This page is not created by, affiliated with, or supported by Slack Technologies, Inc.
2024-01-04
Channels
- # announcements (1)
- # babashka (1)
- # beginners (84)
- # biff (22)
- # calva (9)
- # cider (8)
- # clerk (5)
- # clj-kondo (10)
- # clojure (105)
- # clojure-europe (13)
- # clojure-nl (1)
- # clojure-norway (44)
- # clojure-spec (4)
- # clojure-uk (6)
- # clojuredesign-podcast (36)
- # cursive (13)
- # datomic (24)
- # dev-tooling (8)
- # emacs (8)
- # hyperfiddle (4)
- # jobs (1)
- # leiningen (2)
- # london-clojurians (1)
- # lsp (5)
- # malli (6)
- # membrane (11)
- # nyc (1)
- # off-topic (14)
- # other-languages (8)
- # pathom (25)
- # pedestal (2)
- # re-frame (4)
- # releases (1)
- # remote-jobs (1)
- # shadow-cljs (98)
- # sql (5)
- # squint (1)
- # tools-deps (38)
- # vim (8)
- # xtdb (11)
I siste episode av Software Unscripted snakkes det om dependency management og spesifikt version-ranges. For meg så er dette et ikke problem, fordi vi har alle våre deps på eksakte versjoner. Er det vanlig, eller brukere dere version-ranges?
Kunne ikke falle meg inn å la det være opp til tilfeldighetene hvilken versjon jeg ender opp med. Spesielt ikke etter at Rich Hickey tok fra meg illusjonen om semantisk versjonering.
clojure cli er veldig ikke deterministisk. Når man sier {:mvn/version version}
sier man ingenting om hvilken maven repo man ønsker å hente fra. Først prøves clojars og deretter prøves maven central. Problemet er hvis du bruker en maven central dep og så laster noen opp en clojars dep med tilsvarende kordinat…
hehe ja
dessverre bruker nok de fleste git deps.edn biblioteker transitivt :mvn kordinater. så er litt vrient å jobbe seg rundt dette her…
eg rapporterte dette til clojure og en rekke clojure selskaper i fjor forfjor, men det var egt ingen som tok det spes seriøst 😕
ja, man trenger eierskap av domenet foo.bar for å lage clojars pakker under bar.foo/
forsåvidt en fornuftig regel, men det hjelper bare littegran med denne sårbarheten
det er trivielt å finne maven pakker hvor domenet tilsvarende groupid er utgått. for en slem hacker er det bare å snappe opp et slikt domene for så å injecte malware…
Jepp, og tiden jeg bruker på å oppdatere versjoner er ubetydelig. Jeg skrev en epost til Richard og spurte om hvorfor han vil ha version-ranges i systemet sitt.
gjøre det lettere å ha mange (aka oppdatere) dependencies? Burde være omvendt, depositum på $100 per dependency
Hva med dagbøter for alle tilfeller hvor benyttede ranges mapper til mer enn én versjon, som er proposjonalt med antallet versjoner over 1?
Det er opptil flere dager siden jeg spammet kanalen med rendering-biblioteket vi holder på med. Har jeg nevnt at det har 0 avhengigheter? 😄
Til og med da jeg tok over en kodebase som var tilnærmet urørt i 2 år tok det meg maks en halvtime å få alt på siste versjon
gruer meg til å oppdatere disse… De har endret helt på strukturen i hvordan ting requires, for å gjøre tree shaking lettere
Der er jeg vel uenig. Med ny major versjon vet du jo at alt går til helvete og kan forberede deg deretter. Ny minor? Da skal ingenting gå til helvete, men gjør det likevel og på de aller mest uventede og spektakulære måter.