Говнокод #23825 — Куча — Говнокод.ру

Куча / Говнокод #23825

0
1. 1
2. 2
3. 3
4. 4
5. 5
6. 6
7. 7
```
Whether or not you check in your Pods folder is up to you, as workflows vary from project to project. We recommend that you keep the Pods directory under source control, and don't add it to your .gitignore

Benefits of checking in the Pods directory

    After cloning the repo, the project can immediately build and run, even without having CocoaPods installed on the machine. There is no need to run pod install, and no Internet connection is necessary.
    The Pod artifacts (code/libraries) are always available, even if the source of a Pod (e.g. GitHub) were to go down.
    The Pod artifacts are guaranteed to be identical to those in the original installation after cloning the repo.
```
https://guides.cocoapods.org/using/using-cocoapods.html

Запостил: Desktop, 25 Февраля 2018

Tweet
Комментарии (99) RSS
- Desktop 25.02.2018 16:31 # 0
  
  #seo
  Ответить
- SemaReal 25.02.2018 16:33 # +3
  
  и еще скомпилированный код тоже коммитить, чтобы если нету компилятора то все равно всё работало
  
  зы: почему эпл не сделает свой нормальный пекедж и депенденси менеджер? почему какое-то рубийное наколенное до сих пор существует?
  Ответить
  - bormand 25.02.2018 16:39 # +1
    
    Пойду / закоммичу, чтобы конпелятор и прочее говно не приходилось ставить.
    Ответить
    - gost 26.02.2018 20:50 # 0
      
      Осталось прихуярить "Docker".
      Ответить
      
      1024-- 02.03.2018 17:37 # 0
      
      Ммм, аватарка новая. Красивая. Давно поставили?
      Ответить
      
      gost 02.03.2018 17:39 # 0
      
      К кому ты обращаешься во множественном числе?! Я здесь один!
      Ответить
      
      1024-- 02.03.2018 19:43 # 0
      
      Будьте ж людьми, ребята.
      Ответить
      
      gost 03.03.2018 09:21 # +1
      
      Так... ну я тебе щас лекцию прочитаю. Значит, багры, перед 2017 годом, задумали расхуячить говносток на Говнокоде, то, что потом вошло в историю, как война ботов. Слушай и запоминай. Командующий налётом багров был адмирал Стертор. Средний багор на самом деле, но исполнительный... исполнительный, безусловно, профессионал.
      Ответить
      
      inho 03.03.2018 11:42 # 0
      
      $bots['barop'] = '123'; $bots['bagor'] = '123212321a'; $bots['CTEPTOP'] = 'satanail'; $bots['fajes_rown'] = 'roun'; $bots['CrashTesterAnusov'] = 'penis'; $bots['Dr_Stertor'] = 'str'; $bots['voodoodal16'] = 'voodoo16'; $bots['REVENGE_OF_STERTOR'] = 'rev'; $bots['huest'] = '123'; $bots['AntiSpam'] = 'carme'; $bots['AntiUeban'] = '1010'; $bots['CnEPMA'] = '123';
      
      Жалко, что не один из них не рабочий.
      Ответить
      
      vistefan 03.03.2018 13:11 # 0
      
      Это знать надо, это классика, блять.
      Ответить
  - Desktop 25.02.2018 17:01 # 0
    
    Меня тоже мучает этот вопрос. Они запилили Swift Packet Manager, но его используют полторы калеки (все те, кто пишут на Свифте под линь)
    
    А так Carthage намного проще и лучше, если base language это Свифт, конечно.
    Ответить
    - SemaReal 25.02.2018 17:04 # 0
      
      понаплодили зоопарков
      
      ну Carthage хоть на свифте писан
      Ответить
  - 1024-- 25.02.2018 17:02 # +2
    
    Полезно было бы иметь одинаковый формат таких репозиториев для разных ЯП, ОС, СКВ. Чтобы можно было качать то, что нужно, если есть (исходники - для разработки, скомпилированное - для использования); чтобы не качать лишнего (исходники - для использования, скомпилированное - для разработки); чтобы прозрачно добавлять скомпилированные версии под другие платформы (при изменении кода в новой ревизии считать все бинарники удалёнными в этой ревизии; при изменении или добавлении бинарников от другой платформы - считать бинарники актуальными); гитхабу - удалять старые/минорные/из неосновных веток бинарники, если лимиты превышены; ОС - отправлять неактуальные бинарники куда подальше (как в той ОС, которая запылившиеся давно не тронутые файлы отправляла на ленту) и т.д.
    Ответить
    - vistefan 25.02.2018 17:05 # 0
      
      > исходники - для использования
      > лишнего
      
      Ричард Столлман смотрит на тебя как на говно.
      Ответить
      
      SemaReal 25.02.2018 17:09 # +3
      
      Столлман совсем не против того чтобы не качал сырцы: ты можешь качать .so и .h, многие дистры так делают
      
      Но ты всегда можешь по первому требованию получить сырцы, вот в чем поинт Столлмана
      Ответить
      
      bormand 25.02.2018 17:10 # +1
      
      > по первому требованию
      Что, кстати, не означает, что ты должен сырцы раздавать всем подряд на гитхабе. Можно только тем, кому продал свой софт.
      Ответить
      
      bormand 25.02.2018 17:16 # +1
      
      Лол, можно даже бабло за загрузку исходников брать! Но не больше, чем за загрузку бинарников.
      
      Fee to download source may not be greater than the fee to download the binary.
      Ответить
    - SemaReal 25.02.2018 17:06 # +1
      
      Ого, кажется ты только что изобрел Artifactory https://jfrog.com/artifactory/
      Ответить
- bormand 25.02.2018 16:38 # 0
  
  > guaranteed to be identical to those in the original installation after cloning the repo
  Т.е. оно всегда качает последнюю версию, даже на коммит лочиться не умеет?
  Ответить
  - SemaReal 25.02.2018 16:41 # 0
    
    ахахха
    слона-то я и не приметил
    
    три раза собираешь проект на CI -- три раза разные билды получаюится
    
    но на самом деле там можно указать версия конечно
    
    pod 'AFNetworking', '~> 1.0'
    Ответить
    - chtulhu 25.02.2018 19:53 # 0
      
      на самом деле после первого запуска создается файл Podfile.lock, в котором прописаны установленые версии.
      Поэтому остальные разработчики могут выполнить pod install и те же самые версии библиотек
      Ответить
  - Desktop 25.02.2018 16:59 # +1
    
    Умеет, можно указать репу (например, форк), бранчу и коммит. Плюс есть Podfile.lock. Потому это вдвойне смешнее.
    
    Я вообще недавно узнал, что у них в доках такая рекомендация. Потому очень удивлялся, что в проекте, который щас надо поддерживать, зависимости были прямо в гите. Нуашо, в доке ж написано
    Ответить
    - SemaReal 25.02.2018 17:01 # 0
      
      ну строго говоря кокоаподс не обязательный трибут яблочника
      у кого-то и рубей может не быть
      Ответить
      
      Desktop 25.02.2018 17:02 # +1
      
      “Why do I have to install Ruby to use CocoaPods?”
      
      You don’t, macOS comes with a Ruby 2.0.0 or newer pre-installed in /usr/bin/ruby which are our baselines and these should work out of the box.
      
      https://guides.cocoapods.org/using/faq.html
      
      Шах и мат, аметисты
      Ответить
      
      SemaReal 25.02.2018 17:08 # +1
      
      охуясе я от жизы отстал
      Ответить
      
      g0_1494089135835 25.02.2018 17:21 # −5
      
      показать все, что скрытоОт "жизы" отстал твой папик: в то время, когда везде рекламировали презервативы, он продолжал практиковать прерванный половой акт - поистине дедовский метод борьбы с нежелательной беременностью.
      Ответить
      
      SemaReal 25.02.2018 18:09 # 0
      
      ты опять выходишь на связь, мудило?
      Ответить
      
      Fike 25.02.2018 22:51 # +1
      
      судя по знанию таких обычно скрываемых подробностей могу предположить только то, что ты и есть тот самый папик
      Ответить
      
      SemaReal 25.02.2018 23:02 # 0
      
      да нет, просто со стертором его собссный папик такую штуку практиковал
      Ответить
- Bobik 02.03.2018 11:04 # +1
  
  В гугле бинарники тулчейна предлагают коммитить в репозиторий: https://github.com/bazelbuild/bazel/wiki/Building-with-a-custom-toolchain
  
  Но вообще, идея не ломать свой проект, когда какому-то мудаку захочется удалить свой очередной left-pad, кажется здравой.
  Ответить
  - g0_1494089135835 02.03.2018 11:19 # 0
    
    Полижешь мою палочку?
    Ответить
  - 1024-- 02.03.2018 17:40 # −1
    
    Занятно было в мире Node.js, когда какой-то мужик снёс пару сотен своих популярных пакетов.
    Ответить
    - gost 02.03.2018 17:41 # +1
      
      Человек-Гугл спешит на помощь: https://habrahabr.ru/post/280039/
      Ответить
    - syoma 02.03.2018 17:47 # 0
      
      А что будет в других языках, в питоне том же?
      Ответить
      
      1024-- 02.03.2018 19:03 # 0
      
      Пока вся питушня зависимостей не будет явно встраиваться в новый продукт - пости то же самое?
      Ответить
      
      g0_1494034731324 02.03.2018 19:14 # 0
      
      Напостил тебе в гайморовы пазухи, проверь.
      Ответить
      
      syoma 02.03.2018 22:33 # 0
      
      Не понял, именно для этого же зависимости и нужны?
      Ответить
      
      1024-- 03.03.2018 18:58 # 0
      
      Под "явно встраиваться" я имел в виду "вкомпиливаться" или "складываться в дистрибутив". Чтоб при скачивании софтины X сразу скачивались все её зависимости, а не их список.
      Чтоб если кто-то создал X и протестировал с определёнными версиями зависимостей, по умолчанию пользователю приходило бы всё это в неизменном виде, не важно, кто там что удалил или сломал в пакетах, от которых зависит X.
      Ответить
      
      g0_1494034731324 04.03.2018 14:23 # 0
      
      Давай, давай, а ну, давай,
      Меня шмонай ты, вертухай,
      Да загляни под юбочку,
      Да посмотри на булочки.
      Понюхай попку носиком,
      Прикинься, киса, пёсиком,
      Вот в этом вся и разница,
      Кто хочет, а кто дразнится.
      
      ©Любимая группа мамки админа
      Ответить
    - SemaReal 02.03.2018 18:14 # +5
      
      мнекажется что "left-pad" и была отсылка к этой истории, не?
      Ответить
      
      1024-- 02.03.2018 18:37 # 0
      
      Да, так и есть. Я саму историю помнил, но название этого модуля - нет.
      Думал, left-pad - это совсем другая история - вот и привёл в эту пример :)
      Ответить
  - roman-kashitsyn 02.03.2018 17:42 # 0
    
    > Но вообще, идея не ломать свой проект, когда какому-то мудаку захочется удалить свой очередной left-pad, кажется здравой.
    
    Когда пробуешь пособирать какой-нибудь Haskell через cabal, поневоле хочется начать вендорить зависимости. И то сейчас уже получше, раньше вообще ад был, постоянно всё ломалось.
    Ответить
  - 3.14159265 02.03.2018 20:13 # 0
    
    Кешируйте пакеты в локальном прокси-репозитории (артифактори) конторы и будет щастье.
    
    Кстати, вон и СёмаРиал выше о том же глаголит.
    Ответить
    - Desktop 02.03.2018 21:33 # +1
      
      От $2,950 в год.
      Неплохая цена за то, чтобы left-pad не потерялся
      Ответить
      
      3.14159265 02.03.2018 21:46 # 0
      
      для нищебродов есть Nexus
      Ответить
      
      Desktop 02.03.2018 22:59 # 0
      
      https://www.sonatype.com/nexus-repository-sonatype ?
      Ответить
      
      3.14159265 02.03.2018 23:06 # 0
      
      Да.
      Ответить
      
      Desktop 02.03.2018 23:07 # 0
      
      Интересные должны быть нищеброды: https://www.sonatype.com/nexus-product-pricing
      
      Кстати, есть опыт внедрения/использования у кого-то?
      Ответить
      
      defecate-plusplus 02.03.2018 23:09 # +2
      
      мы использовали
      бесплатный
      норм
      Ответить
      
      3.14159265 02.03.2018 23:11 # +2
      
      https://www.sonatype.com/nexus-repository-oss
      
      Оно ж бесплатное. Работает хорошо, нареканий нет.
      >Nexus Repository OSS
      >The world's only repository manager with FREE support for popular formats.
      
      https://www.sonatype.com/hs-fs/hubfs/SON_NexusRepoOSS_table@2x%20(1).png?t=15 20018921654&width=540&name=SON_NexusRepo OSS_table@2x%20(1).png
      Ответить
      
      Desktop 02.03.2018 23:14 # 0
      
      Понял, не туда посмотрел.
      
      Тут прямо целая сравнительная табличка нагуглилась: http://binary-repositories-comparison.github.io/
      Ответить
      
      CHayT 03.03.2018 00:55 # 0
      
      Мы пытались, тупило@тормозило. Впрочем, возможно дело в руках прыщеадминов, которые это внедряли.
      Ответить
      
      SemaReal 03.03.2018 05:58 # 0
      
      "тупило@тормозило" не звучит как технически грамотное описание недостатков софта:) Ставлю на кривость прыщерук
      Ответить
      
      bormand 03.03.2018 10:38 # +2
      
      > не звучит как технически грамотное описание недостатков софта
      Для 90% энтерпрайзного говнища - вполне адекватное описание.
      Ответить
    - CHayT 02.03.2018 21:38 # 0
      
      Чекиньте бинари в "ClearCase", там специальная питушня есть для артефактов!
      Ответить
    - minusinho 02.03.2018 21:47 # 0
      
      сделал вид, что ты не СёмаРиал?
      Ответить
  - bormand 02.03.2018 21:47 # +1
    
    > удалить свой очередной left-pad
    Да хуй с ним, с удалением. А если бы туда вредоносный код попал?
    Ответить
    - CHayT 02.03.2018 21:58 # +3
      
      rebar3 создаёт лок-файл с хэшами зависимостей, который коммитится в репозиторий. Если кто-то изменит left-pad.erl, то по меньшей мере у всех наебнутся билды. Может и в npm до подобного додумались. Но вообще, не зеркалировать все зависимости в сколько-нибудь серьёзном проекте -- это адская некомпетентность.
      Ответить
      
      SemaReal 02.03.2018 22:00 # +2
      
      >>хэшами зависимостей,
      а обновляться как?)
      
      Зеркалировать надо еще и для того, чтобы у тебя по 150 раз в день на CI и машинах разрабов не качались одни и те же 200 мегабайт
      Ответить
      
      bormand 02.03.2018 22:01 # 0
      
      > а обновляться как
      Ну урл исходной репы там, скорее всего, тоже записан. Так что можно и обновиться (если это реально нужно).
      Ответить
      
      SemaReal 02.03.2018 22:05 # 0
      
      так при обновлении приедет новый депенденси с хешем?
      Ответить
      
      bormand 02.03.2018 22:06 # 0
      
      Ну да. Но его можно поревьювить и т.п.
      Ответить
      
      SemaReal 02.03.2018 22:09 # 0
      
      >>поревьювить
      писька в том, что в уважающем себя JS прокете (будь то клиент или сервер) зависимостей обычно штук триста (включая т.н. peer -- транзитивные). Можно сломаться все ревьюить:)
      
      Ну в целом мысля про хеш понятна:
      она гарантирует что для версии [email protected] всегда приедет один и тот же пакет
      Ответить
      
      minusinho 02.03.2018 22:13 # 0
      
      Да может сломаться только минифицированная версия.
      Статья на швабре было недавно про это.
      
      Можно заранее подготовить бекдор, а потом следующим комитом без палева его активировать.
      Ответить
      
      bormand 02.03.2018 22:21 # 0
      
      > минифицированная версия
      Нахуя её вообще качать?
      Ответить
      
      minusinho 02.03.2018 22:26 # 0
      
      Как нахуя. Чтобы самому не ебаться с минификацией? Сделал npm i - и всё готово.
      Ответить
      
      SemaReal 02.03.2018 22:26 # 0
      
      Если ты не умеешь локально компилить JS, например:)
      Хотя если ты умеешь package management, то наверняка ты умеешь и uglify/webpack/browserify итд
      Ответить
      
      minusinho 02.03.2018 22:28 # 0
      
      А могут вообще не поставлять полную версию? Или такую библиотеку сразу нахуй?
      Ответить
      
      SemaReal 02.03.2018 22:31 # 0
      
      В смысле только компилированную?:)
      
      Я о таком не слышал, наверное могут если лицензжия не позволяет
      Ответить
      
      minusinho 02.03.2018 22:34 # 0
      
      Ну вот я напесал супер-полезную либу bormand-love.js и храню у себя на компе. В npm выкладываю только углифаеную версию. Так можно?
      Ответить
      
      SemaReal 02.03.2018 22:35 # 0
      
      Следующим шагом советую начать продавать ее за деньги и требовать лицензионный ключ
      Ответить
      
      minusinho 02.03.2018 22:11 # 0
      
      У тебя не все коменты в говностоке отображаются, проверь.
      Ответить
      
      bormand 02.03.2018 22:12 # 0
      
      Скинь конкретный коммент, мне влом искать 10 отличий.
      Ответить
      
      minusinho 02.03.2018 22:15 # 0
      
      Сорян.
      Вот: http://govnokod.ru/23850#comment403216
      Ответить
      
      bormand 02.03.2018 22:36 # 0
      
      Разметку распидорасило в 23850 и 23830.
      Ответить
      
      bormand 02.03.2018 22:44 # 0
      
      Не пойму в чём причина, но парсеры (в том числе и фаерфокс) считают разметку битой, если в описании поста есть код.
      
      А код
      внутри комментов
      парсится нормально.
      Ответить
      
      plusinho 02.03.2018 22:53 # 0
      
      И в чем была проблема?
      Ответить
      
      bormand 02.03.2018 22:56 # 0
      
      Х.з., отличий на глаз не видно. Лень было разбираться, тупо разрешил парсеру корректировать ошибки в HTML.
      Ответить
      
      minusinho 02.03.2018 22:58 # 0
      
      А w3c validator ругается?
      Ответить
      
      SemaReal 02.03.2018 22:58 # +1
      
      Потому что
      code и pre в p.
      
      Скорми текст в валидатор, только поменяй заголовок на
      
      <!DOCTYPE html>
      <html >
      
      чтобы был html5 потому что xhtml strict заебет ошибками
      
      https://s13.postimg.org/cp8pj4rnr/image.png
      Ответить
      
      bormand 02.03.2018 22:58 # 0
      
      А в span значит можно?
      Ответить
      
      SemaReal 02.03.2018 23:01 # 0
      
      Скорми вот такой в валидатор
      
      <!DOCTYPE html> <html> <head> <title>asd</title> </head> <body> <p> <pre> <code>rm -rf /</code> </pre> </p> </body> </html>
      
      Ни в кого нельзя: pre блочный, его можно только в div.
      В span можно только инлайновые.
      В p вообще можно только текст и инлайновые
      
      Невалидный код у страйко, нельзя <pre> в <p>
      Ответить
      
      minusinho 02.03.2018 23:04 # 0
      
      Вспомнилось: http://govnokod.ru/18606
      Ответить
      
      SemaReal 02.03.2018 23:05 # +1
      
      /*Have a nice debug, luzers*/ span { display: block; } div, p { display: inline; }
      Ответить
      
      bormand 02.03.2018 22:50 # 0
      
      fxd
      Ответить
      
      CHayT 02.03.2018 22:04 # 0
      
      > а обновляться как?)
      Я глупость сморозил. На самом деле при изменении апстрима rebar сам изменит lock-файл, и это будет заметно в диффе.
      Ответить
      
      SemaReal 02.03.2018 22:06 # 0
      
      а, ну вот yarn так же работает:)
      
      npm тоже умеет .lock, кстати
      и вот как тут выяснили и кокоаподс ябловый умеет
      Ответить
      
      minusinho 02.03.2018 22:01 # 0
      
      Это на случай, если сделают изменение, но версию не поинкрементят?
      Ответить
      
      SemaReal 02.03.2018 22:07 # 0
      
      да, на случай если мамин хакер заспуфит пакет и сделаем там вредоносный код
      
      правда мне не очень понятно как это сделать если пакеты качаются по https
      Ответить
      
      minusinho 02.03.2018 22:09 # 0
      
      Никто не мешает самим авторам вредоноса добавить.
      Ответить
      
      bormand 02.03.2018 22:10 # 0
      
      Или мимопроходилам, которые случайно нашли пароль от учётки в репе...
      
      З.Ы. Имхо, HTTPS тут совершенно лишний и только создаёт иллюзию безопасности.
      Ответить
      
      SemaReal 02.03.2018 22:13 # 0
      
      >> HTTPS тут совершенно лишний
      бог с тобой! Без HTTPS я тебе насру в hosts или в твой DNS и ты будешь качать все зависимости с моего сайтика, а что я туда положу будет зависеть от настроения
      
      Ну вот хеш спасает конечно, но с новыми как бывть?
      Ответить
      
      bormand 02.03.2018 22:19 # 0
      
      А что добавляет HTTPS к безопасности репы? Только защищает индекс пакетов при его передаче по каналу (контент пакетов же защищён хешем, который хранится в индексе?). Но никак не защищает от его изменений самим сервером или автором пакета.
      
      Автору придётся доверять (ну или ревьювить его код каждый раз). А от сервера и прочих посредников спасёт GPG подпись автора. В итоге HTTPS в этой схеме только для красоты остаётся.
      Ответить
      
      SemaReal 02.03.2018 22:29 # 0
      
      HTTPS дает гарантию того, что ты соединился с реальной репой.
      Если репу не взломали, значит ты знаешь что новую версию пакета (на которую ты обновляешься) положил туда автор пакета. Если автор, например, Резиг, то ты знаешь что он не мудак, и пакет не будет тебе гадить.
      
      Если нет HTTPS то тебе приходится полагаться на то, что админ DNSа, которым ты сейчас пользуешься, не мудак.
      А шансы на это не очень велики, особенно в кафе или аэропорту.
      Ответить
      
      bormand 02.03.2018 22:30 # 0
      
      > положил туда автор пакета
      Не админ сервера с репой?
      Не взломавший сервер с репой?
      Не взломавший пароль автора от репы?
      
      А если у меня уже есть GPG подпись автора - то мне похуй на все эти HTTPS, они ничего нового не дадут.
      Ответить
      
      SemaReal 02.03.2018 22:34 # 0
      
      Если это локальная репа нашей конторы то я знаю что админ там хороший (я с ним пиво пил), и что его не взломали (скорее всего).
      
      Если это www.npmjs.com (или где там у них главный реп) то я почти наверяка уверен что их не сломали.
      
      Блин! Я согласен что без хешкода много дыр, но все таки HTTPS тут явно не лишний: он сразу отсекает наиболее вероятный и простой способ взлома.
      Ответить
      
      CHayT 02.03.2018 22:07 # 0
      
      Да. Или репу угонят.
      Ответить
    - Desktop 02.03.2018 22:54 # 0
      
      https://krausefx.com/blog/trusting-sdks
      Ответить
      
      SemaReal 02.03.2018 23:23 # 0
      
      Он хочет сказать что гугла нет в HSTS?)
      
      Опять таки все упирается в отсутствие https (передайте борманду за вон той партой). Не важно как тебя пидарнут: через arp spoofing-ли, через DNS, или через сломанный роутер. Важно что канал между тобой и местом, где терминируется tls надо рассматривать как НЕ безопасный.
      
      Кстати, параноки могут привязывать мак адреса к порту или ключу в случае wifi/eap
      Ответить
Добавить комментарий
Ошибка компиляции комментария:

Гости могут высказаться только в понедельник, среду, четверг или воскресение
Семь раз отмерь — один отрежь, guest!

А не использовать ли нам bbcode?

[b]жирный[/b] — жирный

[i]курсив[/i] — курсив

[u]подчеркнутый[/u] — подчеркнутый

[s]перечеркнутый[/s] — перечеркнутый

[blink]мигающий[/blink] — мигающий

[color=red]цвет[/color] — цвет (подробнее)

[size=20]размер[/size] — размер (подробнее)

[code=<language>]some code[/code] (подробнее)

Проверочный код: *

Говнокод: по колено в коде.

Куча / Говнокод #23825

Комментарии (99) RSS

Добавить комментарий