Am si eu o intrebare pt. astia care sunteti mai curent cu ultimele traznai din domeniul phpistic: chestia numita composer poate fi folosita intr-un mod care sa nu faca pe cineva moderat de paranoic sa se suie pe pereti?
*** approximate rant start *** Din ce m-am prins pana acum, toata lumea downloadeaza un phar cu traznaia impachetata si il ruleaza. Exista codul sursa dar nu are nici o documentatie mai ca pentru prosti de cum se produce acel phar si aparent nimeni de pe internet n-a mai avut aceasta dilema. So daca te-a incaltat cineva cu un composer.phar rootkitat, poate sa-ti faca ce chestii vrea pe proiectele curente si viitoare (si probabil si pe servere, pentru ca lumea il ruleaza ca root, doh. Sarind peste problema de bootstrap (care sa zicem ca s-ar rezolva daca ma lamuresc ce script trebuie rulat sa compilez traznaia din surse), asta mai departe trage chestii de pe github sau wherever (e chiar fain, iti trage by default ultimul commit ca sa ai si tu cele mai noi features/bugs/exploits ca restul de cool kids) si daca inteleg bine isi face si auto-update, ca de ce nu. Atat proiectul din care rulezi ala cat si dependintele lui pot avea diverse hookuri si traznai care se ruleaza la update si carora le face review naiba stie cine (pentru ca pe github e numai cod de calitate si perfect). Pana aici am ajuns inainte sa ma doara capul, sunt convins ca o sa mai am niste minunate intalniri cu features care sunt valabile doar de la php 9.x in sus sau cu vreun minunat framework care are alte concepte la fel de creative. *** approximate rant end *** Acu serios, inteleg si pana la un punct sustin toata treaba asta cu agile, fast development, rapid prototyping, etc, etc. Da' diverse alte roti patrate cu care am mai avut de-a face pana acu mai aveau documentate niste metode de-a le face cat de cat mai compatibile cu conceptul sysadminaresc de mediu de productie (si la npm si la rubygems poti sa-ti compilezi sau obtii din distro package managerul, cu un efort mediu poti preinstala pachetele cu pricina undeva in sistem a.i. sa nu aibe nevoie sa downloadeze chestii, e relativ documentat cum poti avea configuri out-of-tree pt.diverse environments, etc, etc). Revenind la chestii mai concrete, daca cineva lucreaza cu aplicatii php bazate pe composer (si alti prieteni de-ai lui gen laravel) si poate sa le tina in friu intr-un mod mai security-conscious, ziceti-mi si mie chestii. De cautat pe google am cautat da' gasesc in cel mai bun caz de-aia care stiu ca "curl | sh" e insecure, trebuie sa dai "curl -o , chmod +x ; ./stuff" si mi-au cam murit cei mai rabdatori dintre neuroni. -- P. PS: peluza din subiect se refera la "get off my lawn" _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
