Path: ...!news.mixmin.net!proxad.net!feeder1-2.proxad.net!cleanfeed1-a.proxad.net!nnrp1-2.free.fr!not-for-mail
Newsgroups: fr.comp.os.linux.configuration
From: Nicolas George <nicolas$george@salle-s.org>
Subject: Re: =?iso-8859-1?Q?C'est_quand_m=EAme_pas_mal=2C_Linux=2C=0A_=E0_c=F4t=E9_de?=
 =?iso-8859-1?Q?_Windows=2C_c'est_m=EAme_plut=F4t=0A_mieux=2E?=
Sender: george@phare.invalid (Nicolas George)
X-Newsreader: Flrn (0.9.20070704)
References: <t9f06k$13iur$1@dont-email.me> <62c484d2$0$22059$426a74cc@news.free.fr> <20220705170132.2155b203@coffee.novazur.fr> <ta3cih$os0$1@gioia.aioe.org> <20220706164431.4ba86746@coffee.novazur.fr> <ta60f6$mqv$1@gioia.aioe.org>
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=iso-8859-1
Date: 07 Jul 2022 09:13:35 GMT
Lines: 40
Message-ID: <62c6a3bf$0$3004$426a74cc@news.free.fr>
Organization: Guest of ProXad - France
NNTP-Posting-Date: 07 Jul 2022 11:13:35 CEST
NNTP-Posting-Host: 129.199.129.80
X-Trace: 1657185215 news-3.free.fr 3004 129.199.129.80:36710
X-Complaints-To: abuse@proxad.net
Bytes: 3491

Matthieu , dans le message <ta60f6$mqv$1@gioia.aioe.org>, a écrit :
> Il n'y a rien de magique, toutes ces dépendances doivent être gérées
> par des humains à un moment ou un autre.

En effet. Et c'est vrai également dans le cas où la dépendance est fournie
avec le logiciel. La seule différence, c'est que dans un cas les dépendances
sont gérées par les mainteneurs de la distribution, des gens qui ont
l'habitude de gérer efficacement les dépendances et qui disposent d'outils
puissants pour automatiser leur travail, alors que dans l'autre cas les
dépendances sont gérées par les développeurs de l'application, qui n'ont
aucune compétence particulière dans la gestion des dépendances.

Les implication de cette situation pour la sécurité, en particulier,
viennent de t'être expliquées.

> Ce concept a ses limites: J'ai déjà eu le cas ou des utilisateurs se
> plaignaient qu'un de mes programmes ne fonctionnaient plus sur la
> distribution X (qui l'incluait). Après investigation, il s'est avéré
> qu'une mise à jour mineure d'une bibliothèque avait introduit un
> comportement différent d'une des fonctions de cette bibliothèque. Le
> développeur crée ses programmes sur une version X de bibliothèque, il
> valide et qualifie leur fonctionnement. Si une bibliothèque change de
> comportement dans une version X.X+1, il n'y peut pas grand chose. C'est
> la raison pour laquelle j'ai une préférence pour les binaires statiques
> - je sais qu'ils contiennent exactement ce que le
> fournisseur/développeur a testé et validé.

Un développeur compétent teste son logiciel sur plusieurs versions des
bibliothèques, ou demande à ses utilisateurs de le faire s'il n'a pas le
temps tout seul.

Un développeur compétent sait, les quelles des bibliothèques qu'il utilise
tiennent leurs promesses de stabilité d'API ou pas.

Les binaires statiques et les packages lourds, c'est aussi la grande joie
des développeurs médiocres qui ne savent pas programmer de manière portable,
lire la doc d'une bibliothèque pour utiliser ses fonctionnalités comme
documenté plutôt que d'exploiter des coïncidences, et qui vont se précipiter
vers des bibliothèques médiocres et mal ficelées parce qu'ils ne sont pas
capables d'implémenter eux-mêmes des fonctionnalités élémentaires.