Mailinglist Archive: opensuse-project (265 mails)

< Previous Next >
Re: [opensuse-project] Package management usability (was: More bad PR from Novell)
  • From: "Benji Weber" <b.weber@xxxxxxxxxxxxx>
  • Date: Sat, 5 May 2007 22:57:43 +0100
  • Message-id: <d6b310ce0705051457p3414378aia1f7762ba42d208@xxxxxxxxxxxxxx>
On 5/5/07, Pascal Bleser <pascal.bleser@xxxxxxxxx> wrote:
Definitely. Webpin is a great tool, but there is an issue with it:
hosting. We definitely need a more reliable hosting solution for it (and
Benjamin would be the first one to agree, he already wrote an email
about that):
http://lists.opensuse.org/opensuse-project/2007-04/msg00128.html

The legal aspects are biting us again. Because it also indexes and
references packages that are on Packman and Guru, it may not be hosted
by Novell.
OTOH, not indexing Packman and Guru would make the tool only half as useful.

Actually the legal aspects are not an issue of hosting, the frontend
(which we can host on opensuse-community.org can utilise multiple
search services, one of which could be hosted by Novell, and the other
indexing packman & guru etc would be hosted by the community still.

AdrianS indicated they could help with hosting, but not until more
resources are available.

I really think that at some point, we should find a reliable hosting
solution (not in the USA because of its legislation) for community
projects like that, funded by donations (PayPal).

I agree, but I think there is significant growth required before we
will need, or be able to afford this.

> The speed of zypp and friends should improve in 10.3, so we'll see.

Yes, that would be good.
And then, IMO the focus should be put on usability of the package
manager (adding/removing/refreshing repositories, finding/installing
packages, installing patches/online updates, upgrading packages
(including from 3rd party repos), etc...).

Hear, Hear. Although there has been some progress (pun intended) in
10.2, it is still essentially the same GUI designed for 8.1. Back then
installing software from CDs was the only significant use case.

But frankly, instead of always blaming Novell/SUSE and the developers,
we should come up with some discussion and brainstorming on what we
would like to see and what we think would be a good solution both for
beginners and for advanced users.
And then send a proposal to the developers (or possibly do some
implementation work ourselves).

Indeed, and this is beginning to happen, but the bottleneck always
remains the SUSE people who are not being proactive in engaging with
these efforts.  We need public planning of development "sprints" with
the community actively involved and aware of what is going on, and
being encouraged to participate. Right now we have the situation where
SUSE people do things behind closed doors for a while, and announce
their status at status meetings. No-one outside knows what is underway
or how to get involved. The recent opening of the development process
of yast+zypp is a shining example of how things should have been done
from the start. Congratulations to those responsible, and hopefully
the effort will pay off.

It seems easy to implement, but getting a list of those repositories is
problematic for legal reasons.

It would be easy to do either from api.opensuse.org (this doesn't have
any public features at present so can't be used). Or from my search
service, expanding something like:
http://benjiweber.co.uk:8080/searchservice/SearchService/Repos/openSUSE_102
to also include descriptions and other metadata from the .repo files
on the build service.

I have an example YaST based frontend to the search service in the
MetaPackage-Package you kindly made for me.  Install
http://benjiweber.co.uk/mp/yast2-mpp-0.0-0.suse102.noarch.rpm and run
"/sbin/YaST2 PackageSearch" to play. Screenshot:
http://bw.uwcs.co.uk/packagesearch-yast.png . The "Install Now" hooks
into the automatically generated meta-packages from the SearchService
to add the repository and install the package automatically. The same
principle could be used to make a list of repositories with checkboxes
as per Alberto's suggestion.

Yet, maybe having a "meta-repository" (sort of a "repository of
repositories") hosted elsewhere (e.g. opensuse-community.org) could be a
solution.

Something like http://benjiweber.co.uk:8080/searchservice/SearchService/Repos/openSUSE_102
with more information I think.

Have the right tool support out-of-the-box in YaST2, but just add a
single meta-repository URL and also have the 3rd party repositories in
the list.
Again, hosting, see above.

Indeed.

> Another possible solution would be to make it possible to click on the
> webpin link and install the package you need. But it doesn't sound that
> easy to me too, because of the dependencies issues.

Precisely. But Benjamin is also working on that: having files that not
only have a list of packages to install with a single click (more or
less), but also dependent repositories that are added if not already
present.

Indeed, see the above meta-package-package and
http://benjiweber.co.uk:8080/webpin/index-test.jsp to play.

But the most difficult part with such an approach is certainly the
browser, much more than the package manager side of things:
1) associating a MIME type in Konqueror+Firefox+Seamonkey with an
application that handles parses the file, adds missing repositories,
passes the package installation to sw_single or zypper (or smart)
2) security... with a tool like that, you definitely have to think about
security:
* setup+use sudo or replicate user delegation (as in ZMD) or prompt for
the root password to add repositories and packages
* always prompt the user for confirmation before doing anything
* package signatures, RPM keyring (is mostly already handled by YaST2
though, when adding a signed repository)
* put some thoughts into malicious misuse of that technology to sneak in
rootkit packages and how to circumvent it

My demo yast module for this:

- Prompts user for root password /after/ displaying all the
information about what will be done to the system to make malicious
use as easy for the user to detect as possible.

- All the Package Signature checking etc is provided by the yast
package installation/ repository handling api already, so done for us.

_
Benjamin Weber
---------------------------------------------------------------------
To unsubscribe, e-mail: opensuse-project+unsubscribe@xxxxxxxxxxxx
For additional commands, e-mail: opensuse-project+help@xxxxxxxxxxxx

< Previous Next >
Follow Ups