Ну смотри мое дело предложить
Хорошее, только прыгать не люблю с места на место)
mr.
Павел
отправить пр в проект
все . 2 варианта
Они не хотят повышать требования, а у меня зависимости от другой либы тянутся мне не понизить
Dmitriy
Павел
Хорошее, только прыгать не люблю с места на место)
Ну некоторые и на удаленку берут кстати на фуллтайм
SiZE
Люди, подниму повторно вопрос, есть ли тут "наркоманы", что composer.lock удаляют/игнорят и зависимости ставят через composer update?
За зависимости отвечает кто-то в тиме. Остальные через composer install. Это избавляет от гемороя
mr.
Dmitriy
Они не хотят повышать требования, а у меня зависимости от другой либы тянутся мне не понизить
У меня в личном проекте около 100 зависимостей либ. половина с моими модификациями. и ничего живем же
Dmitriy
Павел
Да я тоже живу думал может ещё какие способы имеются
Dmitriy
Подкупить лида той либрари он за деньги повысит требование
mr.
Да я тоже живу думал может ещё какие способы имеются
А зависимости на страницу как подключаются, через ассеты?
Юрий
ничего не ломалось ни разу
Юрий
а если у вас ломается - лучше надо ограничивать версии и выбирать пакеты
Юрий
нет и не вижу смысла
Павел
Ща будут тебя порицать
Юрий
даже ларавел в рамках минорных версий не так уж плох
Юрий
пускай начнут с порицания php
Юрий
7.0.7 и 7.0.8 с измененным поведением
Юрий
и если даже пхп такое позволяет - то пакеты тут явно не могут и рассматриваться
Юрий
как выше сказали в либах отдельных есть смысл
что мешает фиксировать версию более сильно чем ^5.* например?
Юрий
ладно там yarn.lock таскать, фронтендеры просто спайсами в глаза порются
Юрий
но какие примеры с пхп привести можете?
Юрий
в итоге имеем фиксированные версии с CVE
Юрий
типа как свитфмейлер недавно
Юрий
а некоторые авторы либ давно помЕрли и в итоге сидите с дырами
Юрий
каких? реальный живой пример приведи
Юрий
я тебе привожу недавнюю CVE в сфитмейлере который чуть более чем везде
Юрий
те гении которые залили композер.лок - не только нагнулись сами оголив зад, но и юзеров нагнули
mr.
я тебе привожу недавнюю CVE в сфитмейлере который чуть более чем везде
Что там со свифтмейлером и при чем тут CVE и composer.lock?
Зависимости, естественно, обновлять нужно.
Юрий
Что там со свифтмейлером и при чем тут CVE и composer.lock?
Зависимости, естественно, обновлять нужно.
при том что у тебя фиксированная версия свифта в композере поставится, с дырой
mr.
@IntergalacticImperatorImhotepII попробуй через aliases разрулить зависимости.
Юрий
и если никто не обновил композер джсон - привет
mr.
при том что у тебя фиксированная версия свифта в композере поставится, с дырой
У меня - нет. Я перед заливкой в гит переодично composer update делаю.
Юрий
у композера же нет нормальной проверки на уязвимости версий
Юрий
У меня - нет. Я перед заливкой в гит переодично composer update делаю.
а при чем тут ты? мы про левые либы
Юрий
но накой черт композер лок хранить если у тебя и так ничего не сломается и зависимости точно будут свежайшие?
mr.
В проектах нужен.
Юрий
а если в зависимой либе косяк?
Юрий
и ты например умер
Юрий
кто обновит композер?
mr.
dev ops
Юрий
что будет с теми юзерами твоего проекта?
Юрий
как же тот дух опенсурса?
mr.
Если сдох, меня заменить есть кем.
Юрий
о котором вчера тут писал
mr.
При чем тут OpenSource, ты наркоман чёль?
Юрий
мы в целом о проектах на пхп, нет?
mr.
Нет
Юрий
если у тебя бизнес логика - сам фиксируй в композере версии жестко
mr.
Я про проект который сайт
Юрий
и если будет баг критичный под тем же тегом выйдет
mr.
А не пакеты
Dmitriy
при том что у тебя фиксированная версия свифта в композере поставится, с дырой
так это на продакшене. у себя на деве нужно обновлять а потом уже заливать на прод. именно протестированные пакеты
mr.
Bohdan
Какие паттерны использует yii2 ?
Dmitriy
почти все.
Bohdan
Подскажите плз
Bohdan
где можно посомтреть инфу ?
Юрий
так это на продакшене. у себя на деве нужно обновлять а потом уже заливать на прод. именно протестированные пакеты
в общем у меня речь была несколько о другом. я о заливке в гиты этого добра дял опенсурса. а не деплое
Bohdan
изучить
Юрий
паттерны php в гугле
mr.
Юрий
если он еще не забанен
mr.
:D
mr.
- тебя в гугле забанили?
- да, я из РФ
Dmitriy
в общем у меня речь была несколько о другом. я о заливке в гиты этого добра дял опенсурса. а не деплое
значит вы друг друга не поняли. Я тоже думал что ты в проде делаешь composer update