Можно ли использовать drupal без composer и packagist

Главные вкладки

Аватар пользователя alexeye alexeye 11 марта 2022 в 20:01
1

В связи с кризисом на Украине, владельцы composer и packagist решили использовать свое привилегированное положение и пропагандировать в коде свою политическую позицию и мнение. Вчера запустил composer update и там выскочил хештэг с призывом быть на стороне Украины. Политизация данного проекта является неправильной и я не хочу использовать политически ангажированные средства. источники, системы, которые не уважают других пользователей мнение которых может быть просто иным. Поэтому хотел узнать, возможно ли использование друпал без composer ?
Packagist развивается и поддерживается немецкой коммерческой компанией, а packagist ею соответственно спонсируется.

На английском форуме сказали, что можно запретить packagist. Но так не работает composer update . Стоит наверно отказываться от composer но вопрос будет ли работать друпал? И как перейти с системы установленной через composer на систему без него? Несколько сайтов устанавливал как и рекомендовалось через composer.

Спасибо

Комментарии

Аватар пользователя ivnish ivnish 11 марта 2022 в 20:07
1

Да, можно. Но некоторые модули, например commerce, ставятся только через composer из-за большого количества зависимостей

Аватар пользователя Andruxa Andruxa 11 марта 2022 в 22:11

Тут дело не в технологии, а в том, кто её развивает. Если такие коммиты попадают в мастер, то где гарантия, что завтра там не окажется сервисных входов бэкдоров?

Аватар пользователя adano adano 11 марта 2022 в 22:59

Сохраняйте "холодный разум", не истерите...
Вчера "ковид", сегодня "войнушка", завтра "эмо-культура".

P.S. Некоторые свою днюху в expires пихают... Но вроде это никого не напрягает )))

Аватар пользователя gun_dose gun_dose 12 марта 2022 в 1:17
1

И что тут такого? Оно же работает, ничего не блочит. И в призывах ничего криминального, любой здравомыслящий человек это поддерживает, так что пользуйтесь без опасений.

Аватар пользователя alexeye alexeye 12 марта 2022 в 1:33
1

не нужно просто политизировать проект. Как сказали выше: сегодня призывы, а завтра бэкдоры. Кроме того это банальное злоупотребление положением, неуважение к пользователям и навязывание им своего мнения, которое у них может быть просто иным.

Аватар пользователя alexeye alexeye 12 марта 2022 в 2:02
2

Вы занимаетесь демагогией. Никаких блм при composer update я не видел. Если б было, еще б тогда спросил, как отключить эту политически ангажированную фигню.

Аватар пользователя madt madt 14 марта 2022 в 20:23
3

Считаю, что нужно отвечать только за себя, без обобщений вида «любой здравомыслящий». Иначе сам себя загоняешь в ловушку, так как «нездравомыслящими» будешь считать всех, кто не согласен с тобой или поддерживает другие точки зрения.

Я за код вне политики.

Аватар пользователя nzytsprim nzytsprim 12 марта 2022 в 3:37
4

pselfin wrote: Там уже обсуждение выполнить это сообщение,так что не руби сгоряча технологию.

Обсуждение, где Jordi Boggiano просили не навязывать всем свою личную точку зрения, а в итоге он всех послал и остался при своем.

alexeye wrote: Стоит наверно отказываться от composer...

Забей или пользуйся пока форком https://github.com/open-composer/composer

gun_dose wrote: И в призывах ничего криминального, любой здравомыслящий человек это поддерживает

Действительно, ничего криминального, кроме накручивания взаимной ненависти разных социальных групп. Любой здравомыслящий скорее поддержит тэг #StandWithPeace. Но Jordi Boggiano так не устраивает.

alexeye wrote: Как сказали выше: сегодня призывы, а завтра бэкдоры...

Сегодня разработчик начитался Твиттера и внес изменения в код. Завтра он чего начитается и какие внесет правки? Его кто-то заставил? Ему запретили высказываться публично, ходить на демонстрации? Зачем он полез в код? Может быть потому, что его мнение по данному вопросу никому даром не надо?

Andruxa wrote: где гарантия, что завтра там не окажется сервисных входов бэкдоров?

Полное спокойствие может дать человеку только страховой полис. Smile Ну, или аудит/сертификация. Долго, дорого, далеко не всегда оправдано. Глобальная проблема всего ПО, железа на недокументированные возможности.
Здесь разработчик решил слить свою репутацию, как профессионала, внеся изменения в код не с целью улучшения, приведения к требованиям, стандартам, а всего-лишь по личным мотивам.
Говорим "спасибо", что изменения не деструктивные, а "ведь мог и полоснуть".

Аватар пользователя alexeye alexeye 12 марта 2022 в 4:33

nzytsprim wrote: Забей или пользуйся пока форком https://github.com/open-composer/composer

спасибо за ссылку, однако дело не только в composer но и в packagist (см. twitter.com/packagist). Кроме того на сайте composer указано, что их спонсор - packagist. Поэтому там речь не только о Jordi Boggiano но и Nils Adermann , см. packagist.com / about/imprint
Очень уж в Германии переживают за Украину

Аватар пользователя gun_dose gun_dose 12 марта 2022 в 9:43

nzytsprim wrote: Здесь разработчик решил слить свою репутацию

Очень смешно. В данном случае абсолютно весь цивилизованный солидарен с разработчиком.

PS: на сайте твига сверху слева тоже ненавистный вам хэштег, так что имеет смысл поискать другой шаблонизатор)))

Аватар пользователя madt madt 14 марта 2022 в 20:38
1

Данная ситуация показала, что «весь цивилизованный мир» — это не то что «большинство», это даже не какая-то значимая часть людей. По реакциям, комментариям, issue и PR можно было увидеть, что немалое количество человек (на самом деле большинство) против добавления политического баннера.

Да и сам термин «цивилизованный мир» — в общем-то расистский термин, отказывающий другим людям/государствам иметь собственные иные мнения.

Аватар пользователя gun_dose gun_dose 14 марта 2022 в 23:37

Реакции и комментарии под issue - не показатель, т.к. юзер, согласный с призывом разработчика, априори не пойдёт искать какие-то ишью по этому поводу.

Аватар пользователя madt madt 15 марта 2022 в 15:30
1

gun_dose wrote:
Реакции и комментарии под issue - не показатель, т.к. юзер, согласный с призывом разработчика, априори не пойдёт искать какие-то ишью по этому поводу.

Слабая тактика — придумывать правила игры на ходу. У тебя для себя есть однозначные показатели «согласности/несогласности», уровня поддержки?

P.S. Можно по-разному вертеть реальность, чтобы на глаза попадались только удобные для личного восприятия грани.

Аватар пользователя VasyOK VasyOK 14 марта 2022 в 15:17

Выбирать ПО исходя из политических предпочтений?
Может еще религию и ориентацию разрабов будем спрашивать?
Автор, вы уверены, что разработчики Битрикса будут с вами согласны ближайшее время?

Аватар пользователя alexeye alexeye 14 марта 2022 в 18:42
2

вы видимо не совсем поняли о чем шла или идет речь.
1. речь в теме все таки не о разработчиках, т.к composer и packagist не относятся к drupal. Так что ваш ответ уже в этом не совсем корректен.
2. меня лично не интересуют ни полит.предпочтения ни религия ни еще что-то разработчиков. Это как раз ребята из packagist (которые содержат и composer) решили что могут навязывать остальным свои политические взгляды пользуясь своим положением.
В этом и проблема. Потому что , как уже заметили выше, сегодня они навязывают свое мнение, завтра начнут вставлять закладки, бэкдоры тем, кто имеет отличное от их мнение. Они могут это реализовать? - легко.
Мне друпал нравится. Хорошая система, но она становится зависимой от тех кто руководит composer и packagist.
3. про битрикс я не понял, объясните

Аватар пользователя as87 as87 14 марта 2022 в 18:42

Мне клиент заявил (несложный сайт на Drupal 9), что нужно переходить на "российский" Битрикс.
Потому-что так безопаснее, если блокировки дойдут до CMS.
Я искренне не понимаю, какая блокировка может задеть Drupal, или в теории такое возможно?
Понятно ещё, если JS подгружаются из CDN, но они подключены локально.

Как считаете, Drupal 9 безопасен и никакие блокировки для РФ быть не могут?

Аватар пользователя alexeye alexeye 14 марта 2022 в 19:01

что могу заметить, так это то, что битрикс рекомендуется ставить на прожорливый апач (ну или виндовс что еще смешнее), который вроде как тоже буржуйский.

Аватар пользователя madt madt 30 марта 2022 в 16:07

Сайты на Drupal, созданные фрилансерами/компаниями, для которых важна репутация (а не как некоторые), не могут быть централизованно заблокированы или уничтожены, так как код Drupal и контриб-модулей открыт и может быть проверен любым квалифицированным специалистом. Если есть сомнения, то стоит обратиться к местному фрилансеру или компании для проведения аудита кода (с заключением договора). Обычно, это услуга стоит гораздо меньше, чем восстановление сайта или лечение нервного расстройства.

А вот с Битриксом — это не так однозначно. Так как Битрикс — проприетарная (коммерческая) CMS, то, соответственно, она несет в себе любые риски, которые могут быть у коммерческих продуктов. Например, сейчас пишут, что Битрикс переходит на подписную модель и стоимость лицензий возрастет в 4 раза. Добросовестные клиенты ничего поделать с этим не смогут, придется платить. Еще худшие последствия будут, если 1С продаст этот актив, а новые владельцы решат развивать систему в ином направлении.

Аватар пользователя adano adano 14 марта 2022 в 19:58

alexeye wrote: Потому что , как уже заметили выше, сегодня они навязывают свое мнение, завтра начнут вставлять закладки, бэкдоры тем, кто имеет отличное от их мнение. Они могут это реализовать? - легко.

Очень интересно, как ТЕХНИЧЕСКИ это возможно реализовать?
P.S. Интересен алгоритм выявления "иных мнений".

Аватар пользователя alexeye alexeye 14 марта 2022 в 20:27

так же как делали вставку призыва политического содержания. Лично я не вижу никаких проблем в возможности реализации подмены пакетов или неких данных (men in the middle к примеру), коль скоро сам запрос поступает к ним на сервер откуда и скачиваются собственно пакеты.
Сегодня носителем иного мнения является любой русский, к примеру.

Поэтому возник вопрос: а зачем мне некий третий сервис (к тому же политически ангажированный) между моим сервером/сайтом и репозиториями? Потому и спрашиваю: как обойтись без packagist. А поскольку и composer спонсируется тем же (немецким) packagist'ом то возникает вопрос: а как использовать друпал без данного "чудо"-немецкого ушлого сервиса?

Аватар пользователя adano adano 14 марта 2022 в 20:48
1

Очень сильно сомневаюсь, что опенсорс будет дискредитировать себя русофобией. Последствия будут гораздо хуже, в плане разработки и не только...

Аватар пользователя madt madt 14 марта 2022 в 20:56

Сделать это невозможно. Если будут пытаться заблокируют доступ по ip, то до тех пор, пока в рунете не появятся зеркала, люди будут ходить в гости не в зипунах и кокошниках, а в костюмах народов мира.

Аватар пользователя madt madt 14 марта 2022 в 20:45

alexeye wrote: В этом и проблема. Потому что , как уже заметили выше, сегодня они навязывают свое мнение, завтра начнут вставлять закладки, бэкдоры тем, кто имеет отличное от их мнение. Они могут это реализовать? - легко.
Мне друпал нравится. Хорошая система, но она становится зависимой от тех кто руководит composer и packagist.

Опен-сорс по своей сути защищен от подобного. Собственно, появление Open Composer показало это. Если кто-то начнет вставлять политическую пропаганду в код или захочет блокировать доступ к свободному коду по расовому признаку, то нужно или немного подождать пока не появится нейтральный форк или самому его сделать.

Аватар пользователя madt madt 16 марта 2022 в 1:06
1

Я говорил про другое, про саму возможность появления чистых/нейтральных форков. Очевидно же, что с проприетарным продуктом вообще невозможно иметь такую привилегию. Если к примеру, MS будет при каждом запуске Ворда показывать наг-скрин про BLM или SWU, то с этим придется только смириться. А опенсорс дает возможность открывать фронт цифрового сопротивления навязываемому «единственно правильному мнению цивилизованного большинства».

Аватар пользователя vladtulku vladtulku 15 марта 2022 в 3:51

Тут советуют проводить аудит сайта... Интересует стоимость данного удовольствия.
Я правильно понимаю, что данный аудит необходимо проводить после каждого обновления?
Посчитаем ежегодные затраты.

"Береги честь с молоду..." некоторые разрабы это забыли/забили. И теперь у пользователей (заказчиков) бесплатного софта маячат непредвиденные затраты.
Кто готов порекомендовать заказчику софт от неадеквашек с дополнительными затратами? И кто захочет заказать рабочий инструмент (магазин) с потенциальной угрозой?

Тут должны задуматься разработчики друпала, использовавшие сторонний софт с душком.

Аватар пользователя madt madt 16 марта 2022 в 1:17
1

vladtulku wrote: Кто готов порекомендовать заказчику софт от неадеквашек с дополнительными затратами? И кто захочет заказать рабочий инструмент (магазин) с потенциальной угрозой?

Не надо нагнетать истерию на пустом месте. Именно коммерческие CMS, а особенно облачные решения несут риски отключения и блокировок, и мы уже видим примеры из смежных областей. Коммерческие CMS контролируются одной компанией, а пользователи не могут мониторить, контролировать или как-то повлиять на изменения, которые вносятся в код таких решений. Опен-сорс — это цифровая свобода.

vladtulku wrote: Я правильно понимаю, что данный аудит необходимо проводить после каждого обновления?

Не нужно проводить аудит кода после каждого обновления. Друпал — это опен-сорс продукт. Его разрабатывают люди из разных стран, а не только представители мифического «цивилизованного мира». Если разработчики ядра и(или) контриб-модулей внезапно коллективно сойдут с ума и добавят вредоносный код, то это моментально станет известно:

  • независимые организации/сообщества, которые занимаются вопросами безопасности, открыто опубликуют результаты своих исследований;
  • фрилансеры и компании, разрабатывающие проекты на базе Drupal, очень быстро раструбят появление «официального» вредоноса;
  • на drupal.ru и братских ресурсах появится материал о таком событии.

К тому же важно понимать, что мировое друпал-сообщество — это не какой-то единый организм, который в страстном порыве SWU вдруг начнет цифровой геноцид русских и белорусов. Как в любом сообществе, в нашем есть разные точки зрения на происходящие события. А из-за особенности опен-сорса будет невозможно достичь консенсуса и опустить над гражданами Союзного государства непроницаемый цифровой железный занавес.

Пока ситуация в мире не уляжется и для собственного успокоения можно порекомендовать следующее:

1. Переключиться на работу с местным друпалистом или друпал-студией.
2. Всегда заключать договор.
3. Если сайт разрабатывался фрилансером/компанией из недружественной страны, то задуматься о проведении разового аудита кода. Хотя, если до настоящего момента ваш сайт продолжает работать, то риск цифрового «возмездия» сейчас уже значительно снизился. Но нельзя полностью исключать подобного в будущем.

Аватар пользователя vladtulku vladtulku 16 марта 2022 в 18:06
1

Вы абсолютно не поняли ни меня ни топикстартера. Речь не идет о качестве самого друпала, а о том что все манипуляции идут через одну программу (композер). Которая не очень адекватно себя повела. Разрабы друпала сложили все свои яйца в одну чужую корзину. Все маневры с друпалом происходят через композер. Без альтернатив.

Не нужно проводить аудит кода после каждого обновления.

Это как пользоваться дырявым презервативом. И надеяться, что именно сейчас пронесет. Советы бывалых.

2. Всегда заключать договор.

Как по вашему договор должен помочь при действиях третей стороны (композера)?

Аватар пользователя madt madt 29 марта 2022 в 20:06

Качество Друпал в том числе обеспечивается Группой Безопасности, которая следит за тем, чтобы код проекта и модулей оставался безопасным. Это включает и сторонние инструменты и библиотеки, которые которые используются в проекте.

vladtulku wrote: Это как пользоваться дырявым презервативом. И надеяться, что именно сейчас пронесет. Советы бывалых.

Перед использование ты ведь не относишь на исследование каждый презерватив в специальную лабораторию. В твоем сознании включается выработанный за эпохи эволюции механизм доверия. С Друпалом также. Если команда ядра Друпал, Группа Безопасности и люди поддерживающие экосистему допустят или создадут проблемы, то это будет серьезный или даже критический удар и всему проекту и людям, допустившим подобное.

vladtulku wrote: Как по вашему договор должен помочь при действиях третей стороны (композера)?

Для низкобюджетных проектов проблемы с сайтом — это невеликая потеря. В более-менее серьезных проектах в договоре можно указать ответственность исполнителя. А исполнитель может согласовать с заказчиком и заложить в бюджет дополнительные часы на аудит обновлений или найти другой способ, как учесть часы на аудит.


Кстати, использование коммерческих CMS также не дает никаких гарантий. К примеру в лицензионном соглашении 1С-Битрикс прямо сказано:

«8.3. 1С-Битрикс не несет ответственности перед Пользователем за любой ущерб,
любую потерю доходов, прибыли, информации или сбережений, связанных с
использованием или с невозможностью использования Программы, в том числе в случае
предварительного уведомления со стороны Пользователя о возможности такого ущерба,
или по любому иску третьей стороны.»

Аватар пользователя madt madt 29 марта 2022 в 20:08

На семерке можно спокойно до ноября следующего года оставаться. Есть немало времени, чтобы поднять уровень знаний и опыта для девятки.

Аватар пользователя alexeye alexeye 30 марта 2022 в 16:14

madt wrote: есть немало времени, чтобы поднять уровень знаний и опыта для девятки.

Тот же commerce без composer и соответственно packagist работать не будет. Да и от использования той же symfony (twig) друпал отказываться не будет да и не сможет вероятно. А там автор (Fabien Potencier) заявляет следующее (на странице ): здесь была цитата, содержащая политические лозунги.
[...]

Все комментарии к данному сообщению помечены как спам, не любит французский автор общения и не приемлет как видно иного мнения. Однако в последнем комменте он отметил: Symfony has a large community in Russia and like Ukraine. I went to Russia more than once and I enjoyed my time there. I know that Russian people will suffer and that makes me sad as well.

Аватар пользователя madt madt 30 марта 2022 в 6:27

Считаю, что нужно подождать. Некоторые люди действуют чрезмерно импульсивно, и это сильно подогревается как глобальной, так и локальной пропагандой. Думаю, постепенно некоторым всё это вконец осточертеет, у других найдутся более важные дела, чем СВО, а кто-то, возможно, увидит события под углом, перпендикулярным тому, что транслируют мейнстримные и локальные СМИ.

Аватар пользователя webadmin webadmin 29 марта 2022 в 23:25
1

Можно без композера по старинке, а потом, когда они перебесятся, мало ли причин по которым люди сходят с ума, обновишь композер.