Am Tuesday 14 September 2010 09:45:03 schrieb Detlef Reichelt:
Moin,
On Mon, 13 Sep 2010 11:07:31 +0200, Lars Müller lmuelle@suse.de
wrote:
http://en.opensuse.org/SDB:Vendor_change_update [0] erklärt, warum ein auf zypp basierendes System - somit gilt die nachfolgende Aussage sowohl für YaST als auch für zypper - in der Voreinstellung keinen Herstellerwechsel vornimmt.
Konkretes hypothetisches Beispiel:
Das openSUSE Build Service Repository network:samba:STABLE kommt auf die Idee, ein eigens glibc-Paket anzubieten.
und genau da liegt meiner Meinung nach das Problem: Wer zum Geier kommt auf so eine Idee?
Ein Nutzer vertraut seit einiger Zeit diesem Repository, weil er immer die letzte aktuelle und stabile Samba-Version bekommen möchte.
Der Nutzer hat auch allen Grund dazu einem Repository zu vertrauen das samba:STABLE heißt, und dazu gehört auch, das er gefahrlos alles aus dem Repository installieren kann.
[...]
Gegen derart unbeabsichtigte Schäden aufgrund einer nicht ausdrücklich gewollten Änderung des Herstellers schützt die zypp-Implementierung.
Warum wird das Problem nicht an der Wurzel angepackt?
Bleiben wir mal bei dem Beispiel Samba:
User X fragt in einem Forum, wie er denn von Windows aus auf seine Dateien auf dem LinuxPC kommt, klar kommt als Antwort: "Nimm Samba" Was macht User X? Er startet zB. YaST Paketsuche oder geht auf software.opensuse.org, sucht nach samba und wird von gefundenen Paketen erschlagen. Was denkt sich User X? Ohh, die Version hier ist ja neuer wie die Version dort, und schwupps hat er zB. network:samba:TESTING (zweiter Treffer!) als Repository genommen. Das TESTING ist leicht zu übersehen, und der arme User X versteht die Welt nicht mehr, warum Samba bei allen funktioniert, nur bei Ihm nicht. Am nächsten Tag testet er es mit Ubuntu, installiert dort Samba, und es geht sofort, einer weniger.
Was ich damit sagen will:
Mittlerweile wird es dem Nutzer viel zu einfach gemacht, sich Software aus den wildesten Repositories zu installieren, und sich damit langsam das System zu zerschießen. Anderseits wird er aber mit dem Anbieterwechsel davor geschützt, sich nicht sein System zu zerschießen. Tschuldigung, das verstehe ich nicht, bin ich wohl zu blöd für...
Wäre es nicht sinnvoller den User vor schlechten Repositories zu schützen? Wäre es nicht sinnvoller ordentlich geführte Repositories anzubieten, die man gefahrlos nutzen kann?
Geschickt wäre z.B. die Auswahl bei webpin: a: Software aus offiziellen, getesteten Repos b: ungetestete/ private Repos.
Wie das genau heißt, wäre ja egal. Bei Nvidia gibts das z.B. für den Grafiktreiberdownload.
Und die meiste Software ist ja doch in den offiziellen Repos drin. Wer dann spezielle Sachen braucht, wäre dann schon mal gewarnt..
Daniel
Detlef