Re: [GOST] Установка пакета gogost

public inbox for gost@lists.stargrave.org
Atom feed

From: Sergey Matveev <stargrave@stargrave•org>
To: gost@lists.cypherpunks.ru
Subject: Re: [GOST] Установка пакета gogost
Date: Tue, 15 Nov 2016 21:59:55 +0300	[thread overview]
Message-ID: <20161115185955.GA2033@stargrave.org> (raw)
In-Reply-To: <CAK=u2EWgKS1140CRf+kdoqg20jK84rVSdgFkJT_ZNnOtE8Fw6w@mail.gmail.com>

[-- Attachment #1: Type: text/plain, Size: 3462 bytes --]

*** Phil Kulin <phil@dip•host> [2016-11-15 15:30]:
>А почему такая странная установка gogost? Почему нельзя сделать, чтобы
>хотя бы откуда-то он ставился штатными методами самого Go?

Это речь про go get?

* они не позволяют зафиксировать/указать нужный коммит/тэг, насколько
  помню -- каждый вызов go get может скачать другую версию кода. Это не
  допустимо для детерминированных сборок
* они не позволяют указать разные URL репозиториев. Задаётся только
  что-то одно, типа github.com/foo/bar. Если эта централизованная точка
  получения кода падает -- сборку провести нельзя, не поменяв go get
  аргументы. Хотя это можно решить Makefile-ами которые будут дёргать то
  одну команду, то другую
* если появится какая-нибудь собираемая документация, типа Texinfo или
  Sphinx, то склонировав репозиторий, пользователь библиотеки не
  получает её в собранном в готовом виде. Заставлять его иметь у себя
  сборочную систему для документации я считаю не хорошо. То есть, во
  время релизов нужно как-то где-то предоставлять собранную
  документацию. Кроме того, если появляются зависимости от других
  програм, то наверняка это будет какой-то git submodule, но который
  ссылается тоже на какой-то один URL и он может лежать и просто
  склонировав gogost репозиторий и забыв сделать git submodule update --
  человек не получит у себя на жёстком диске что-то целостное. То есть:
  исходный код разработчика это исходный код разработчика, а исходный
  код готовой библиотеки -- это уже другое. Иметь в репозитории
  полностью всю собранную документацию и копию всех зависимостей
  закоммиченную -- само собой отвратительно и не красиво
* go get не предоставляет возможностей криптографической аутентификации
  скачанного кода. Управлять и "передавать" доверие в нём нельзя.
  Предоставляемые мной tarball-ы подписаны и доверие (.sig) может
  распространяться и дальше, без online-а или PKI какого-нибудь

В общем это это гибче и надёжнее.

-- 
Sergey Matveev (http://www.stargrave.org/)
OpenPGP: CF60 E89A 5923 1E76 E263  6422 AE1A 8109 E498 57EF

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

next prev parent reply	other threads:[~2016-11-15 19:00 UTC|newest]

Thread overview: 4+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2016-11-15 11:42 [GOST] Установка пакета gogost Phil Kulin
2016-11-15 18:59 ` Sergey Matveev [this message]
2016-11-15 20:19   ` Phil Kulin
2016-11-15 20:32     ` Sergey Matveev