Hallo Sören, hallo Thomas, hallo Leute, irgendwie hatte ich diesen Thread vergessen bzw. aus Zeitmangel "verlegt". Naja, besser spät als nie ;-) Am Freitag, 14. Oktober 2005 17:07 schrieb Sören Wengerowsky:
Thomas Hertweck schrieb:
Christian Boltz wrote:
Am Mittwoch, 12. Oktober 2005 01:22 schrieb Thomas Hertweck: [...] Nun, ganz einfach: vermutlich wird man als SuSE-User in Zukunft zahlreiche Repositories einbinden muessen.
Das "muss" man auch jetzt schon, wenn man z. B. Multimedia- oder andere Pakete haben will, das nicht in der Distribution enthalten sind. Der größte Unterschied ist IMHO, dass es jetzt auf opensuse.org eine Liste externer Repositories gibt - vorher musste man sich das selbst zusammensuchen.
So ist es geplant. Und so wird es wohl auch kommen.
Wenn Du die Pakete aus den externen Quellen willst, ja. Das ist aber nichts neues und war auch schon mit 9.x, 8.x, ... so.
Aber woher will ich denn wissen, dass mir da nicht jemand ein gefaehrliches/falsches/buggy/... Paket unterjubelt? Eventuell ist es signiert mit einem Key, aber was heisst das schon, ich kann damit nachpruefen, dass es evtl. von einer bestimmten Absendeadresse kommt, was aber nur bedingt etwas ueber Qualitaet aussagt. Auch ein schlimmer Finger kann sich einen GPG-Key kreieren. War bisher sicher auch schon ein generelles Problem, aber
Eben. Was soll ich dazu sagen - theoretisch könnte sogar von SUSE mal ein Paket mit "bösem" Inhalt erscheinen. Allerdings ist das sehr unwahrscheinlich (hoffe ich zumindest ;-)
ich musste nicht so drauf eingehen, da alles etwas zentralisierter war, entweder waren die Pakete bei SuSE dabei, ich bekam sie bei Packman (was ich als zuverlaessige Quelle einstufen wuerde), oder ich habe sie selbst aus dem Source gebaut. Wie laeuft es denn in Zukunft mit Quality Control?
Tja.. das steht IMHO bisher noch nicht fest. Ich habe dazu einige Diskussionen auf den Opensuse-optimize und opensuse - MLs verfolgt, aber so richtig festgelegt worden ist noch nichts.
Stimmt.
Es wird aber allerdings wohl mit ziemlicher Sicherheit so werden, dass man bei Yast einige Quellen schon integriert hat, und einige als "experimental" oder so gekennzeichnet. Die Packager (z.B. Packman), die sich positiv profiliert haben, dürfen dann entscheiden, wie die anderen gekennzeichnet werden.
Wer sagt das? ;-) Die einzig verlässliche Aussage zu diesem Thema ist "es steht noch nicht fest" - alles andere ist pure Spekulation.
Davor entscheidet wohl noch eine Art Abstimmung darüber, welche Pakete aus dem Repository entfernt werden, da irgendwie eine Möglichkeit zum Kommentieren der einzelnen Pakete gegeben wird. D.h. sobald ein Paket ernsthafte Probleme macht, fliegt es raus.
Auch das (Kommentar-/Bewertungsfunktion) ist zwar durchaus denkbar, aber ebenfalls Spekulation.
Ob das so effektiv ist, wird sich zeigen.
Wenn Du eine andere, "richtig gute Idee"[tm] hast - immer her damit ;-)
Ich habe mir schonmal den Gedanken gemacht, dass man eine Art Test-Server, auf dem mit Xen die verschiedenen Installationen laufen lässt, dann das neu hochgeladene RPM mit allen Depenzies installieren und wieder Deinstallieren lässt. Später wird ein SIGA und vielleicht ein chkrootkit oder so mit dem Originalzustand verglichen.
Nette Idee - wenn aber der Builtserver gut frequentiert wird, artet sowas in einem großen Hardware-Bedarf aus ;-)
Das schützt einen aber nur (wenn überhaupt) vor Scripten in den Paketen selber. Da aber die Sourcen selber dann noch irgendwie verifiziert werden müssten. Ist o.G. mechanismus wohl wertlos und man wird wieder
Naja, die Sourcen kann man vom (geplanten) Built-Server durchaus direkt von der jeweiligen Projekt-Homepage runterladen lassen. Das reduziert zumindest man-in-the-middle-Angriffsmöglichkeiten.
dabei bleiben müssen, den Leuten zu vertrauen. Eigentlich ist ja die ganze Opensource-Community bis zu einem gewissem Grad auf Vertrauen angewiesen ;-)
Jepp ;-)
die Novell-Webseiten wissen noch gar nichts von SuSE 10,
Irgendwie müssen die geschlafen haben ;-)
Oder wir haben es nur noch nicht gefunden ;-)
*ROTFL*
[...] Jepp. YOU umfasst nur die SUSE-Pakete (incl. Java und Closed Source). Alles andere muss man über "Software installieren oder löschen" updaten.
Das ist eben in meinen Augen ein ganz praktisches Problem, denn User werden vielleicht YOU ausfuehren, aber bestimmt nicht die Software-Installation starten und alle Pakete durchgehen und schauen, ob sie blau markiert sind und eine neue Version zur Verfuegung steht. Ausserdem will man ja vielleicht gar keine neue (im Sinne von hoehere Versionsnummer) Version, sondern lediglich eine fehlerbereinigte Version. Die Software-Installation wird das vermutlich nicht auseinander halten koennen.
Genau. Das sollte man besser trennen (wie es vorher auch schon war), dass bei YOU sämtliche Bugfix-Releases angeboten werden, und über die System-INstallieren (bzw. System-Upgrade) die Upgrades.
Das Ganze ist übrigens nichts neues - auch bisher gab es YOU-Updates nur für SUSE-Pakete. Klar, es wäre schön, wenn auch externe Packager YOU-Updates ihrer Pakete anbieten würden - ob sie das wollen/können oder schlicht keine Zeit dazu haben, ist eine andere Frage. Falls jemand von Euch Zeit und Lust für sowas hat - einfach auf opensuse-packaging melden ;-) Gruß Christian Boltz --
Da hat doch wer geschlampt oder Mist gebaut, oder? Das ist bei jedem Fehler in jedem Produkt so. Wenn alle alles richtig gemacht hätten, würde es den Fehler ja nicht geben. [> Heinz Mezera und Stefan Seyfried in suse-laptop]