Ребят, всем привет.
Тут у нас недавно было обсуждение лицензий, мне интересно мнение
Предположим, есть селф-хостед сервис с лицензией AGPL.
Вы хотите в него поконтрибутить, и видите, что нужно поставить галочку на допсоглашении, которое позволяет разработчику приложения использовать ваш код в облачной версии, где часть кода будет закрыта. (Ну то есть двойное лицензирование)
Остановит ли вас это? Какое вообще в среднем по больнице отношение к такому?

#WASM #WebAssembly #WASI #blob

https://github.com/wasilibs/go-yamllint

Технология движется семимильными шагами!

На этот раз yamllint, запускается через тот же #wazero, только это не Rust, а вполне себе настоящий интерпретатор питона, собранный под #WASI.

(спасибо нашим читателям за наводку!)

https://www.opennet.ru/opennews/art.shtml?num=62543

Тем временем, Fedora собирается поставлять бинари, оптимизированные для несуществующих микроархитектур!

https://www.opennet.ru/opennews/art.shtml?num=62544

Жабагадюкинг продолжается!

Пока это выглядит как обе компании гадят друг другу понемногу, без явного профита себе самим.

"Два ковбоя скачут по пpеpии. Один дpугому говоpит:
- Джо, деpжу паpи на сто доллаpов, что ты мое говно не съешь.
- Съем, - отвечает тот.
Поспоpили. Джо съел, Биллу пpишлось выложить сто доллаpов.
Скачут дальше. Джо стало обидно за себя он и говоpит:
- Билл, деpжу паpи на сто доллаpов, Что ты мое говно не съешь.
- Съем.
Поспоpили. Билл съел, Джо выложил сто доллаpов.
Скачут дальше. Вдpуг Билл говоpит:
- Джо, сдается мне, что мы с тобой говна бесплатно наелись."

У нас сегодня прямо улов за уловом, от наших уважаемых радиослушателей!

По теме сохранения ABI в C++ писал много раз, и про то, почему это тянет С++ на дно.

#abi

C++’s Evolution Working Group (EWG) just achieved consensus on adopting P3466 R0 - (Re)affirm design principles for future C++ evolution:

This means no ABI breaks, retain link compatibility with C and previous C++.

https://herecomesthemoon.net/2024/11/two-factions-of-cpp/

Считаю, что эта хуета должна быть обосрана в канале!

https://www.opennet.ru/opennews/art.shtml?num=62547

Градус неадевата (или толстого троллинга) продолжает возрастать!

TL;DR - какие-то школьники предложили запилить форк WordPress, на что Мулленвег пожелал им удачи, дал ряд рекомендаций по развертыванию своей инфры, и показал, куда пройти забанил на своих площадках. Ну потому что было бы странно привлекать пользователей для своего форка на площадке WP.

База?

Будни #bootstrap, #rant

Обновлял rqbit.

Это который упаковывает кучу js кода себе в бинарь, и вызывает для этого npm - https://www.tgoop.com/itpgchannel/2410

Обновление упало с ошибкой - https://gist.github.com/pg83/cd1ec54f5a4fd4f2e5cfc4b82e063c12

TL;DR - при обновлении приехал новый https://vite.dev/, который притащил за собой новый https://github.com/rollup/rollup (не спрашивайте, это говно бандлит JS код в 1 файл), который переписали на "мамой-клянусь memory safe" языке (https://github.com/rollup/rollup/tree/master/rust), а чтобы не портить пользователям малину, положили в пакет предкомпилированные даже не бинари, а .so для nodejs.

Вона там их сколько, даже для loongson есть:

https://github.com/rollup/rollup/blob/master/package.json#L19-L37

(для #stal/ix нет, ага)

Да, да, никогда такого не было, и вот, опять, зумеры подложили очередную вирусню в репу очередной supply chain attack:

#blob

https://www.tgoop.com/itpgchannel/1281
https://www.tgoop.com/itpgchannel/1301
https://www.tgoop.com/itpgchannel/2264
https://www.tgoop.com/itpgchannel/2084
https://www.tgoop.com/itpgchannel/1789
https://www.tgoop.com/itpgchannel/535

Что я сделал?

Даунгрейднул все эти зависимости, и все заработало:

https://github.com/pg83/ix/blob/main/pkgs/bin/rqbit/ix.sh#L22-L23

Что я буду делать, когда оно перестанет так собираться?

Стану проституткой!

Не знаю, изучу JS, наушники с котоушками у меня уже есть https://www.tgoop.com/itpgchannel/2444.

Ну вот, fake news...

TIL что в Unix close on exec - это close on EXEC, а не сразу после fork.

Вроде, это самоочевидно, но я раньше не сталкивался с тем, что, когда пишешь в многопоточном приложении выполняемый файл, а потом тут же его исполняешь, то возможен race, когда fork() в соседнем треде выполнился, успел прихватить fd записываемого файла, но еще не успел сделать exec.

https://github.com/golang/go/issues/22220 - симптомы проблемы

https://github.com/golang/go/issues/22315 - исчерпывающее описание, и почему это, скорее всего, не будет пофикшено.

Воркэраунд - ретраить запуск команды несколько раз, по заветам великих:

https://github.com/golang/go/issues/22220#issuecomment-336458122

https://github.com/pg83/gg/blob/main/ya.go#L449-L459

У меня в голове всегда было "делай CLOSE_ON_EXEC, и ты в шоколаде", но оказалось, что это не шоколад.

Совершенно потрясающая детективная история!

Оказалось, что эту проблему с CLOSE_ON_EXEC пофиксили в 6.11, как раз с мотивацией "доколе", и "в go плохо работает":

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2a010c412853

А у меня 6.12, и в нем, все равно, "text file busy".

Оказалось, что на это наступили пользователи #mold:

https://github.com/rui314/mold/issues/1361 - тикет
https://github.com/rui314/mold/issues/1361#issuecomment-2439427338 - результат довольно сложного debug

Автор mold зарепортил это, потому что "Linux не ломает userland" - https://lore.kernel.org/stable/CACKH++YAtEMYu2nTLUyfmxZoGO37fqogKMDkBpddmNaz5HE6ng@mail.gmail.com/T/#u

Ну и в 6.12 фикс откатили, увы :(

https://github.com/golang/go/issues/22315#issuecomment-2588481542

https://github.com/torvalds/linux/commit/3b832035387ff508fdcf0fba66701afc78f79e3d

(спасибо нашим читателям за наводку!)

Сначала мы выпивали за джунов. Пришла очередь миддлов.

Если вкратце, то Цукерберг считает, что в 2025 году системы искусственного интеллекта в Meta и других компаниях будут способны писать код, как mid-level engineers. Сначала это будет дорого, но со временем системы станут более эффективными. В конечном итоге AI engineers будут создавать большую часть кода и искусственного интеллекта в приложениях, заменив инженеров-людей.

Подробнее тут: https://x.com/slow_developer/status/1877798620692422835

Совсем подробнее тут: https://www.youtube.com/watch?v=USBW0ESLEK0

Текстом и с деталями: https://tribune.com.pk/story/2521499/zuckerberg-announces-meta-plans-to-replace-mid-level-engineers-with-ais-this-year

У меня пока все.

@cgevent

Опять dns лег?

В сообществе RISC-V вводятся новые правила голосования. Теперь участие в Special Interests Groups (SIGs) делится на две категории: Наблюдатели (Observers) и Участники (Participants). Только участники получат право голосовать в будущем.

Критерии, по которым будет определяться статус участника или контрибьютора, пока находятся в разработке. Подробные инструкции ожидаются на следующей неделе, а их официальное утверждение займет 2–3 недели.

I will also give a brief preview of the first steps for deploying the new RVI BoD policies over the next several weeks. This involves members officially self-identifying as Observers and Participants, and sorting out which participants will have voting rights (as well as preparing to track what is necessary to keep from losing one's voting right). This will just be a brief preview. Detailed guidelines are expected to be distributed to all technical groups (TGs, SIGs, IC/HCs, TSC) in the coming week. At which point putting together this official documentation will then happen over the next 2-3 weeks.

Оригинал сообщения от Greg Favor в IME TG - click

Опубликован релиз утилиты для синхронизации файлов Rsync 3.4.0, в котором устранено шесть уязвимостей. Комбинация уязвимостей CVE-2024-12084 и CVE-2024-12085 позволяет клиенту добиться выполнения своего кода на сервере. Для совершения атаки достаточно анонимного подключения к серверу Rsync с доступом на чтение. Например, атака может быть совершена на зеркала различных дистрибутивов и проектов, предоставляющих возможность загрузки сборок через Rsync. Проблема также затрагивает различные приложения для синхронизации файлов и резервного копирования, использующие Rsync в качестве бэкенда, такие как BackupPC, DeltaCopy и ChronoSync.
. . .
Для упрощения проверки обновления серверов до новой версии Rsync номер протокола в выпуске Rsync 3.4.0 повышен до 32.
. . .
CVE-2024-12084 - запись за пределы выделенного буфера через передачу некорректной контрольной суммы, размер которой превышает 16 байт.
CVE-2024-12085 - утечка содержимого неинициализированных данных из стека (по одному байту за раз) при выполнении операций сравнения контрольных сумм некорректного размера.

В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте
https://www.opennet.ru/opennews/art.shtml?num=62557

Rsync contains six vulnerabilities
https://kb.cert.org/vuls/id/952657

ЗЫ Ссылка на твит со скрина
https://x.com/KirillKorinsky/status/1879265433658020062

Типичный хреновый перевод с налётом религиозного FAANG культа.

Не надо делать как в Google. До тех пор, пока у вас нет станка, печатающего деньги. У Google он есть.

Будь у вас такой станок, делать можно всё что угодно. Это практически не повлияет на ваш успех, главное — станок не сломать. Например, можно нанимать только людей, которые любят окрошку на кефире. Про вас всё равно снимут пару фильмов, напишут книгу, будут поклоняться и копировать.

#стояделали