パスワードを忘れた? アカウント作成
12048948 journal
日記

Tellur52の日記: Mavenのパッケージ芋づる地獄 3

日記 by Tellur52

おためしとばかり、Apache Sparkのソースをダウンロードして、
MavenとScalaも導入してから、ビルドをしてみたら、
次々とダウンロードされるPOMとJARの嵐・・・

HadoopやOpendaylightのソースの時も体験したけど、
釣られるパッケージを見ると、もうjava.util.loggingだけでもいいのに、
と秘かに思うのに、log4jがいたり、
お、avroさんこんにちは、こっちでも元気?とか、
お馴染みのパッケージが機能重複も構わず色々とやってきます。

まあ、ひどいケースではApache Commons Loggingとlog4jが仲良く並んだり、
avroとProtocol Buffersが同居したり、
JSONパーサが複数いたり等々、
無秩序なパッケージのリンクが出来て、
ソース追っかけきれないよとか、メモリどうするのとか、
プロジェクトの先行きに非常に不安を覚えるのですが。

プロジェクトの中の人にとっては、「動けば正義」なんですかねえ?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • わらわらと仲間(依存パッケージ)を呼ぶアニメでもいいけど。
    単なる物好きやその道の専門家までそれぞれ異なる視点で満足してもらえるのではないだろうか。

  • by Anonymous Coward on 2015年05月06日 18時19分 (#2809621)

    もっと他に考えたいことは色々あるだろうからね。
    リソースは常に有限。

  • by Anonymous Coward on 2015年05月07日 11時42分 (#2809942)

    依存するものの正当性というか、変なバックドアとか入っていないよね、という保証ができないバイナリを
    入れないと動かないというのも怖い話ですよね。
    あまりにも依存性が多くて、ソースからビルドできないというのも分かるんですが、バイナリの正当性を
    保証する仕組みを用意しないと、いくらセキュリティを強化しても、大事なデータが外部に流出したり、
    踏み台にされることを防げないような気がするんですよね。

    この辺のことは、翻訳記事 [blogspot.jp]として出ていますが、
    今後どうなっていくんでしょうかね

    # ディジタルネイティブ世代では、「Unix アプリはソースからビルド」なんて死語だったりするのかな?

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...