#54860 – node.js, clang binaries in ~/.local/share/zed

Bug 54860 - node.js, clang binaries in ~/.local/share/zed

Summary: node.js, clang binaries in ~/.local/share/zed

Status:	REOPENED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	zed (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Anton Zhukharev
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2025-06-19 21:33 MSK by Sergey Bolshakov
Modified:	2025-06-23 19:01 MSK (History)
CC List:	5 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Sergey Bolshakov 2025-06-19 21:33:09 MSK

При первом же запуске, без единого намёка на запрос подтверждения от пользователя, скачивается какая-то чертоплешь неизвестно откуда:
$ du -sh .local/share/zed/
608M	.local/share/zed/

нам правда нужен такой пакет ?
язабан

Comment 1 Anton Zhukharev 2025-06-19 23:54:20 MSK

На данный момент это нормально, но поведение будет изменено когда-нибудь в будущем: https://github.com/zed-industries/zed/issues/12589

Comment 2 Sergey Bolshakov 2025-06-20 11:23:53 MSK

(In reply to Anton Zhukharev from comment #1)
> На данный момент это нормально, но поведение будет изменено когда-нибудь в
> будущем: https://github.com/zed-industries/zed/issues/12589

это не нормально ни на данный момент, ни вообще.
если ваш пакет критически зависит от исполняемых файлов, получаемых
из внешних источников, то ему не место в репозитарии.
если вы не понимаете этого, то ваше участие в наполнении репозитария может быть
приостановлено.

Comment 3 Anton Zhukharev 2025-06-20 14:09:21 MSK

(In reply to Sergey Bolshakov from comment #2)
> (In reply to Anton Zhukharev from comment #1)
> > На данный момент это нормально, но поведение будет изменено когда-нибудь в
> > будущем: https://github.com/zed-industries/zed/issues/12589
> 
> это не нормально ни на данный момент, ни вообще.
Довольно субъективно, да и никаких требований нет со стороны репозитория на подобные ситуации.
> если ваш пакет критически зависит от исполняемых файлов, получаемых
> из внешних источников, то ему не место в репозитарии.
Нет, критически не зависит, но это текущее поведение по умолчанию (о чем я вам написал ранее, но вы будто бы проигнорировали это сообщение).
На данный момент можно просто отключить языковые серверы в конфигурации по умолчанию, тогда ничего из этого загружаться не будет. Но и языковые серверы работать не будут.
> если вы не понимаете этого, то ваше участие в наполнении репозитария может
> быть
> приостановлено.
Я только понимаю что лично вам не нравится этот пакет.
Советую вам удалить пакет, не язвить и не наводить панику на багзилле.
Если хотите узнать что откуда загружается - читайте исходники. Я ничего криминального там не нашёл. Обвинения считаю необоснованными. 

Будете общаться конструктивно - продолжим беседу.

Сейчас я вижу только угрозы по надуманным причинам на основе субъективного мнения (полиси, регламентирующую данный момент, я не нашел).

Найдёте что-то объективное для обвинений - пишите, обсудим.
На чисто ваше мнение я ориентироваться не буду, у меня есть своё.

Удалять пакет из репозитория на данный момент я не намерен.

Comment 4 Sergey Bolshakov 2025-06-20 15:04:23 MSK

(In reply to Anton Zhukharev from comment #3)
> (In reply to Sergey Bolshakov from comment #2)
> > (In reply to Anton Zhukharev from comment #1)
> > > На данный момент это нормально, но поведение будет изменено когда-нибудь в
> > > будущем: https://github.com/zed-industries/zed/issues/12589
> > 
> > это не нормально ни на данный момент, ни вообще.
> Довольно субъективно, да и никаких требований нет со стороны репозитория на
> подобные ситуации.

к своему удивлению, я не нашёл явного и формального запрета на подобные
пакеты -- в своё время это считалось очевидным всем.
что ж, видимо, пора формализовать.

> > если ваш пакет критически зависит от исполняемых файлов, получаемых
> > из внешних источников, то ему не место в репозитарии.
> Нет, критически не зависит, но это текущее поведение по умолчанию (о чем я
> вам написал ранее, но вы будто бы проигнорировали это сообщение).

какой, собственно, реакции вы ожидали ?
обещание изменить поведение когда-то в неопределённом будущем
не значит ничего.

> На данный момент можно просто отключить языковые серверы в конфигурации по
> умолчанию, тогда ничего из этого загружаться не будет. Но и языковые серверы
> работать не будут.

ну что за ерунда.
даже просто с сугубо утилитарной т.з. -- у нас есть clangd дома,
зачем нам ещё один. хороший сопровождающий пакета нашёл бы способ
использовать /usr/bin/clangd из пакета.  

> > если вы не понимаете этого, то ваше участие в наполнении репозитария может
> > быть
> > приостановлено.
> Я только понимаю что лично вам не нравится этот пакет.
> Советую вам удалить пакет, не язвить и не наводить панику на багзилле.
> Если хотите узнать что откуда загружается - читайте исходники. Я ничего
> криминального там не нашёл. Обвинения считаю необоснованными. 

Вы не можете, даже прочитав исходники zed от и до, делать предположения
о том, что скачается сейчас или в будущем по найденным там ссылкам,
неужели это не очевидно ?

> 
> Будете общаться конструктивно - продолжим беседу.
> 
> Сейчас я вижу только угрозы по надуманным причинам на основе субъективного
> мнения (полиси, регламентирующую данный момент, я не нашел).
> 
> Найдёте что-то объективное для обвинений - пишите, обсудим.
> На чисто ваше мнение я ориентироваться не буду, у меня есть своё.
> 
> Удалять пакет из репозитория на данный момент я не намерен.

Comment 5 Anton Zhukharev 2025-06-20 15:20:05 MSK

(In reply to Sergey Bolshakov from comment #4)
> (In reply to Anton Zhukharev from comment #3)
> > (In reply to Sergey Bolshakov from comment #2)
> > > (In reply to Anton Zhukharev from comment #1)
> > > > На данный момент это нормально, но поведение будет изменено когда-нибудь в
> > > > будущем: https://github.com/zed-industries/zed/issues/12589
> > > 
> > > это не нормально ни на данный момент, ни вообще.
> > Довольно субъективно, да и никаких требований нет со стороны репозитория на
> > подобные ситуации.
> 
> к своему удивлению, я не нашёл явного и формального запрета на подобные
> пакеты -- в своё время это считалось очевидным всем.
> что ж, видимо, пора формализовать.
> 
Мне кажется, это неплохая идея, но явно стоит сначала обсудить в devel.
> > > если ваш пакет критически зависит от исполняемых файлов, получаемых
> > > из внешних источников, то ему не место в репозитарии.
> > Нет, критически не зависит, но это текущее поведение по умолчанию (о чем я
> > вам написал ранее, но вы будто бы проигнорировали это сообщение).
> 
> какой, собственно, реакции вы ожидали ?
> обещание изменить поведение когда-то в неопределённом будущем
> не значит ничего.
Например, никакой, забыв про этот пакет до исправления этого дурацкого поведения.
> > На данный момент можно просто отключить языковые серверы в конфигурации по
> > умолчанию, тогда ничего из этого загружаться не будет. Но и языковые серверы
> > работать не будут.
> 
> ну что за ерунда.
> даже просто с сугубо утилитарной т.з. -- у нас есть clangd дома,
> зачем нам ещё один. хороший сопровождающий пакета нашёл бы способ
> использовать /usr/bin/clangd из пакета.  
Вот это уже куда конструктивные, постараюсь сделать как найдётся время.
> > > если вы не понимаете этого, то ваше участие в наполнении репозитария может
> > > быть
> > > приостановлено.
> > Я только понимаю что лично вам не нравится этот пакет.
> > Советую вам удалить пакет, не язвить и не наводить панику на багзилле.
> > Если хотите узнать что откуда загружается - читайте исходники. Я ничего
> > криминального там не нашёл. Обвинения считаю необоснованными. 
> 
> Вы не можете, даже прочитав исходники zed от и до, делать предположения
> о том, что скачается сейчас или в будущем по найденным там ссылкам,
> неужели это не очевидно ?
Если взломают сайт (либо посадят сопровождающего-преступника), например, для загрузки nodejs, то это коснется всех, кто туда ходит, а не только пользователей zed и это станет общей трагедией - даже, если nodejs для zed будет тянуться из репозитория, так как туда косвенно тоже может заехать скомпрометированный nodejs.
> > 
> > Будете общаться конструктивно - продолжим беседу.
> > 
> > Сейчас я вижу только угрозы по надуманным причинам на основе субъективного
> > мнения (полиси, регламентирующую данный момент, я не нашел).
> > 
> > Найдёте что-то объективное для обвинений - пишите, обсудим.
> > На чисто ваше мнение я ориентироваться не буду, у меня есть своё.
> > 
> > Удалять пакет из репозитория на данный момент я не намерен.

Comment 6 Сергей Жидких 2025-06-20 16:16:16 MSK

(Ответ для Sergey Bolshakov на комментарий #4)
> 
> ну что за ерунда.
> даже просто с сугубо утилитарной т.з. -- у нас есть clangd дома,
> зачем нам ещё один. хороший сопровождающий пакета нашёл бы способ
> использовать /usr/bin/clangd из пакета.  
> 

По умолчанию используются системные утилиты. Если их нет то скачиваются сторонние. В идеале необходимо сделать зависимость на них, до тех пор пока апстрим не выпустит решение.

Comment 7 Sergey V Turchin 2025-06-20 16:58:29 MSK

(Ответ для Anton Zhukharev на комментарий #1)
> На данный момент это нормально
Это нормально, только если установленный пакет уже содержит в себе всё, необходимое для работы.

Если он требует root для скачивания сторонних компонент -- ненормально.
Если он не работоспособен при запуске от пользователя при смонтированном ~/ без возможности исполнения -- ненормально.

Comment 8 Sergey V Turchin 2025-06-20 17:00:49 MSK

(Ответ для Сергей Жидких на комментарий #6)
> По умолчанию используются системные утилиты. Если их нет то скачиваются
> сторонние. В идеале необходимо сделать зависимость на них
Не в идеале, а обязательно. И для надёжности вырезать возможность скачивания сторонних компонент.

Comment 9 Sergey V Turchin 2025-06-20 17:03:39 MSK

(Ответ для Anton Zhukharev на комментарий #5)
> даже, если nodejs для zed
> будет тянуться из репозитория, так как туда косвенно тоже может заехать
> скомпрометированный nodejs.
У нас развивается мониторинг уязвимостей, так что, такая позиция ошибочна.

Comment 10 Сергей Жидких 2025-06-20 19:10:19 MSK

(Ответ для Sergey V Turchin на комментарий #8)
> (Ответ для Сергей Жидких на комментарий #6)
> > По умолчанию используются системные утилиты. Если их нет то скачиваются
> > сторонние. В идеале необходимо сделать зависимость на них
> Не в идеале, а обязательно. И для надёжности вырезать возможность скачивания
> сторонних компонент.

Делать необязательные зависимости обязательными - дурной тон. Мне как rust разработчику не хочется у себя видеть на компьютере lsp для питона. Вот захочу я удалить его и как в таком случае быть? Удалять IDE?

IDE это в первую очередь инструмент для опытных пользователей и разобраться что нужно установить из репозитория чтобы всё работало, я думаю опытный пользователь в состоянии. Если это будет прямо сказано на вики и во всплывашке, по типу той которая появляется при установке отсутствующего расширения, - то тем более.

А по поводу вырезать возможность установки сторонних компонент:
Если и вырезать такую возможность, то вырезать для всех IDE, включая vscodium. Мне кажется IDE это тот случай, когда пользователь в состоянии оценить риски и взять на себя ответственность при установке стороннего расширения. А вообще вместо того, чтобы изобретать велосипед без колёс рациональнее будет объединиться с разработчиками и решить данную проблему в контексте https://github.com/zed-industries/zed/issues/12589. Так или иначе, добавление опции по отключению автоматического скачивания и удаление автоматического скачивания лежат близко.

Comment 11 Aleksandr Shamaraev 2025-06-21 01:35:51 MSK

(Ответ для Sergey Bolshakov на комментарий #2)
> (In reply to Anton Zhukharev from comment #1)
> > На данный момент это нормально, но поведение будет изменено когда-нибудь в
> > будущем: https://github.com/zed-industries/zed/issues/12589
> 
> это не нормально ни на данный момент, ни вообще.
> если ваш пакет критически зависит от исполняемых файлов, получаемых
> из внешних источников, то ему не место в репозитарии.
> если вы не понимаете этого, то ваше участие в наполнении репозитария может
> быть
> приостановлено.

Добрый день.

Со своей колокольни, я стараюсь не лезть в подобные дискуссии, но тут хотелось бы задать пару вопросов...

Чисто субъективно, я лично соглашусь с утверждением "не место в составе дистрибутива", возможно: "не место в репозитории стабильных бранчей" (хоть это и было бы странно), но причем тут Сизиф...

Тем более, что данные файлы скачиваются в хом пользователя.

Пользователь ведь же сознательно установил этот, либо какой другой подобный пакет, и он понимает, что оно будет работать с интернетом и что-то докачивать..

с такими темпами, как уже говорилось, можно и портпротон выкинуть и вайнхелпер и много вообще чего повыбрасывать из репозитория... 

"Огромное" количество "обычных пользователей" использует регулярные сборки на базе Сизиф, и это как бы нормально, потому что людям хочется иметь Роллинг с самым большим выбором софта, а не заморачиваться c вопросом как его установить, при этом тот же zed согласно repology собран не только в Альт
https://repology.org/project/zed-editor/versions

По этому, чисто для моего развития, прошу прокомментировать два вопроса:

1. Почему подобных пакетов, которые что-то закачивают из интернета в каталог пользователя, и которые устанавливаются из репозитория самим пользователем и по требования пользователя, не может быть в Сизиф?

2. Почему подобных пакетов, которые что-то закачивают из интернета в каталог пользователя, не может быть в составе стабильного репозитория, к примеру р11 (речь именно за репозиторий, а не за дистрибутив), при том что согласно п. 1.1.2 лицензионного соглашения того же Краб11 "Настоящее лицензионное Соглашение разрешает безвозмездное использование ДИСТРИБУТИВА физическим лицам.", подобные пакеты устанавливаются самим пользователем из репозитория, и по требованию пользователя, который де-юро понимает и берет на себя всю ответственность за действия которые совершает?

https://www.basealt.ru/fileadmin/docs/License_WS-K_11.0.pdf

С уважением