Thomas Hertweck schrieb:
Christian Boltz wrote:
Am Mittwoch, 12. Oktober 2005 01:22 schrieb Thomas Hertweck:
[..]
mal wird apt verwendet, mal YaST, private Packages verschmilzen mit offiziellen SuSE Paketen, Wenn Du darauf noch genauer eingehst, kann ich auch eine Erklärung liefern ;-)
Nun, ganz einfach: vermutlich wird man als SuSE-User in Zukunft zahlreiche Repositories einbinden muessen.
So ist es geplant. Und so wird es wohl auch kommen.
Aber woher will ich denn wissen, dass mir da nicht jemand ein gefaehrliches/falsches/buggy/... Paket unterjubelt? Eventuell ist es signiert mit einem Key, aber was heisst das schon, ich kann damit nachpruefen, dass es evtl. von einer bestimmten Absendeadresse kommt, was aber nur bedingt etwas ueber Qualitaet aussagt. Auch ein schlimmer Finger kann sich einen GPG-Key kreieren. War bisher sicher auch schon ein generelles Problem, aber ich musste nicht so drauf eingehen, da alles etwas zentralisierter war, entweder waren die Pakete bei SuSE dabei, ich bekam sie bei Packman (was ich als zuverlaessige Quelle einstufen wuerde), oder ich habe sie selbst aus dem Source gebaut. Wie laeuft es denn in Zukunft mit Quality Control?
Tja.. das steht IMHO bisher noch nicht fest. Ich habe dazu einige Diskussionen auf den Opensuse-optimize und opensuse - MLs verfolgt, aber so richtig festgelegt worden ist noch nichts. Es wird aber allerdings wohl mit ziemlicher Sicherheit so werden, dass man bei Yast einige Quellen schon integriert hat, und einige als "experimental" oder so gekennzeichnet. Die Packager (z.B. Packman), die sich positiv profiliert haben, dürfen dann entscheiden, wie die anderen gekennzeichnet werden. Davor entscheidet wohl noch eine Art Abstimmung darüber, welche Pakete aus dem Repository entfernt werden, da irgendwie eine Möglichkeit zum Kommentieren der einzelnen Pakete gegeben wird. D.h. sobald ein Paket ernsthafte Probleme macht, fliegt es raus. Ob das so effektiv ist, wird sich zeigen. Also ein richtiges handfestes konzept dazu existiert IMHO noch nicht. Ich habe mir schonmal den Gedanken gemacht, dass man eine Art Test-Server, auf dem mit Xen die verschiedenen Installationen laufen lässt, dann das neu hochgeladene RPM mit allen Depenzies installieren und wieder Deinstallieren lässt. Später wird ein SIGA und vielleicht ein chkrootkit oder so mit dem Originalzustand verglichen. Das schützt einen aber nur (wenn überhaupt) vor Scripten in den Paketen selber. Da aber die Sourcen selber dann noch irgendwie verifiziert werden müssten. Ist o.G. mechanismus wohl wertlos und man wird wieder dabei bleiben müssen, den Leuten zu vertrauen. Eigentlich ist ja die ganze Opensource-Community bis zu einem gewissem Grad auf Vertrauen angewiesen ;-) Hier mal ein paar Interessante Threads dazu: http://lists.opensuse.org/archive/opensuse/2005-Oct/0872.html http://lists.opensuse.org/archive/opensuse-optimize/2005-Sep/0003.html
die Novell-Webseiten wissen noch gar nichts von SuSE 10, Irgendwie müssen die geschlafen haben ;-)
Oder wir haben es nur noch nicht gefunden ;-)
[...] Jepp. YOU umfasst nur die SUSE-Pakete (incl. Java und Closed Source). Alles andere muss man über "Software installieren oder löschen" updaten.
Das ist eben in meinen Augen ein ganz praktisches Problem, denn User werden vielleicht YOU ausfuehren, aber bestimmt nicht die Software-Installation starten und alle Pakete durchgehen und schauen, ob sie blau markiert sind und eine neue Version zur Verfuegung steht. Ausserdem will man ja vielleicht gar keine neue (im Sinne von hoehere Versionsnummer) Version, sondern lediglich eine fehlerbereinigte Version. Die Software-Installation wird das vermutlich nicht auseinander halten koennen.
Genau. Das sollte man besser trennen (wie es vorher auch schon war), dass bei YOU sämtliche Bugfix-Releases angeboten werden, und über die System-INstallieren (bzw. System-Upgrade) die Upgrades.
[...] Warte mal noch ein oder zwei Jahre ab, da werden dann "blue screens" unter KDE vermutlich auch zum Alltag werden. Worst case Szenario, ich weiss, aber so richtig wundern wuerde es mich nicht.
Mich auch nicht. Aber das ist ja das Schöne. Man _muss_ es nicht benutzen. Dass die Linuxneulinge dann direkt einen mehr oder weniger falschen Eindruck von den "wirklichen" Möglichkeiten unter Linux bekommen, sei mal dahingestellt. Gruß Sören