- 1
- 2
- 3
- 4
- 5
- 6
- 7
Whether or not you check in your Pods folder is up to you, as workflows vary from project to project. We recommend that you keep the Pods directory under source control, and don't add it to your .gitignore
Benefits of checking in the Pods directory
After cloning the repo, the project can immediately build and run, even without having CocoaPods installed on the machine. There is no need to run pod install, and no Internet connection is necessary.
The Pod artifacts (code/libraries) are always available, even if the source of a Pod (e.g. GitHub) were to go down.
The Pod artifacts are guaranteed to be identical to those in the original installation after cloning the repo.
Desktop 25.02.2018 16:31 # 0
SemaReal 25.02.2018 16:33 # +3
зы: почему эпл не сделает свой нормальный пекедж и депенденси менеджер? почему какое-то рубийное наколенное до сих пор существует?
bormand 25.02.2018 16:39 # +1
gost 26.02.2018 20:50 # 0
1024-- 02.03.2018 17:37 # 0
gost 02.03.2018 17:39 # 0
1024-- 02.03.2018 19:43 # 0
gost 03.03.2018 09:21 # +1
inho 03.03.2018 11:42 # 0
Жалко, что не один из них не рабочий.
vistefan 03.03.2018 13:11 # 0
Desktop 25.02.2018 17:01 # 0
А так Carthage намного проще и лучше, если base language это Свифт, конечно.
SemaReal 25.02.2018 17:04 # 0
ну Carthage хоть на свифте писан
1024-- 25.02.2018 17:02 # +2
vistefan 25.02.2018 17:05 # 0
> лишнего
Ричард Столлман смотрит на тебя как на говно.
SemaReal 25.02.2018 17:09 # +3
Но ты всегда можешь по первому требованию получить сырцы, вот в чем поинт Столлмана
bormand 25.02.2018 17:10 # +1
Что, кстати, не означает, что ты должен сырцы раздавать всем подряд на гитхабе. Можно только тем, кому продал свой софт.
bormand 25.02.2018 17:16 # +1
Fee to download source may not be greater than the fee to download the binary.
SemaReal 25.02.2018 17:06 # +1
bormand 25.02.2018 16:38 # 0
Т.е. оно всегда качает последнюю версию, даже на коммит лочиться не умеет?
SemaReal 25.02.2018 16:41 # 0
слона-то я и не приметил
три раза собираешь проект на CI -- три раза разные билды получаюится
но на самом деле там можно указать версия конечно
chtulhu 25.02.2018 19:53 # 0
Поэтому остальные разработчики могут выполнить pod install и те же самые версии библиотек
Desktop 25.02.2018 16:59 # +1
Я вообще недавно узнал, что у них в доках такая рекомендация. Потому очень удивлялся, что в проекте, который щас надо поддерживать, зависимости были прямо в гите. Нуашо, в доке ж написано
SemaReal 25.02.2018 17:01 # 0
у кого-то и рубей может не быть
Desktop 25.02.2018 17:02 # +1
You don’t, macOS comes with a Ruby 2.0.0 or newer pre-installed in /usr/bin/ruby which are our baselines and these should work out of the box.
https://guides.cocoapods.org/using/faq.html
Шах и мат, аметисты
SemaReal 25.02.2018 17:08 # +1
g0_1494089135835 25.02.2018 17:21 # −5
SemaReal 25.02.2018 18:09 # 0
Fike 25.02.2018 22:51 # +1
SemaReal 25.02.2018 23:02 # 0
Bobik 02.03.2018 11:04 # +1
Но вообще, идея не ломать свой проект, когда какому-то мудаку захочется удалить свой очередной left-pad, кажется здравой.
g0_1494089135835 02.03.2018 11:19 # 0
1024-- 02.03.2018 17:40 # −1
gost 02.03.2018 17:41 # +1
syoma 02.03.2018 17:47 # 0
1024-- 02.03.2018 19:03 # 0
g0_1494034731324 02.03.2018 19:14 # 0
syoma 02.03.2018 22:33 # 0
1024-- 03.03.2018 18:58 # 0
Чтоб если кто-то создал X и протестировал с определёнными версиями зависимостей, по умолчанию пользователю приходило бы всё это в неизменном виде, не важно, кто там что удалил или сломал в пакетах, от которых зависит X.
g0_1494034731324 04.03.2018 14:23 # 0
Меня шмонай ты, вертухай,
Да загляни под юбочку,
Да посмотри на булочки.
Понюхай попку носиком,
Прикинься, киса, пёсиком,
Вот в этом вся и разница,
Кто хочет, а кто дразнится.
©Любимая группа мамки админа
SemaReal 02.03.2018 18:14 # +5
1024-- 02.03.2018 18:37 # 0
Думал, left-pad - это совсем другая история - вот и привёл в эту пример :)
roman-kashitsyn 02.03.2018 17:42 # 0
Когда пробуешь пособирать какой-нибудь Haskell через cabal, поневоле хочется начать вендорить зависимости. И то сейчас уже получше, раньше вообще ад был, постоянно всё ломалось.
3.14159265 02.03.2018 20:13 # 0
Кстати, вон и СёмаРиал выше о том же глаголит.
Desktop 02.03.2018 21:33 # +1
Неплохая цена за то, чтобы left-pad не потерялся
3.14159265 02.03.2018 21:46 # 0
Desktop 02.03.2018 22:59 # 0
3.14159265 02.03.2018 23:06 # 0
Desktop 02.03.2018 23:07 # 0
Кстати, есть опыт внедрения/использования у кого-то?
defecate-plusplus 02.03.2018 23:09 # +2
бесплатный
норм
3.14159265 02.03.2018 23:11 # +2
Оно ж бесплатное. Работает хорошо, нареканий нет.
>Nexus Repository OSS
>The world's only repository manager with FREE support for popular formats.
https://www.sonatype.com/hs-fs/hubfs/SON_NexusRepoOSS_table@2x%20(1).png?t=15 20018921654&width=540&name=SON_NexusRepo OSS_table@2x%20(1).png
Desktop 02.03.2018 23:14 # 0
Тут прямо целая сравнительная табличка нагуглилась: http://binary-repositories-comparison.github.io/
CHayT 03.03.2018 00:55 # 0
SemaReal 03.03.2018 05:58 # 0
bormand 03.03.2018 10:38 # +2
Для 90% энтерпрайзного говнища - вполне адекватное описание.
CHayT 02.03.2018 21:38 # 0
minusinho 02.03.2018 21:47 # 0
bormand 02.03.2018 21:47 # +1
Да хуй с ним, с удалением. А если бы туда вредоносный код попал?
CHayT 02.03.2018 21:58 # +3
SemaReal 02.03.2018 22:00 # +2
а обновляться как?)
Зеркалировать надо еще и для того, чтобы у тебя по 150 раз в день на CI и машинах разрабов не качались одни и те же 200 мегабайт
bormand 02.03.2018 22:01 # 0
Ну урл исходной репы там, скорее всего, тоже записан. Так что можно и обновиться (если это реально нужно).
SemaReal 02.03.2018 22:05 # 0
bormand 02.03.2018 22:06 # 0
SemaReal 02.03.2018 22:09 # 0
писька в том, что в уважающем себя JS прокете (будь то клиент или сервер) зависимостей обычно штук триста (включая т.н. peer -- транзитивные). Можно сломаться все ревьюить:)
Ну в целом мысля про хеш понятна:
она гарантирует что для версии [email protected] всегда приедет один и тот же пакет
minusinho 02.03.2018 22:13 # 0
Статья на швабре было недавно про это.
Можно заранее подготовить бекдор, а потом следующим комитом без палева его активировать.
bormand 02.03.2018 22:21 # 0
Нахуя её вообще качать?
minusinho 02.03.2018 22:26 # 0
SemaReal 02.03.2018 22:26 # 0
Хотя если ты умеешь package management, то наверняка ты умеешь и uglify/webpack/browserify итд
minusinho 02.03.2018 22:28 # 0
SemaReal 02.03.2018 22:31 # 0
Я о таком не слышал, наверное могут если лицензжия не позволяет
minusinho 02.03.2018 22:34 # 0
SemaReal 02.03.2018 22:35 # 0
minusinho 02.03.2018 22:11 # 0
bormand 02.03.2018 22:12 # 0
minusinho 02.03.2018 22:15 # 0
Вот: http://govnokod.ru/23850#comment403216
bormand 02.03.2018 22:36 # 0
bormand 02.03.2018 22:44 # 0
А код парсится нормально.
plusinho 02.03.2018 22:53 # 0
bormand 02.03.2018 22:56 # 0
minusinho 02.03.2018 22:58 # 0
SemaReal 02.03.2018 22:58 # +1
code и pre в p.
Скорми текст в валидатор, только поменяй заголовок на
<!DOCTYPE html>
<html >
чтобы был html5 потому что xhtml strict заебет ошибками
https://s13.postimg.org/cp8pj4rnr/image.png
bormand 02.03.2018 22:58 # 0
SemaReal 02.03.2018 23:01 # 0
Ни в кого нельзя: pre блочный, его можно только в div.
В span можно только инлайновые.
В p вообще можно только текст и инлайновые
Невалидный код у страйко, нельзя <pre> в <p>
minusinho 02.03.2018 23:04 # 0
SemaReal 02.03.2018 23:05 # +1
bormand 02.03.2018 22:50 # 0
CHayT 02.03.2018 22:04 # 0
Я глупость сморозил. На самом деле при изменении апстрима rebar сам изменит lock-файл, и это будет заметно в диффе.
SemaReal 02.03.2018 22:06 # 0
npm тоже умеет .lock, кстати
и вот как тут выяснили и кокоаподс ябловый умеет
minusinho 02.03.2018 22:01 # 0
SemaReal 02.03.2018 22:07 # 0
правда мне не очень понятно как это сделать если пакеты качаются по https
minusinho 02.03.2018 22:09 # 0
bormand 02.03.2018 22:10 # 0
З.Ы. Имхо, HTTPS тут совершенно лишний и только создаёт иллюзию безопасности.
SemaReal 02.03.2018 22:13 # 0
бог с тобой! Без HTTPS я тебе насру в hosts или в твой DNS и ты будешь качать все зависимости с моего сайтика, а что я туда положу будет зависеть от настроения
Ну вот хеш спасает конечно, но с новыми как бывть?
bormand 02.03.2018 22:19 # 0
Автору придётся доверять (ну или ревьювить его код каждый раз). А от сервера и прочих посредников спасёт GPG подпись автора. В итоге HTTPS в этой схеме только для красоты остаётся.
SemaReal 02.03.2018 22:29 # 0
Если репу не взломали, значит ты знаешь что новую версию пакета (на которую ты обновляешься) положил туда автор пакета. Если автор, например, Резиг, то ты знаешь что он не мудак, и пакет не будет тебе гадить.
Если нет HTTPS то тебе приходится полагаться на то, что админ DNSа, которым ты сейчас пользуешься, не мудак.
А шансы на это не очень велики, особенно в кафе или аэропорту.
bormand 02.03.2018 22:30 # 0
Не админ сервера с репой?
Не взломавший сервер с репой?
Не взломавший пароль автора от репы?
А если у меня уже есть GPG подпись автора - то мне похуй на все эти HTTPS, они ничего нового не дадут.
SemaReal 02.03.2018 22:34 # 0
Если это www.npmjs.com (или где там у них главный реп) то я почти наверяка уверен что их не сломали.
Блин! Я согласен что без хешкода много дыр, но все таки HTTPS тут явно не лишний: он сразу отсекает наиболее вероятный и простой способ взлома.
CHayT 02.03.2018 22:07 # 0
Desktop 02.03.2018 22:54 # 0
SemaReal 02.03.2018 23:23 # 0
Опять таки все упирается в отсутствие https (передайте борманду за вон той партой). Не важно как тебя пидарнут: через arp spoofing-ли, через DNS, или через сломанный роутер. Важно что канал между тобой и местом, где терминируется tls надо рассматривать как НЕ безопасный.
Кстати, параноки могут привязывать мак адреса к порту или ключу в случае wifi/eap