Как поделиться своими пакетами для Fedora? (хостинг пакетов, свои репозитории)

[drBatty]

ключи проверяются автоматически при установке пакета

вы что, не понимаете?
В этой теме, уважаемый alkesta предлагает ОТМЕНИТЬ проверку ЭЦП, а его все от этого отговаривают. Ибо на его гипотетическом хранилище будут лежать непроверенные пакеты, в том числе и от злоумышленников. Угу, с вирусами и с троянами.

ично мое скромное мнение - это не нужно!

Нужно. Злоумышленнику.

[alkesta]

..."полезные члены сообщества", "Создание "помойки"", "в тылу"... Ну что за манера все время ярлыки вешать?

Создание "помойки" из сорцовых пакетов приведет к тому, что люди перестанут нести пакеты в upstream, ибо там есть строгость, а тут - положил и забыл.

Совсем не факт, не вижу логической связи. Возможно кто-то увидев пакет захочет увидеть бинарную сборку в репозитории и оформит запрос с сылкой на пакет (я такое видел либо у вас в russianfedora, либо у tigro). В репозитарии и баг исправят и версию обновят, в отличие от.

Пакет, которого в репах нету, но он нужен - всегда можно в репы добавить (и в этом мы готовы помочь), но согласуясь с правилами, любой другой подход - это зло, причем зло одних пользователей, обращенное к другим и всему сообществу в целом. Если нет желания быть мейнтейнером (не важно в большой Fedora или маленьком RF), то и не фига пакеты людям предлагать.

Посмотрите выше пример из Arch, практика показывает, что ничего страшного в этом нет.
Посмотришь в suse есть, в debian есть, в mandriva есть, а в fedora нет. Погуглишь "в тылу", найдешь пакетик одного из "неполезных членов сообщества" в одной из "помоек". Он правда уже не свежей версии, но т.к. его все равно нужно в бинарный вид перевести, то качнуть крайние исходники не порблема. Спасибо этому "неполезному члену сообщества", основную работу он уже сделал для меня.

Ктсати, вопрос: Почему именно в fedora меньше всего пакетов среди основной пятерки дистрибутивов? Я действительно этого не понимаю.

Если нет желания быть мейнтейнером (не важно в большой Fedora или маленьком RF), то и не фига пакеты людям предлагать. Для себя (любимого) в сети есть 100500 всяких файловых помоек, есть github, где тоже можно разместить, что-то для себя.

Ну где вам кто-то что-то предлагает!!!???
Не порекомендуете из этих 100500 что-то?

alkesta предлагает ОТМЕНИТЬ проверку ЭЦП, а его все от этого отговаривают.

Ну с чего Вы это взяли?
Я вообще ни слова про ЭЦП не говорил. Я говорил про src.rpm

[drBatty]

Ну с чего Вы это взяли?
Я вообще ни слова про ЭЦП не говорил. Я говорил про src.rpm

Я вижу. Вы хотите ставить пакеты БЕЗ ЭЦП, просто так. Правильно? Вот это-то и плохо, ибо если у вас такое получится, то вам положат туда троян, что-бы какой-то конкретный пользователь скачал пакет от вас, и поставил его в свою систему.

практика показывает, что ничего страшного в этом нет.

ещё здесь посмотрите: http://www.google.ru/search?q=%D1%81%D0%BA...%82%D0%BD%D0%BE
зайцев там действительно нет, но вообще зверья хватает. Вы тоже такое хотите?

"полезные члены сообщества", "Создание "помойки"", "в тылу"... Ну что за манера все время ярлыки вешать?

как вас ещё убедить в том, что вы рассадник заразы собрались сделать?

[alkesta]

Я вижу. Вы хотите ставить пакеты БЕЗ ЭЦП, просто так. Правильно?
........
как вас ещё убедить в том, что вы рассадник заразы собрались сделать?

Давайте на примере.
Есть такая очень удобная для меня утилита - AtomicParsley, но пакета под fedora я не нашел.
Предположим, в сети я нашел пакет AtomicParsley-0.9.0-1.fc14.src.rpm, в нем три файла:

• AtomicParsley.spec
  AtomicParsley-source-0.9.0.zip
  AtomicParsley-fix_bad_math.patch

т.е. spec, исходник и патч.

1. Смотрим spec:

Код: Выделить всё

Name:               AtomicParsley
Version:            0.9.0
Release:            1%{?dist}
License:            GPLv2+
Summary:            Command-Line Program to Read and Set MP4 Metadata Tags
Source:             http://prdownloads.sourceforge.net/atomicparsley/%{name}-source-%{version}.zip
Patch0:             AtomicParsley-fix_bad_math.patch
URL:                http://atomicparsley.sourceforge.net
Group:              Applications/Multimedia
BuildRoot:          %{_tmppath}/%{name}-%{version}-%{release}-root-%(%{__id_u} -n)
BuildRequires:      libstdc++-devel
BuildRequires:      glibc-devel
BuildRequires:      unzip

%description
AtomicParsley is a lightweight command line program that can read and set
metadata tags in MPEG-4 files & 3gp assets in 3GPP/3GPP2 files.

%prep
%setup -q -n "%{name}-source-%{version}"
%patch0

%__sed -i '
s/g++/$CXX/g;
s/-g//g;
s/-O2/$OPTFLAGS/g;
' build

%__sed -i '1aset -e' build

%build
CXX="%__cxx" \
OPTFLAGS="%{optflags} -Wall -Wno-deprecated -fno-strict-aliasing" \
./build

%install
%__install -D -m0755 %{name} "%{buildroot}%{_bindir}/%{name}"


%clean
%__rm -rf "%{buildroot}"

%files
%defattr(-,root,root,-)
%doc COPYING
%doc *.rtf
%{_bindir}/%{name}

%changelog

2. Читаем про программу (ей пользуются разработчики ffmpeg - надеюсь этим все сказано). По ссылке указанной в Source берем исходник (Параноики могут просмотреть весь код).
3. смотрим патч AtomicParsley-fix_bad_math.patch:

Код: Выделить всё

--- AtomicParsley.cpp.orig    2010-07-23 00:42:26.000000000 +0200
+++ AtomicParsley.cpp    2010-07-23 00:54:36.000000000 +0200
@@ -1447,7 +1447,7 @@
     uint32_t atom_offsets = 0;
     char* uuid_outfile = (char*)calloc(1, sizeof(char)*MAXPATHLEN+1); //malloc a new string because it may be a cli arg for a specific output path
     if (output_path == NULL) {
-        char* orig_suffix = strrchr(originating_file, '.');
+        const char* orig_suffix = strrchr(originating_file, '.');
         if (orig_suffix == NULL) {
             fprintf(stdout, "AP warning: a file extension for the input file was not found.\n\tGlobbing onto original filename...\n");
             path_len = strlen(originating_file);
@@ -4030,21 +4030,21 @@
         //+8 so that 'free' can be accommodated; can't write a 'free' atom of length = 5 - min is 8; OR it disappears entirely
         if ( (int)udta_dynamics.max_usable_free_space >= userdata_difference + 8 ||
                userdata_difference <= -8 ||
-                     ( (int)udta_dynamics.max_usable_free_space >= 8 && -8 < userdata_difference < 0 ) ||
+                     ( (int)udta_dynamics.max_usable_free_space >= 8 && -8 < userdata_difference && userdata_difference< 0 ) ||
                      (int)udta_dynamics.max_usable_free_space == userdata_difference) {
             //fprintf(stdout, "Dynamically update possible: change = %i, free = %i\n", userdata_difference , udta_dynamics.max_usable_free_space);
             if (!moov_atom_was_mooved) { //only allow dynamic updating when moov precedes any mdat atoms...
                 udta_dynamics.dynamic_updating = true;
             } else {
                 //if there is insufficient padding when moov is rearranged to precede mdat, add default padding
-                if (pad_prefs.minimum_required_padding_size < udta_dynamics.max_usable_free_space < pad_prefs.default_padding_size) {
+                if (pad_prefs.minimum_required_padding_size < udta_dynamics.max_usable_free_space && udta_dynamics.max_usable_free_space < pad_prefs.default_padding_size) {
                     APar_ForcePadding(pad_prefs.default_padding_size);
                 }
                 APar_DetermineAtomLengths();
                 return;
             }
             //fprintf(stdout, "I'm here %u , %u, %i - %i\n", udta_dynamics.max_usable_free_space, pad_prefs.default_padding_size, udta_dynamics.free_atom_repository, udta_dynamics.free_atom_secondary_repository);
-            if (pad_prefs.minimum_required_padding_size < udta_dynamics.max_usable_free_space < pad_prefs.default_padding_size) {
+            if (pad_prefs.minimum_required_padding_size < udta_dynamics.max_usable_free_space && udta_dynamics.max_usable_free_space < pad_prefs.default_padding_size) {
                 APar_ForcePadding(pad_prefs.default_padding_size);
             }
             if (pad_prefs.minimum_required_padding_size > udta_dynamics.max_usable_free_space) {
@@ -4462,7 +4462,7 @@
 #endif

 void APar_DeriveNewPath(const char *filePath, char* temp_path, int output_type, const char* file_kind, char* forced_suffix, bool random_filename = true) {
-    char* suffix = NULL;
+    const char* suffix = NULL;
     if (forced_suffix == NULL) {
         suffix = strrchr(filePath, '.');
     } else {
@@ -4480,7 +4480,7 @@
         memcpy(temp_path, filePath, base_len);
         memcpy(temp_path + base_len, file_kind, strlen(file_kind));
 #else
-        char* file_name = strrchr(filePath, '/');
+        const char* file_name = strrchr(filePath, '/');
         size_t file_name_len = strlen(file_name);
         memcpy(temp_path, filePath, filepath_len-file_name_len+1);
         memcpy(temp_path + strlen(temp_path), ".", 1);
@@ -5006,7 +5006,7 @@
             free_modified_name = true;
             if (forced_suffix_type == FORCE_M4B_TYPE) { //using --stik Audiobook with --overWrite will change the original file's extension
                 uint16_t filename_len = strlen(m4aFile);
-                char* suffix = strrchr(m4aFile, '.');
+                const char* suffix = strrchr(m4aFile, '.');
                 memcpy(originating_file, m4aFile, filename_len+1 );
                 memcpy(originating_file + (filename_len - strlen(suffix) ), ".m4b", 5 );
             }

Тут невооруженным глазом видно - "заразы" нет. Есть 7 исправлений, что это за исправления, я думаю понятно.

4. Собираем бинарный пакет и ставим пакет в систему.

- Ткните пальцем, где бы Вы могли (чисто теоретически) подсунуть мне "заразу"!
- Собственно вот, практически я поделися пакетом в этом посте - кому от этого стало хуже? Где тут зло обращенное к другим и всему сообществу в целом?

[broom]

Я вижу. Вы хотите ставить пакеты БЕЗ ЭЦП, просто так. Правильно? Вот это-то и плохо, ибо если у вас такое получится, то вам положат туда троян, что-бы какой-то конкретный пользователь скачал пакет от вас, и поставил его в свою систему.

Ну почему же мне до сих пор никакой ерунды в Arch Linux не подсунули? Хотя я достаточно часто собираю пакеты по PKGBUILD-ам из AUR. Просмотреть PKGBUILD - минутное дело (то же самое со spec-ом).
Если у кого-то нет мозга в голове, то он себе и другими путями троянов накачает. Имхо, вы просто паникуете. Естественно, никто не предлагает ставить все подряд пакеты из "народного" репозитория на очень важные сервера.

[drBatty]

Параноики могут просмотреть весь код

параноики проверят ЭЦП, которым подписаны сырцы.

Тут невооруженным глазом видно - "заразы" нет. Есть 7 исправлений, что это за исправления, я думаю понятно.

4. Собираем бинарный пакет и ставим пакет в систему.

- Ткните пальцем, где бы Вы могли (чисто теоретически) подсунуть мне "заразу"!
- Собственно вот, практически я поделися пакетом в этом посте - кому от этого стало хуже? Где тут зло обращенное к другим и всему сообществу в целом?

угу. Посмотрели? Подпишитесь своим ключом, и выкладывайте. Я согласен. Вам дать место, куда класть? Могу и место дать, я не жадный. Я вам верю. Посему проверю вашу ЭЦП при установке, и поставлю пакет не особо вдаваясь в эти 7 фиксов.
НО! не подписанный пакет я ставить не собираюсь. и подписанный непонятно кем.
Если вы будете просматривать ВСЕ пакеты, а потом их выкладывать, люди будут ВАМ верить. До первого вашего фиаско. А оно неминуемо наступит, если вы не будете внимательно просматривать код. Или если у вас не хватит знаний обнаружить уязвимость.

Поймите: вы решили сделать благое дело, я вижу. НО - вашу благую цель развернут в прямо противоположном направлении - кинут в ваш репозиторий какую-то гадость, и виноваты окажетесь именно вы. Вам оно надо?

Просмотреть PKGBUILD - минутное дело (то же самое со spec-ом).

а вы ВСЁ просматриваете?

Ну почему же мне до сих пор никакой ерунды в Arch Linux не подсунули?

1) откуда вы знаете?
2) может быть вы просто никому не нужны?

Имхо, вы просто паникуете.

ИМХО - обычная рутинная мера предосторожности.

[serges]

> Как поделиться своими пакетами для Fedora?

Для этого ничего не надо изобретать. Все давно готово.

1. Если пакет не нарушает никаких патентов, то надо зарегистрироваться на fedoraproject.org и создать Review Request по этому пакету на bugzilla.redhat.com. В общем - это все. Подробности и куча вспомогательных утилит - тут.

2. Если пакет не может быть добавлен по лицензионным/патентным причинам - можно проделать то же самое на rpmfusion.org. Подробности - тут.

3. Если совсем не в ладах с английским, а выложить свой пакет хочется - можно написать запрос на redmine.russianfedora.ru, подробности лучше уточнить на fedora@conference.jabber.ru или fedora-devel@conference.jabber.ru.

В результате вы получите доступ в репозиторий, в который будете выкладывать пакет и его обновления. Все, что при этом требуется - это исправить ошибки и конфликты в своем пакете и привести его в соответствие общим требованиям. Если вы не хотите сделать даже этого - вы собираетесь выложить хреново сделанный неизвестно кем пакет, и хотите, чтобы все им пользовались. Вы уверены, что кому-то нужен такой пакет?

[landgraf]

Ну почему же мне до сих пор никакой ерунды в Arch Linux не подсунули?

Повезло? Была у вас там история с бинарной вставкой в патч ядра.

[alkesta]

Все вы по-своему правы.И основные репозитории это хорошо и правильно.

Казалось бы надо сделать всего (условно) три шага:
1. написать spec
2. отдать команду сборки
3. обеспечить доступ к пакету.

На практике:
Нужно насоздавать учетных записей, подписаться на рассылки, делать запросы на рассмотрение, создавать сертификаты, инсталировать клиентские сборочные инструменты, информировать и работать с апстримом, искать зарегистрированных спонсоров и т.п. и т.д. Кроме того нужно наладить контакты - люди бывают разные. Это целая жизнь, в которой надо постоянно крутиться.
Почему реализована столь "бюрократическая" процедура мне абсолютно понятно.
У меня лично нет постоянно доступных аппаратных ресурсов (до своего компа могу иногда через 2 недели добраться и то ненадолго), да и времени на всю эту жизнь явно не хватит. Вот такой я "тыловой крыс".

Написать запрос на redmine.russianfedora.ru - да, можно. У вас команда небольшая, вам там есть чем заняться и ответ вроде "Собрать можем, но поддержку его никто не гарантирует, так как он нам не интересен" вполне понятен. Это получится плохо поддерживаемое ПО, а оно противоречит "политике партии" и это правильно.

Но неужели нет какого-то компромисного альтернативного варианта, который бы вы не заклеймили "помойкой"?

[landgraf]

Но неужели нет какого-то компромисного альтернативного варианта, который бы вы не заклеймили "помойкой"?

Можете найти этот вариант? Большинство из "команды" RF являются Packager'ами в "большой" федоре и для них (или нас (: ) не составляет особого труда выложить пакет в существующие репозитории Fedora/RussianFedora (с RPMFusion несколько сложнее). Я не вижу причин, по которым, например, мне пришлось бы плодить еще один репозиторий.

Нужно насоздавать учетных записей

если мы о Fedora - там одна учетка FAS аккаунт. Если о RF - работа над SSO идет, правда пока очень медленно

искать зарегистрированных спонсоров

один раз, во время рассмотрения первого пакета, да, согласен, найти спонсора - одна из самых сложных задач, более того в рассылке постоянно проскакивают идеи и предложения как уйти от этого, вернее упростить процедуру. Но текущие упрощения, пока, касаются только разработчиков.


Да, если говорить об AUR - я оттуда пакеты ставил только в двух случаях

1) Сборщик пакета - мой коллега, хороший знакомый
2) Пакет довольно небольшой или простособираемый и можно быстро просмотреть PKGBUILD.

[serges]

Казалось бы надо сделать всего (условно) три шага:
1. написать spec
2. отдать команду сборки
3. обеспечить доступ к пакету.

И на выходе получить кривой пакет, который нельзя корректно обновить или удалить, потому что автор снабдил его кучей вспомогательных скриптов, но забыл написать для них обновление? Нет, на самом деле шаг всего один - надо выложить КАЧЕСТВЕННЫЙ пакет.

На практике:
Нужно насоздавать учетных записей

Да, нужно. Причем это нужно сделать в любом случае. Анонимно пакеты не принимают даже в арче.

Все остальные пункты:

подписаться на рассылки, делать запросы на рассмотрение, создавать сертификаты, инсталировать клиентские сборочные инструменты, информировать и работать с апстримом, искать зарегистрированных спонсоров и т.п. и т.д. Кроме того нужно наладить контакты

никто не заставляет делать. Это возможно, удобно, упрощает работу, но не обязательно. Точно так же как в арче есть пачка программ и скриптов для работы с AUR-ом.

Напомню, исходный вопрос был не "Как заставить кого-то собрать за меня пакет и поддерживать его для меня", а "Как поделиться своими пакетами". Есть уже готовый пакет, у того, кто собрал этот пакет ("мейнтейнера") уже установлены все утилиты сборки - ведь он смог этот пакет собрать. Ему остается написать запрос на включение этого пакета в репозиторий.

Остальное - работа инфраструктуры и сборочной машины. Например, пакет в федоре может быть автоматически пересобран в связи с обновлением его зависимостей, и мейнтейнеру ничего не придется для этого делать, mass-rebuild пройдет сам. А если бы он лежал в отдельном репозитории - это сломало бы пользователям зависимости, и мейтенеру/пользователям пришлось бы вручную править и пересобирать пакет.

Написать запрос на redmine.russianfedora.ru - да, можно. У вас команда небольшая, вам там есть чем заняться и ответ вроде "Собрать можем, но поддержку его никто не гарантирует, так как он нам не интересен" вполне понятен. Это получится плохо поддерживаемое ПО, а оно противоречит "политике партии" и это правильно.

Не понял. Результат будет такой же, каким он был бы для rpmfusion, только общаться можно на русском. Есть пакет? Он удовлетворяет требованиям качества? Тогда вот вам право на запись этого пакета в репозитории. Причем тут интересность? Но вопрос правил приема пакетов лучше уточнить непосредственно у russianfedora на jabber-конференции или форуме.

Но неужели нет какого-то компромисного альтернативного варианта, который бы вы не заклеймили "помойкой"?

Есть. Он работает много лет. И его я описал в предыдущем сообщении.

"Бюрократическая процедура" - это миф. Ее нет. Есть только одно требование - требование качества. Именно оно отличает помойку от репозитория. Оно вам не нравится? Вам хочется клепать пакеты как попало, и чтобы вас никто не проверял? Пусть юзеры жрут то, что им дают?

[alkesta]

"Бюрократическая процедура" - это миф. Ее нет. Есть только одно требование - требование качества. Именно оно отличает помойку от репозитория.

Вот Вы все время оперируете понятием "требование качества".
Я писал багрепорты и на bugzilla.redhat и в багтрекер rpmfusion и в некоторых случаях реакция была нулевая. На redhat`e некоторые вопросы так и не решены за 2 года с момента описания бага. В rpmfusion баг на данный момент уже не актуален, но он так и не был исправлен. Все это можно решить своми патчами, решение не всегда изящное, но работающее. Встает вопрос, что лучше? Пакет выполняющий свои функции с костыльным решением проблем или пакет не выполняющий свои функции но отвечающий "требованиям качества"?

Кстати, раз уж зашел вопорс о требованиях качества и т.к. тут присутствуют представители RussianFedora...
В стабильные ветки репозитория RussianFedora пакеты попадают очень быстро, т.е. не пройдя достаточного тестирования и обсуждения.
По большей части ошибки незначительны. Например, лишние зависимости. Я понимаю, что это издержки девелоперской машины, на которой установлено все по-максимуму и это на этой машине сложно отследить. Но тем не менее.
Но случаются и такие вещи как замена модуля ядра проприетарным без каких-либо предупреждений. Почему? А так один из ваших девелоперов решил. Это так, навскидку. Из-за таких вещей приходится репозитории RussianFedora держать отключенными и обновления порводить вручную с анализом.

Обращу внимание, репозиториями RussianFedora я пользуюсь. Спасибо вам за это. Это не более чем конструктивная критика.

[drBatty]

Нужно насоздавать учетных записей, подписаться на рассылки, делать запросы на рассмотрение, создавать сертификаты,

Но неужели нет какого-то компромисного альтернативного варианта, который бы вы не заклеймили "помойкой"?

нет.
и быть не может. пакет анона == пакет врага.

[landgraf]

На redhat`e некоторые вопросы так и не решены за 2 года с момента описания бага.

Все это можно решить своми патчами, решение не всегда изящное, но работающее.

Если Вы прикладываете патч и разработчик "жив" вопрос решается значительно быстрее. Если Вы просто пишете кое-как состряпанный багрепорт, а поверьте, таких в RHBZ сотни, то его рассмотрят очень нескоро. Если разработчик пропал - есть список рассылки, есть процедура "пинга" разработчика, есть co-maintainer в конце концов.

[Skyb]

RHEL же платен(для подписчиков), и вроде как они баги быстро правят...помню полугодичную уязвимость в ядре(ток не помню какую). Первые ее залатали RHEL и еще ктото.

[krege]

Я ничего не знаю про OBS. Там есть только бинарная совместимость или RedHat`овский сиснтаксис тоже применим? Просто у Suse несколько другой синтаксис, другие названия пакетов, которые прописываются в зависимостях и т.п.
А можно подробнее про OBS?
<...>
Ну тут опять на кого-то надеяться, кого-то просить...

Альтернатива - создать свой репозиторий. Создавать себе имя. Да, долго и сложно. И в нём уже, самому, отслеживать изменения зависимостей, необходимость ребилдов, качество входящих пакетов, конфликты и несовместимости.
Уж проще пройти процедуру включения в состав мэинтейнеров rpmfusion и [russian]fedora.

OBS. Совместимость на уровне spec-а.