Mezuro deixará de ser um plugin do Noosfero

Antonio Terceiro terceiro at colivre.coop.br
Fri Jul 19 11:28:34 BRT 2013 

On Thu, Jul 18, 2013 at 05:32:44PM -0300, Bráulio Bhavamitra wrote:
> 2013/7/18 Antonio Terceiro <terceiro at colivre.coop.br>
> 
> > On Thu, Jul 18, 2013 at 04:33:56PM -0300, Bráulio Bhavamitra wrote:
> > > A esqueci do principal: há um comando no bundle que faz baixa as gems
> > > (incluindo o rails) dentro do código. Isto poderia ser feito antes de
> > gerar
> > > o pacote debian.
> > > Aí as dependências ficariam lá dentro, sem precisar baixar.
> >
> > ... o que faz com que updates nas dependências necessitem de um update
> > no Noosfero - além de ser uma solução fuleira, é péssima prática em
> > termos de segurança.
> >
> 
> > Dependências *precisam* poder ser atualizadas independente dos pacotes
> > que dependem delas.
> >
> Fuleira? E o que é que tem no vendor/? Aliás, como não há referencia
> nenhuma (seja via git ou gem), nem sabemos se houve problemas de segurança.

na minha opinião dependências no vendor/ são um problema. só porquê já tem
algumas ali eu não acho que a gente deva colocar mais.

> Não é dificil atualizar a coisa quando se mantem a referência. Não consigo
> entender como pode ser tão ruim atualizar o pacote como um todo.

a questão é que você só está vendo o lado do noosfero, e eu me preocupo
com o ecossistema como um todo (sabe software livre, comunidade, essas
coisas?).  Por exemplo quando eu faço um upload de segurança do Rails no
Debian, tanto os usuários do Noosfero quanto usuários do Redmine são
beneficiados.

> No caso da falha de segurança do rails por exemplo, envolveu várias
> atualizações do noosfero.

Isso é outro assunto. Ocorreu um regressão, o que é uma exceção. O jeito
certo de resolver isso é aumentar

> Tem até um benefício: não precisa esperar o pacote com problema atualizar,
> o que pode demorar, pois nem sempre o mantenedor do pacote reage rápido a
> atualização do software.

Na minha opinião o jeito certo de lidar com tempo de resposta alto do
mantenedor é ajudá-lo, e *não* duplicar o trabalho dele internamente de
forma que apenas os usuários do Noosfero de beneficiem, ao invés de
beneficiar outras aplicações Rails.

Essa discussão já está meio chata. Vamos concordar em discordar?

-- 
Antonio Terceiro <terceiro at colivre.coop.br>
Colivre - Cooperativa de Tecnologias Livres
http://www.colivre.coop.br/


-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: Digital signature
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20130719/ad2b5c2a/attachment-0001.pgp>

More information about the Noosfero-br mailing list