Tellur52の日記: Mavenのパッケージ芋づる地獄 3
日記 by
Tellur52
おためしとばかり、Apache Sparkのソースをダウンロードして、
MavenとScalaも導入してから、ビルドをしてみたら、
次々とダウンロードされるPOMとJARの嵐・・・
HadoopやOpendaylightのソースの時も体験したけど、
釣られるパッケージを見ると、もうjava.util.loggingだけでもいいのに、
と秘かに思うのに、log4jがいたり、
お、avroさんこんにちは、こっちでも元気?とか、
お馴染みのパッケージが機能重複も構わず色々とやってきます。
まあ、ひどいケースではApache Commons Loggingとlog4jが仲良く並んだり、
avroとProtocol Buffersが同居したり、
JSONパーサが複数いたり等々、
無秩序なパッケージのリンクが出来て、
ソース追っかけきれないよとか、メモリどうするのとか、
プロジェクトの先行きに非常に不安を覚えるのですが。
プロジェクトの中の人にとっては、「動けば正義」なんですかねえ?
もし依存性を図示視覚化するサイトがあれば… (スコア:1)
わらわらと仲間(依存パッケージ)を呼ぶアニメでもいいけど。
単なる物好きやその道の専門家までそれぞれ異なる視点で満足してもらえるのではないだろうか。
まぁ (スコア:0)
もっと他に考えたいことは色々あるだろうからね。
リソースは常に有限。
そのPOM 本当に大丈夫? (スコア:0)
依存するものの正当性というか、変なバックドアとか入っていないよね、という保証ができないバイナリを
入れないと動かないというのも怖い話ですよね。
あまりにも依存性が多くて、ソースからビルドできないというのも分かるんですが、バイナリの正当性を
保証する仕組みを用意しないと、いくらセキュリティを強化しても、大事なデータが外部に流出したり、
踏み台にされることを防げないような気がするんですよね。
この辺のことは、翻訳記事 [blogspot.jp]として出ていますが、
今後どうなっていくんでしょうかね
# ディジタルネイティブ世代では、「Unix アプリはソースからビルド」なんて死語だったりするのかな?