[OpenSlides users-de] Virtualenv und Paketbau

[Andy Kittner]

On 11/20/13 16:38, Oskar Hahn wrote:
> Hallo Norman,
> 
> Am 20.11.2013 15:50, schrieb Norman Jäckel:
>> $ sudo pip install openslides-with-rel-deps
>>
>> oder
>>
>> $ pip install openslides-with-deps
>>
>> würde genügen. Über die Namensgebung kann man sich ja noch verständigen.
> Wenn das der einzige Kompromiss ist, auf den wir uns einigen können,
> dann sollten wir es wohl so machen. Es würde sich dann wohl anbieten die
> beiden Pakete 'vollständig' dahin inklusive des OpenSlides-Codes zu
> bauen und zu definieren, dass sie in Konflikt miteinander stehen. So
> sparen wir uns das Paket 'openslides' welches alleine nicht lauffähig wäre.

Ich hab das jetzt nur oberflächlich verfolgt, aber das hieße dann es
gäbe im PyPI zwei Pakete die die Anwender finden wenn sie da nach
openslides suchen (von denen sie dann erstmal rausfinden müssen was der
Unterschied dazwischen ist)?

Klingt nicht wirklich elegant...
Vielleicht sollte man mal schauen wie andere Web-Apps das gelöst haben?
(bei non-web-apps ist meiner Erfahrung nach der Ansatz aus Oskars 1. Mail
üblich, sprich minimum-required, open-ended)



Unabhängig davon haben static deps auch einen Nachteil der noch nicht
genannt wurde: Security-fixes
Folgendes szenario:
  - harte Abhängigkeit auf foo-1.2.3

  - In foo wird ein remote code execution exploit gefunden, foo-1.2.4
    wird mit entsprechenden Fix released

Mit "harten" Abhängigkeiten sind alle Openslides Installationen immer
noch angreifbar auch wenn zum Zeitpunkt an dem der Anwender OpenSlides
installiert schon ein Fix zur Verfügung steht.

Das ist im Prinzip die Kehrseite zu Normans Beispiel (foo-1.3.0 kommt
mit inkompatiblen Änderungen raus und frische Installationen
funktionieren nicht mehr)

Gruß,
Andy