Follow

L’enfer de Go et de tout ce qui compile tout statiquement : groups.google.com/forum/m/#!ms
Faille dans des algos de crypto. Sauf que faut pas « juste » mettre go à jour. Il faut aussi recompiler **TOUS** les softs compilés…

Ah oui, j’ai oublié que comme go n’aime vraiment pas builder sur autre chose que sur master (pas de tag/branches), ben tu pleures… Une faille de sécu, c’est rebuild le bordel, depuis master…

Ah oui, je viens de penser à un truc aussi…
Vous avez des binaires qui ont été compilé avec go et que vous avez récupérer sur le net, ou livré avec votre gestionnaire de paquets de votre distribution ?
Vous n’avez à ma connaissance :
- pas de moyen simple de savoir si vous êtes impacté ou non (vous ne pouvez pas savoir quelle version de go a été utilisée pour builder sauf à passer par du gdb & cie)
- pas la possibilité de forcer le soft en face à refaire son build s’il n’en a pas envie

@aeris C'est aussi pour ça que des développeurs et des admins sys un peu consciencieux ont créé l'intégration continue. On met à jour le fichier de dépendances, commit, push, merge, ci, deploy et hop!

@AugierLe42e Quand tu sais que go ne supporte quasiment pas les builds autres que sur master, tu penses bien que c’est tout sauf si simple que ça…

@AugierLe42e go-mods est encore tout sauf utilisable.
Et par défaut, go get & cie met tout à jour depuis master, le code local et les dépendances…

@AugierLe42e Donc du coup, même si pour *ton* code, tu fais
« git clone github.com/foo/bar -b v1.0.0 --depth 1 », tu vas devoir « go get -v -d ./... » derrière, qui va choper « master » de toutes tes dépendances. Et donc tu ne garanties **rien** par rapport à ta précédente v1.0.0… Peut y avoir des régressions… Ou pas.

@AugierLe42e @aeris

alors pourquoi j'entend plein de louanges sur ce langage... parce que là ... beurk

@katyucha @AugierLe42e C’est comme snap, docker & cie… C’est hype, ça permet de faire rapidement des choses sales qui étaient interdites avant. Et tout le monde en est content 😂

@aeris le second message... 🤦‍♂️

Alors comme c'était carrément la merde on a packagé à la rache. Du coup le paquet est un peu moche. Mais c'est pas grave, vous pouvez l'extraire comme un goret sur votre système 🤦‍♂️

@aeris tu parles de go lui-même ou d'un autre programme ? Si tu utilises les modules et le semantic versioning, ça se gère facilement.

@Keltounet go-mods, c’est pas encore sec et tout le monde n’est pas encore compatible avec…

Sign in to participate in the conversation
Mastodon

PARCE QUE C’EST MON INSTANCE !