Здравствуйте, Pzz, Вы писали:

Pzz>Здравствуйте, dsorokin, Вы писали:

Pzz>>>А в rust еще не завезли vendoring, как в Go?

D>>Давно есть. Можно рассматривать как частный случай зеркалирования, когда все зависимости таскаешь с собой, а они не лежат где-нибудь в интранете в нексусе.

Pzz>Ну vendoring вроде решает проблему с недоступностью источника...

Нет, конечно! Главное, что не решает саму проблему!

Скажу банальные вещи, но здесь нужна децентрализация в распространении библиотек, причем децентрализация с элементами той же сертификации или с элементами ответственности мейнтейнеров. Примерно так и происходит у дистрибутивов линукса, но для C и C++, а нужно для большего числа языков. Впрочем, мы приехали к тому, с чего начинали в этом чате

Мне кажется, что должно пройти время, которое осудит модель распространения библиотек с единым репозиторием. Они уязвимы по определению. Просто это время еще не пришло, не пришло массовое осознание, хотя первые шаги уже сделаны. Например, были всяко-разные инциденты у того же npm. Ладно, это не нам решать!