще смешнее), который вроде как тоже буржуйский.
Сайты на Drupal, созданные фрилансерами/компаниями, для которых важна репутация (а не как некоторые), не могут быть централизованно заблокированы или уничтожены, так как код Drupal и контриб-модулей открыт и может быть проверен любым квалифицированным специалистом. Если есть сомнения, то стоит обратиться к местному фрилансеру или компании для проведения аудита кода (с заключением договора). Обычно, это услуга стоит гораздо меньше, чем восстановление сайта или лечение нервного расстройства.
А вот с Битриксом — это не так однозначно. Так как Битрикс — проприетарная (коммерческая) CMS, то, соответственно, она несет в себе любые риски, которые могут быть у коммерческих продуктов. Например, сейчас пишут, что Битрикс переходит на подписную модель и стоимость лицензий возрастет в 4 раза. Добросовестные клиенты ничего поделать с этим не смогут, придется платить. Еще худшие последствия будут, если 1С продаст этот актив, а новые владельцы решат развивать систему в ином направлении.
Очень интересно, как ТЕХНИЧЕСКИ это возможно реализовать?
P.S. Интересен алгоритм выявления "иных мнений".
так же как делали вставку призыва политического содержания. Лично я не вижу никаких проблем в возможности реализации подмены пакетов или неких данных (men in the middle к примеру), коль скоро сам запрос поступает к ним на сервер откуда и скачиваются собственно пакеты.
Сегодня носителем иного мнения является любой русский, к примеру.
Поэтому возник вопрос: а зачем мне некий третий сервис (к тому же политически ангажированный) между моим сервером/сайтом и репозиториями? Потому и спрашиваю: как обойтись без packagist. А поскольку и composer спонсируется тем же (немецким) packagist'ом то возникает вопрос: а как использовать друпал без данного "чудо"-немецкого ушлого сервиса?
Очень сильно сомневаюсь, что опенсорс будет дискредитировать себя русофобией. Последствия будут гораздо хуже, в плане разработки и не только...
Это фальстарт. Проблемы нужно решать по мере их появления, без нагнетания истерики.
Сделать это невозможно. Если будут пытаться заблокируют доступ по ip, то до тех пор, пока в рунете не появятся зеркала, люди будут ходить в гости не в зипунах и кокошниках, а в костюмах народов мира.
Опен-сорс по своей сути защищен от подобного. Собственно, появление Open Composer показало это. Если кто-то начнет вставлять политическую пропаганду в код или захочет блокировать доступ к свободному коду по расовому признаку, то нужно или немного подождать пока не появится нейтральный форк или самому его сделать.
Теоретически - да.
На практике - сколько там прожил коммит с HeartBeat в OpenSSL? Пару лет точно.
Я говорил про другое, про саму возможность появления чистых/нейтральных форков. Очевидно же, что с проприетарным продуктом вообще невозможно иметь такую привилегию. Если к примеру, MS будет при каждом запуске Ворда показывать наг-скрин про BLM или SWU, то с этим придется только смириться. А опенсорс дает возможность открывать фронт цифрового сопротивления навязываемому «единственно правильному мнению цивилизованного большинства».
Ludwig
Тут советуют проводить аудит сайта... Интересует стоимость данного удовольствия.
Я правильно понимаю, что данный аудит необходимо проводить после каждого обновления?
Посчитаем ежегодные затраты.
"Береги честь с молоду..." некоторые разрабы это забыли/забили. И теперь у пользователей (заказчиков) бесплатного софта маячат непредвиденные затраты.
Кто готов порекомендовать заказчику софт от неадеквашек с дополнительными затратами? И кто захочет заказать рабочий инструмент (магазин) с потенциальной угрозой?
Тут должны задуматься разработчики друпала, использовавшие сторонний софт с душком.
Не надо нагнетать истерию на пустом месте. Именно коммерческие CMS, а особенно облачные решения несут риски отключения и блокировок, и мы уже видим примеры из смежных областей. Коммерческие CMS контролируются одной компанией, а пользователи не могут мониторить, контролировать или как-то повлиять на изменения, которые вносятся в код таких решений. Опен-сорс — это цифровая свобода.
Не нужно проводить аудит кода после каждого обновления. Друпал — это опен-сорс продукт. Его разрабатывают люди из разных стран, а не только представители мифического «цивилизованного мира». Если разработчики ядра и(или) контриб-модулей внезапно коллективно сойдут с ума и добавят вредоносный код, то это моментально станет известно:
К тому же важно понимать, что мировое друпал-сообщество — это не какой-то единый организм, который в страстном порыве SWU вдруг начнет цифровой геноцид русских и белорусов. Как в любом сообществе, в нашем есть разные точки зрения на происходящие события. А из-за особенности опен-сорса будет невозможно достичь консенсуса и опустить над гражданами Союзного государства непроницаемый цифровой железный занавес.
Пока ситуация в мире не уляжется и для собственного успокоения можно порекомендовать следующее:
1. Переключиться на работу с местным друпалистом или друпал-студией.
2. Всегда заключать договор.
3. Если сайт разрабатывался фрилансером/компанией из недружественной страны, то задуматься о проведении разового аудита кода. Хотя, если до настоящего момента ваш сайт продолжает работать, то риск цифрового «возмездия» сейчас уже значительно снизился. Но нельзя полностью исключать подобного в будущем.
Вы абсолютно не поняли ни меня ни топикстартера. Речь не идет о качестве самого друпала, а о том что все манипуляции идут через одну программу (композер). Которая не очень адекватно себя повела. Разрабы друпала сложили все свои яйца в одну чужую корзину. Все маневры с друпалом происходят через композер. Без альтернатив.
Это как пользоваться дырявым презервативом. И надеяться, что именно сейчас пронесет. Советы бывалых.
Как по вашему договор должен помочь при действиях третей стороны (композера)?
Качество Друпал в том числе обеспечивается Группой Безопасности, которая следит за тем, чтобы код проекта и модулей оставался безопасным. Это включает и сторонние инструменты и библиотеки, которые которые используются в проекте.
Перед использование ты ведь не относишь на исследование каждый презерватив в специальную лабораторию. В твоем сознании включается выработанный за эпохи эволюции механизм доверия. С Друпалом также. Если команда ядра Друпал, Группа Безопасности и люди поддерживающие экосистему допустят или создадут проблемы, то это будет серьезный или даже критический удар и всему проекту и людям, допустившим подобное.
Для низкобюджетных проектов проблемы с сайтом — это невеликая потеря. В более-менее серьезных проектах в договоре можно указать ответственность исполнителя. А исполнитель может согласовать с заказчиком и заложить в бюджет дополнительные часы на аудит обновлений или найти другой способ, как учесть часы на аудит.
Кстати, использование коммерческих CMS также не дает никаких гарантий. К примеру в лицензионном соглашении 1С-Битрикс прямо сказано:
Ну и в любой непонятной и тревожной ситуации - предохраняйся!
P.S. Речь про бэкапы.
Собственно, уже начали: https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUol...
Из телеграмм https://t.me/ctorecordschat
хм... в планах был переезд на 9-ку... но может пока стоит остаться на семерке...
На семерке можно спокойно до ноября следующего года оставаться. Есть немало времени, чтобы поднять уровень знаний и опыта для девятки.
Тот же commerce без composer и соответственно packagist работать не будет. Да и от использования той же symfony (twig) друпал отказываться не будет да и не сможет вероятно. А там автор (Fabien Potencier) заявляет следующее (на странице ): здесь была цитата, содержащая политические лозунги.
[...]
Все комментарии к данному сообщению помечены как спам, не любит французский автор общения и не приемлет как видно иного мнения. Однако в последнем комменте он отметил: Symfony has a large community in Russia and like Ukraine. I went to Russia more than once and I enjoyed my time there. I know that Russian people will suffer and that makes me sad as well.
Считаю, что нужно подождать. Некоторые люди действуют чрезмерно импульсивно, и это сильно подогревается как глобальной, так и локальной пропагандой. Думаю, постепенно некоторым всё это вконец осточертеет, у других найдутся более важные дела, чем СВО, а кто-то, возможно, увидит события под углом, перпендикулярным тому, что транслируют мейнстримные и локальные СМИ.
Можно без композера по старинке, а потом, когда они перебесятся, мало ли причин по которым люди сходят с ума, обновишь композер.