54860 2025-06-19 21:33:09 +0300 node.js, clang binaries in ~/.local/share/zed 2025-06-23 19:01:41 +0300 1 1 4 Development Sisyphus zed unstable x86_64 Linux REOPENED P5 normal --- 1 sbolshakov ancieg ancieg lav rx1513 shaba shad zerg qa-sisyphus oldest_to_newest 267490 0 sbolshakov 2025-06-19 21:33:09 +0300 При первом же запуске, без единого намёка на запрос подтверждения от пользователя, скачивается какая-то чертоплешь неизвестно откуда: $ du -sh .local/share/zed/ 608M .local/share/zed/ нам правда нужен такой пакет ? язабан 267492 1 ancieg 2025-06-19 23:54:20 +0300 На данный момент это нормально, но поведение будет изменено когда-нибудь в будущем: https://github.com/zed-industries/zed/issues/12589 267508 2 sbolshakov 2025-06-20 11:23:53 +0300 (In reply to Anton Zhukharev from comment #1) > На данный момент это нормально, но поведение будет изменено когда-нибудь в > будущем: https://github.com/zed-industries/zed/issues/12589 это не нормально ни на данный момент, ни вообще. если ваш пакет критически зависит от исполняемых файлов, получаемых из внешних источников, то ему не место в репозитарии. если вы не понимаете этого, то ваше участие в наполнении репозитария может быть приостановлено. 267516 3 ancieg 2025-06-20 14:09:21 +0300 (In reply to Sergey Bolshakov from comment #2) > (In reply to Anton Zhukharev from comment #1) > > На данный момент это нормально, но поведение будет изменено когда-нибудь в > > будущем: https://github.com/zed-industries/zed/issues/12589 > > это не нормально ни на данный момент, ни вообще. Довольно субъективно, да и никаких требований нет со стороны репозитория на подобные ситуации. > если ваш пакет критически зависит от исполняемых файлов, получаемых > из внешних источников, то ему не место в репозитарии. Нет, критически не зависит, но это текущее поведение по умолчанию (о чем я вам написал ранее, но вы будто бы проигнорировали это сообщение). На данный момент можно просто отключить языковые серверы в конфигурации по умолчанию, тогда ничего из этого загружаться не будет. Но и языковые серверы работать не будут. > если вы не понимаете этого, то ваше участие в наполнении репозитария может > быть > приостановлено. Я только понимаю что лично вам не нравится этот пакет. Советую вам удалить пакет, не язвить и не наводить панику на багзилле. Если хотите узнать что откуда загружается - читайте исходники. Я ничего криминального там не нашёл. Обвинения считаю необоснованными. Будете общаться конструктивно - продолжим беседу. Сейчас я вижу только угрозы по надуманным причинам на основе субъективного мнения (полиси, регламентирующую данный момент, я не нашел). Найдёте что-то объективное для обвинений - пишите, обсудим. На чисто ваше мнение я ориентироваться не буду, у меня есть своё. Удалять пакет из репозитория на данный момент я не намерен. 267518 4 sbolshakov 2025-06-20 15:04:23 +0300 (In reply to Anton Zhukharev from comment #3) > (In reply to Sergey Bolshakov from comment #2) > > (In reply to Anton Zhukharev from comment #1) > > > На данный момент это нормально, но поведение будет изменено когда-нибудь в > > > будущем: https://github.com/zed-industries/zed/issues/12589 > > > > это не нормально ни на данный момент, ни вообще. > Довольно субъективно, да и никаких требований нет со стороны репозитория на > подобные ситуации. к своему удивлению, я не нашёл явного и формального запрета на подобные пакеты -- в своё время это считалось очевидным всем. что ж, видимо, пора формализовать. > > если ваш пакет критически зависит от исполняемых файлов, получаемых > > из внешних источников, то ему не место в репозитарии. > Нет, критически не зависит, но это текущее поведение по умолчанию (о чем я > вам написал ранее, но вы будто бы проигнорировали это сообщение). какой, собственно, реакции вы ожидали ? обещание изменить поведение когда-то в неопределённом будущем не значит ничего. > На данный момент можно просто отключить языковые серверы в конфигурации по > умолчанию, тогда ничего из этого загружаться не будет. Но и языковые серверы > работать не будут. ну что за ерунда. даже просто с сугубо утилитарной т.з. -- у нас есть clangd дома, зачем нам ещё один. хороший сопровождающий пакета нашёл бы способ использовать /usr/bin/clangd из пакета. > > если вы не понимаете этого, то ваше участие в наполнении репозитария может > > быть > > приостановлено. > Я только понимаю что лично вам не нравится этот пакет. > Советую вам удалить пакет, не язвить и не наводить панику на багзилле. > Если хотите узнать что откуда загружается - читайте исходники. Я ничего > криминального там не нашёл. Обвинения считаю необоснованными. Вы не можете, даже прочитав исходники zed от и до, делать предположения о том, что скачается сейчас или в будущем по найденным там ссылкам, неужели это не очевидно ? > > Будете общаться конструктивно - продолжим беседу. > > Сейчас я вижу только угрозы по надуманным причинам на основе субъективного > мнения (полиси, регламентирующую данный момент, я не нашел). > > Найдёте что-то объективное для обвинений - пишите, обсудим. > На чисто ваше мнение я ориентироваться не буду, у меня есть своё. > > Удалять пакет из репозитория на данный момент я не намерен. 267519 5 ancieg 2025-06-20 15:20:05 +0300 (In reply to Sergey Bolshakov from comment #4) > (In reply to Anton Zhukharev from comment #3) > > (In reply to Sergey Bolshakov from comment #2) > > > (In reply to Anton Zhukharev from comment #1) > > > > На данный момент это нормально, но поведение будет изменено когда-нибудь в > > > > будущем: https://github.com/zed-industries/zed/issues/12589 > > > > > > это не нормально ни на данный момент, ни вообще. > > Довольно субъективно, да и никаких требований нет со стороны репозитория на > > подобные ситуации. > > к своему удивлению, я не нашёл явного и формального запрета на подобные > пакеты -- в своё время это считалось очевидным всем. > что ж, видимо, пора формализовать. > Мне кажется, это неплохая идея, но явно стоит сначала обсудить в devel. > > > если ваш пакет критически зависит от исполняемых файлов, получаемых > > > из внешних источников, то ему не место в репозитарии. > > Нет, критически не зависит, но это текущее поведение по умолчанию (о чем я > > вам написал ранее, но вы будто бы проигнорировали это сообщение). > > какой, собственно, реакции вы ожидали ? > обещание изменить поведение когда-то в неопределённом будущем > не значит ничего. Например, никакой, забыв про этот пакет до исправления этого дурацкого поведения. > > На данный момент можно просто отключить языковые серверы в конфигурации по > > умолчанию, тогда ничего из этого загружаться не будет. Но и языковые серверы > > работать не будут. > > ну что за ерунда. > даже просто с сугубо утилитарной т.з. -- у нас есть clangd дома, > зачем нам ещё один. хороший сопровождающий пакета нашёл бы способ > использовать /usr/bin/clangd из пакета. Вот это уже куда конструктивные, постараюсь сделать как найдётся время. > > > если вы не понимаете этого, то ваше участие в наполнении репозитария может > > > быть > > > приостановлено. > > Я только понимаю что лично вам не нравится этот пакет. > > Советую вам удалить пакет, не язвить и не наводить панику на багзилле. > > Если хотите узнать что откуда загружается - читайте исходники. Я ничего > > криминального там не нашёл. Обвинения считаю необоснованными. > > Вы не можете, даже прочитав исходники zed от и до, делать предположения > о том, что скачается сейчас или в будущем по найденным там ссылкам, > неужели это не очевидно ? Если взломают сайт (либо посадят сопровождающего-преступника), например, для загрузки nodejs, то это коснется всех, кто туда ходит, а не только пользователей zed и это станет общей трагедией - даже, если nodejs для zed будет тянуться из репозитория, так как туда косвенно тоже может заехать скомпрометированный nodejs. > > > > Будете общаться конструктивно - продолжим беседу. > > > > Сейчас я вижу только угрозы по надуманным причинам на основе субъективного > > мнения (полиси, регламентирующую данный момент, я не нашел). > > > > Найдёте что-то объективное для обвинений - пишите, обсудим. > > На чисто ваше мнение я ориентироваться не буду, у меня есть своё. > > > > Удалять пакет из репозитория на данный момент я не намерен. 267525 6 rx1513 2025-06-20 16:16:16 +0300 (Ответ для Sergey Bolshakov на комментарий #4) > > ну что за ерунда. > даже просто с сугубо утилитарной т.з. -- у нас есть clangd дома, > зачем нам ещё один. хороший сопровождающий пакета нашёл бы способ > использовать /usr/bin/clangd из пакета. > По умолчанию используются системные утилиты. Если их нет то скачиваются сторонние. В идеале необходимо сделать зависимость на них, до тех пор пока апстрим не выпустит решение. 267531 7 zerg 2025-06-20 16:58:29 +0300 (Ответ для Anton Zhukharev на комментарий #1) > На данный момент это нормально Это нормально, только если установленный пакет уже содержит в себе всё, необходимое для работы. Если он требует root для скачивания сторонних компонент -- ненормально. Если он не работоспособен при запуске от пользователя при смонтированном ~/ без возможности исполнения -- ненормально. 267532 8 zerg 2025-06-20 17:00:49 +0300 (Ответ для Сергей Жидких на комментарий #6) > По умолчанию используются системные утилиты. Если их нет то скачиваются > сторонние. В идеале необходимо сделать зависимость на них Не в идеале, а обязательно. И для надёжности вырезать возможность скачивания сторонних компонент. 267533 9 zerg 2025-06-20 17:03:39 +0300 (Ответ для Anton Zhukharev на комментарий #5) > даже, если nodejs для zed > будет тянуться из репозитория, так как туда косвенно тоже может заехать > скомпрометированный nodejs. У нас развивается мониторинг уязвимостей, так что, такая позиция ошибочна. 267541 10 rx1513 2025-06-20 19:10:19 +0300 (Ответ для Sergey V Turchin на комментарий #8) > (Ответ для Сергей Жидких на комментарий #6) > > По умолчанию используются системные утилиты. Если их нет то скачиваются > > сторонние. В идеале необходимо сделать зависимость на них > Не в идеале, а обязательно. И для надёжности вырезать возможность скачивания > сторонних компонент. Делать необязательные зависимости обязательными - дурной тон. Мне как rust разработчику не хочется у себя видеть на компьютере lsp для питона. Вот захочу я удалить его и как в таком случае быть? Удалять IDE? IDE это в первую очередь инструмент для опытных пользователей и разобраться что нужно установить из репозитория чтобы всё работало, я думаю опытный пользователь в состоянии. Если это будет прямо сказано на вики и во всплывашке, по типу той которая появляется при установке отсутствующего расширения, - то тем более. А по поводу вырезать возможность установки сторонних компонент: Если и вырезать такую возможность, то вырезать для всех IDE, включая vscodium. Мне кажется IDE это тот случай, когда пользователь в состоянии оценить риски и взять на себя ответственность при установке стороннего расширения. А вообще вместо того, чтобы изобретать велосипед без колёс рациональнее будет объединиться с разработчиками и решить данную проблему в контексте https://github.com/zed-industries/zed/issues/12589. Так или иначе, добавление опции по отключению автоматического скачивания и удаление автоматического скачивания лежат близко. 267548 11 shad 2025-06-21 01:35:51 +0300 (Ответ для Sergey Bolshakov на комментарий #2) > (In reply to Anton Zhukharev from comment #1) > > На данный момент это нормально, но поведение будет изменено когда-нибудь в > > будущем: https://github.com/zed-industries/zed/issues/12589 > > это не нормально ни на данный момент, ни вообще. > если ваш пакет критически зависит от исполняемых файлов, получаемых > из внешних источников, то ему не место в репозитарии. > если вы не понимаете этого, то ваше участие в наполнении репозитария может > быть > приостановлено. Добрый день. Со своей колокольни, я стараюсь не лезть в подобные дискуссии, но тут хотелось бы задать пару вопросов... Чисто субъективно, я лично соглашусь с утверждением "не место в составе дистрибутива", возможно: "не место в репозитории стабильных бранчей" (хоть это и было бы странно), но причем тут Сизиф... Тем более, что данные файлы скачиваются в хом пользователя. Пользователь ведь же сознательно установил этот, либо какой другой подобный пакет, и он понимает, что оно будет работать с интернетом и что-то докачивать.. с такими темпами, как уже говорилось, можно и портпротон выкинуть и вайнхелпер и много вообще чего повыбрасывать из репозитория... "Огромное" количество "обычных пользователей" использует регулярные сборки на базе Сизиф, и это как бы нормально, потому что людям хочется иметь Роллинг с самым большим выбором софта, а не заморачиваться c вопросом как его установить, при этом тот же zed согласно repology собран не только в Альт https://repology.org/project/zed-editor/versions По этому, чисто для моего развития, прошу прокомментировать два вопроса: 1. Почему подобных пакетов, которые что-то закачивают из интернета в каталог пользователя, и которые устанавливаются из репозитория самим пользователем и по требования пользователя, не может быть в Сизиф? 2. Почему подобных пакетов, которые что-то закачивают из интернета в каталог пользователя, не может быть в составе стабильного репозитория, к примеру р11 (речь именно за репозиторий, а не за дистрибутив), при том что согласно п. 1.1.2 лицензионного соглашения того же Краб11 "Настоящее лицензионное Соглашение разрешает безвозмездное использование ДИСТРИБУТИВА физическим лицам.", подобные пакеты устанавливаются самим пользователем из репозитория, и по требованию пользователя, который де-юро понимает и берет на себя всю ответственность за действия которые совершает? https://www.basealt.ru/fileadmin/docs/License_WS-K_11.0.pdf С уважением