• [^] # Re: le dilemme du dev

    Posté par (site web personnel, Mastodon) . En réponse à la dépêche La bibliothèque SDL est sortie en version 2.0. Évalué à 2.

    Un lien ? On peut trouver ce genre de blagues : https://bugzilla.redhat.com/show_bug.cgi?id=749378

    Les comparaisons ne sont foireuses que pour ceux qui ne les comprennent pas.

    Maven n'est pas pertinent parce qu'il ne va pas, au petit bonheur la chance, butiner sur des serveurs plus ou moins de confiance pour trouver comment satisfaire ses dépendances. Il faut spécifiquement indiquer à Maven quelles sources consulter pour étancher son désir de dépendance.
    Alors qu'avec pip et compagnie, tu te retrouves souvent avec des scripts s'exécutant, provenant de serveurs dont tu n'as jamais entendu parler. Sans compter que ce sont généralement des serveurs où n'importe qui déposer une version d'un composant, sans qu'il n'y ait aucun contrôle. Tout ça parce que le comportement par défaut de PIP, c'est de jeter tout principe de sécurité de base et de se tremper joyeusement dans le premier paquet qui semble correspondre à ses désirs.

    Oui, tu peux spécifier que tu ne veux pas installer, que tu ne veux que télécharger : mais ce n'est pas le comportement par défaut. Donc à la moindre erreur, s'il y a un ver qui traîne dans un paquet, tu le choppe à ton tour. Et évidement, il va se loger dans tes propres sources, que tu vas empaqueter dans un pip et uploadé (ou il va le faire tout seul, pour peut que ton trouseau de clés n'est pas protégé par une passphrase).

    Pip, c'est comme la base de registre de MS Windows : une bonne idée à la base, une implémentation merdique à l'arrivée.