Es liegt doch in der Natur von freier Software das es nicht DEN (TM) Hersteller gibt. Es gibt aber ggf. Projekte, die ein PPA anbieten, was ich dann für ebenso vertrauenswürdig halte, wie eine .exe von irgendeiner Hersteller-Website.
Jetzt stell dich halt nicht extra auf blöd, das ist doch peinlich. Die allerwenigsten Projekte bieten direkt ein PPA an. Natürlich wäre ein offizielles PPA genauso vertrauenswürdig wie eine offizielle EXE. Allerdings bei weitem problematischer. In der Regel musss man sich die PPAs aber mühevoll zusammensuchen.
Nur noch mal für dich ein konkretes Beispiel:
* Du hast Ubuntu 12.04 * Du willst Gimp 2.8 * Die EXE bekommst du bei Gimp.org von einer offiziell abgesegneten Quelle verlinkt. * Für Ubuntu wird auf das offizielle Software Center / Repository verwiesen. Dort gibt es aber für Ubuntu 12.04 nur Gimp 2.6.12.
Wenn du also Gimp 2.8 willst, dann musst du eine dubiose Launchpad-Quelle hinzufügen, die du auch erstmal finden musst, weil sie nicht auf der offiziellen Seite verlinkt ist und auch nicht vom GIMP Team abgesegnet ist.
Der Rest von dem was du schreibst ist genauso albern. Da mache ich mir jetzt aber nicht noch mal die Mühe darauf einzugehen. Du willst offenbar nicht verstehen und stellst dich künstlich auf blöd.
Ich bin nicht albern und du disqualifizierst dich durch deine ignoranten Unterstellungen selbst. Ich habe nicht geschrieben, dass ein Großteil der Projekte PPAs anbietet, sondern es bei einem "ggf." belassen. Wenn du also schon aus voller Kehle deine Leseschwäche herausposaunen musst, dann sei dabei doch etwas höflicher. Besten Dank im Vorraus.
Zu deinem GIMP-Problem sei gesagt, dass du entweder selbst kompilieren kannst oder aber einem der vielen Blogs glauben schenken kannst, die alle ein bestimmtes PPA für Gimp 2.8 nahelegen. Eine einfache Suche bei Google nach "GIMP 2.8 PPA" fördert schon auf der ersten Seite 5 Blogs zutage, die ich als seriös einstufen würde. Aber sicher, ja, vielleicht haben die alle eine etwaige Malware übersehen oder alle voneinander abgeschrieben. Und das ist durchaus ernst gemeint. Was ich aber wirklich nicht erkennen kann ist, wo die Schwierigkeit bei der Suche liegen soll.
> Zu deinem GIMP-Problem sei gesagt, dass du > entweder selbst kompilieren kannst
Das ist doch der Kern des vom Vorposter bezeichneten Problems:
* Für Windows bekommst du überall offizielle, vom Hersteller selbst getestete Binaries.
* Für Linux bekommst du fast nirgendwo offizielle, vertrauenswürdige aktuelle Binaries.
> oder aber einem der vielen Blogs glauben schenken > kannst
Das ist ne beschissene Frickellösung und löst das grundsätzliche Problem nicht.
Stell dir vor wie groß das Geschrei wäre, würde "Lad die Exe doch einfach von irgendnem Blog runter." der empfohlene Standard-Vertriebsweg für Windows-Binaries sein.
Wenn du selber nochmal drüber nachdenkst, findest du es nicht lustig dass im Jahre 2012 der Standardvertrieb für aktuelle Linux-Software über "irgendwelche Blogs" läuft?
Erklär mir doch mal, was für dich das Prädikat "vertrauenswürdig" erhält. Wenn mir x verschiedene technikaffine Mitmenschen sagen, dass eine bestimmte Binary sauber ist, dann ist das meiner Meinung nach schon ein starkes Indiz für die Seriosität dieser Quelle. Ob das nun in einem Blog kundgetan wird, ist doch wirklich nicht erheblich.
Und jetzt zu dem Vertiebswegemärchen: Für Ubuntu gibt es im großen und ganzen nur zwei Orte, wo du deine Pakete beziehst. Entweder von den Standardquellen oder durch ein PPA von Launchpad. Und genau wie im echten Leben, gibts da unseriöse Spinner und vernünftige Leute. Aber das steht nunmal nicht auf deren Stirn, dass muss man eben durch Reputation, z.B. Berichte von anderen Ubuntu- oder Linuxnutzer, wie etwa besagte Blogger, herausfinden.
Es ging hier im übrigen auch nicht darum, PPAs als Musterlösung darzustellen. Es sollte klar werden, dass es durchaus Wege aus der "Aktualitätsmisere" gibt, wenn man keine 6 Monate warten will. Das PPAs schwierig zu finden seien ist jedenfalls unwahr. Sie sind nicht wesentlich schwieriger ausfindig zu machen, als die Homepage eines OpenSource-Projekts. Und in letzterer Verantwortung liegt es auch, ein "offizielles" PPA herauszugeben oder anderweitig sicherzustellen, dass seine Software auf die Systeme kommt. Der Aktualität wird dabei scheinbar keine größere Bedeutung beigemessen (im Gegensatz zur Qualität, zumindest im Falle von GIMP).
Erklär mir doch mal, was für dich das Prädikat "vertrauenswürdig" erhält.
Vertrauenswürdig ist eine Quelle erstmal nur, wenn sie von dem Softwareprojekt offiziell abgesegnet ist oder aber von meinem Distributor freigegeben wurde.
Darüberhinaus gibt es natürlich noch einzelne Ausnahmen, wie z.B. seriöse Computermagazine usw. Die haben sich ihren Ruf dann aber über Jahre erarbeitet.
Wenn mir x verschiedene technikaffine Mitmenschen sagen, dass eine bestimmte Binary sauber ist, dann ist das meiner Meinung nach schon ein starkes Indiz für die Seriosität dieser Quelle.
Nein, das heißt erstmal nur, dass ein paar Blogs voneinander abgeschrieben haben. Ich kenne diese Leute nicht und weiß absolut nichts über deren Know-How oder Intentionen.
Und genau wie im echten Leben, gibts da unseriöse Spinner und vernünftige Leute. Aber das steht nunmal nicht auf deren Stirn, dass muss man eben durch Reputation, z.B. Berichte von anderen Ubuntu- oder Linuxnutzer, wie etwa besagte Blogger, herausfinden.
Und jetzt vergleiche mal dieses obskure Herausfinden der Reputation mit der Situation unter Windows, wo man stets auf den Seiten der Softwareprojekte direkt Binaries zum Download bekommt. Die auch wieder einfach deinstallierbar sind und die man leicht downgraden kann bei Bedarf.
Darüberhinaus sind PPAs, egal aus welcher Quelle, gefährlich. Erstens können sie beliebige Systempakete ersetzen und zweitens kannst du dir ganz leicht zirkulare Dependencies zuziehen, die ein Normalanwender nie wieder aufgelöst bekommt. Du kannst dir einfach ganz leicht dein System schrotten. Es steht nicht umsonst überall auf den Ubuntu-Seiten, dass Fremdquellen das System gefährden können.
Es sollte klar werden, dass es durchaus Wege aus der "Aktualitätsmisere" gibt, wenn man keine 6 Monate warten will.
Ja, eine Frickellösung die absolut nicht endanwendertauglich ist. Bedenke, wir reden hier immer noch über Softwareinstallation unter Linux vs Windows. Da hat Windows einfach um längen die Nase vorn. Die Linux Lösung ist gefährlich, schlecht wartbar und extrem unseriös weil man dubiosen Quellen vertrauen muss.
Das PPAs schwierig zu finden seien ist jedenfalls unwahr.
Für Gimp vielleicht, für exotischere Pakete sind sie zum Teil sehr schwer zu finden bzw. gar nicht vorhanden.
Und in letzterer Verantwortung liegt es auch, ein "offizielles" PPA herauszugeben oder anderweitig sicherzustellen, dass seine Software auf die Systeme kommt. Der Aktualität wird dabei scheinbar keine größere Bedeutung beigemessen (im Gegensatz zur Qualität, zumindest im Falle von GIMP).
Das kann man sehen wie man will. Ein Projekt wie GIMP hat einfach nicht die Manpower ein PPA zu verwalten. Da geht es nicht um Aktualität vs Qualität sondern ein ordentlich gewartetes PPA macht einfach eine Menge arbeit.
Ich bin kein Entwickler und habe keinen Schimmer, wieviel Arbeit die Pflege eines PPAs macht. Aber ist es denn soviel mehr, als eine Windows-Binary anzubieten? Und falls es deutlich mehr sein sollte: Was ist die Ursache dafür? Besten Dank schon jetzt für die Ausführungen.
Achso, da ich hier in aller Regel nicht soviel poste, könntest du mir noch schnell verraten, wie ich hier kommentieren kann?
Aber ist es denn soviel mehr, als eine Windows-Binary anzubieten?
Ja, wenn man es sauber und verantwortungsvoll macht.
Was ist die Ursache dafür?
Das Linux Paketmanagement und die Angewohnheit jede Library möglichst nur einmal auf dem System zu installieren.
Du hast zwei Möglichkeiten:
1. Du kompilierst einen statisch gelinkten Block zusammen, der relativ problemfrei auf allen Plattformen läuft. Das macht initial wenig arbeitet und wenig Probleme, damit bürdest du dir aber die Verantwortung für die Sicherheitsupdates aller deiner Dependencies auf. Du musst also ständig schauen ob Sicherheitslücken bekannt werden und bei Bedarf nachpatchen und neue Versionen rausbringen. Du hast also initial wenig Arbeit aber danach umso mehr. Die Anzahl der Dependencies geht bei großen Projekte oftmals in die Hunderte.
2. Du versuchst die Libraries des Betriebssystems zu verwenden und profitierst somit von den Sicherheitsupdates des Distributors. Das erfordert enorm viel Testing und ist oftmals auch nicht möglich, weil dein Projekt eben neuere Libs braucht. Wenn du die Version einer Library hochziehst, dann musst du auf API/ABI-Probleme achten, die wiederum zig andere Pakete kaputtmachen können => noch mehr Testing. Natürlich hast du dann auch für diese Libs die Verantwortung der Sicherheitsupdates. Ein sauberes PPA ist also mit extrem viel Testen und ständiger Überwachung der Libs verbunden. Darüberhinaus musst du auch dein Paket immer mal wieder testen, falls der Distributor einzelne Pakete hochzieht.
könntest du mir noch schnell verraten, wie ich hier kommentieren kann?
Mit [q]Zitat[/q] - nur anstatt von eckigen Klammern verwendest du spitze Klammern.
Du kompilierst einen statisch gelinkten Block zusammen, der relativ problemfrei auf allen Plattformen läuft. Das macht initial wenig arbeitet und wenig Probleme, damit bürdest du dir aber die Verantwortung für die Sicherheitsupdates aller deiner Dependencies auf. Du musst also ständig schauen ob Sicherheitslücken bekannt werden und bei Bedarf nachpatchen und neue Versionen rausbringen. Du hast also initial wenig Arbeit aber danach umso mehr. Die Anzahl der Dependencies geht bei großen Projekte oftmals in die Hunderte
Genau das wird, wenn ich dich richtig verstanden habe, bei Windows gemacht, weswegen die Programme als einzelnes Paket vertrieben werden können. Wäre doch eine adäquate Lösung gleiches bei bestimmten Linux-Distributionen zu machen. Vermutlich ist aber der Aufwand drei oder mehr solcher Kompilate, also Windows + wichtige Distris, gleichzeitig zu betreuen zu groß. Oder aber größere Projekte wollen nicht mit ihrer Angewohnheit brechen.
Genau das wird, wenn ich dich richtig verstanden habe, bei Windows gemacht
Nein, auch bei Windows werden DLLs verwendet und damit profitiert deine Software von den MS Sicherheitsupdates. Bei Windows gibt es nur viel weniger Probleme weil sich Microsoft enorm viel Mühe bei der Rückwärtskompatibilität gibt. OSS Entwickler scheissen auf Rückwärtskompatibilität - ist ja Open Source.
Wäre doch eine adäquate Lösung gleiches bei bestimmten Linux-Distributionen zu machen.
Machen ja ein paar: Google Chrome, Blender, FireFox, LibreOffice,...
Das ist aber nur verantwortungsvoll machbar, wenn du auch die Manpower hast die Sicherheitsupdates anzubieten. Das haben die meisten OSS Projekte nicht. Nur die großen können sich das leisten.
Vermutlich ist aber der Aufwand drei oder mehr solcher Kompilate, also Windows + wichtige Distris, gleichzeitig zu betreuen zu groß.
Der Aufwand der Wartung ist zu hoch. Das anbieten ist kein Problem. Du hättest dann auch nur 2 Pakete: Eins für Windows und eins für Linux (alle Distris). Projekte wie GIMP bieten sowas einfach nicht an, weil GIMP eh chronisch unterbesetzt ist und deren Anzahl an Abhängigkeiten vermutlich in die Hunderte geht. Das ist bei so wenig Leuten einfach nicht verantwortungsvoll machbar.
Erstmal vielen Dank für deine Ausführungen. Bleibt wohl nur zu hoffen, dass sich die Kommunikation oder Zusammenarbeit zwischen den verschiedenen Projekten erhöht bzw. die Abhängigkeiten besser koordiniert werden, sodass längerfristig die Kompatibilität mit den Bibliotheken gewahrt bleibt. Oder einfach mal jemand Geld für ein paar Entwickler locker macht, die (vermutlich) langweilige Arbeit erledigen.
Jetzt stell dich halt nicht extra auf blöd, das ist doch peinlich. Die allerwenigsten Projekte bieten direkt ein PPA an. Natürlich wäre ein offizielles PPA genauso vertrauenswürdig wie eine offizielle EXE. Allerdings bei weitem problematischer. In der Regel musss man sich die PPAs aber mühevoll zusammensuchen.
Nur noch mal für dich ein konkretes Beispiel:
* Du hast Ubuntu 12.04
* Du willst Gimp 2.8
* Die EXE bekommst du bei Gimp.org von einer offiziell abgesegneten Quelle verlinkt.
* Für Ubuntu wird auf das offizielle Software Center / Repository verwiesen. Dort gibt es aber für Ubuntu 12.04 nur Gimp 2.6.12.
Wenn du also Gimp 2.8 willst, dann musst du eine dubiose Launchpad-Quelle hinzufügen, die du auch erstmal finden musst, weil sie nicht auf der offiziellen Seite verlinkt ist und auch nicht vom GIMP Team abgesegnet ist.
Der Rest von dem was du schreibst ist genauso albern. Da mache ich mir jetzt aber nicht noch mal die Mühe darauf einzugehen. Du willst offenbar nicht verstehen und stellst dich künstlich auf blöd.
Ich bin nicht albern und du disqualifizierst dich durch deine ignoranten Unterstellungen selbst. Ich habe nicht geschrieben, dass ein Großteil der Projekte PPAs anbietet, sondern es bei einem "ggf." belassen. Wenn du also schon aus voller Kehle deine Leseschwäche herausposaunen musst, dann sei dabei doch etwas höflicher. Besten Dank im Vorraus.
Zu deinem GIMP-Problem sei gesagt, dass du entweder selbst kompilieren kannst oder aber einem der vielen Blogs glauben schenken kannst, die alle ein bestimmtes PPA für Gimp 2.8 nahelegen. Eine einfache Suche bei Google nach "GIMP 2.8 PPA" fördert schon auf der ersten Seite 5 Blogs zutage, die ich als seriös einstufen würde. Aber sicher, ja, vielleicht haben die alle eine etwaige Malware übersehen oder alle voneinander abgeschrieben. Und das ist durchaus ernst gemeint. Was ich aber wirklich nicht erkennen kann ist, wo die Schwierigkeit bei der Suche liegen soll.
> Zu deinem GIMP-Problem sei gesagt, dass du
> entweder selbst kompilieren kannst
Das ist doch der Kern des vom Vorposter bezeichneten Problems:
* Für Windows bekommst du überall offizielle, vom Hersteller selbst getestete Binaries.
* Für Linux bekommst du fast nirgendwo offizielle, vertrauenswürdige aktuelle Binaries.
> oder aber einem der vielen Blogs glauben schenken
> kannst
Das ist ne beschissene Frickellösung und löst das grundsätzliche Problem nicht.
Stell dir vor wie groß das Geschrei wäre, würde "Lad die Exe doch einfach von irgendnem Blog runter." der empfohlene Standard-Vertriebsweg für Windows-Binaries sein.
Wenn du selber nochmal drüber nachdenkst, findest du es nicht lustig dass im Jahre 2012 der Standardvertrieb für aktuelle Linux-Software über "irgendwelche Blogs" läuft?
Erklär mir doch mal, was für dich das Prädikat "vertrauenswürdig" erhält. Wenn mir x verschiedene technikaffine Mitmenschen sagen, dass eine bestimmte Binary sauber ist, dann ist das meiner Meinung nach schon ein starkes Indiz für die Seriosität dieser Quelle. Ob das nun in einem Blog kundgetan wird, ist doch wirklich nicht erheblich.
Und jetzt zu dem Vertiebswegemärchen: Für Ubuntu gibt es im großen und ganzen nur zwei Orte, wo du deine Pakete beziehst. Entweder von den Standardquellen oder durch ein PPA von Launchpad. Und genau wie im echten Leben, gibts da unseriöse Spinner und vernünftige Leute. Aber das steht nunmal nicht auf deren Stirn, dass muss man eben durch Reputation, z.B. Berichte von anderen Ubuntu- oder Linuxnutzer, wie etwa besagte Blogger, herausfinden.
Es ging hier im übrigen auch nicht darum, PPAs als Musterlösung darzustellen. Es sollte klar werden, dass es durchaus Wege aus der "Aktualitätsmisere" gibt, wenn man keine 6 Monate warten will. Das PPAs schwierig zu finden seien ist jedenfalls unwahr. Sie sind nicht wesentlich schwieriger ausfindig zu machen, als die Homepage eines OpenSource-Projekts. Und in letzterer Verantwortung liegt es auch, ein "offizielles" PPA herauszugeben oder anderweitig sicherzustellen, dass seine Software auf die Systeme kommt. Der Aktualität wird dabei scheinbar keine größere Bedeutung beigemessen (im Gegensatz zur Qualität, zumindest im Falle von GIMP).
Vertrauenswürdig ist eine Quelle erstmal nur, wenn sie von dem Softwareprojekt offiziell abgesegnet ist oder aber von meinem Distributor freigegeben wurde.
Darüberhinaus gibt es natürlich noch einzelne Ausnahmen, wie z.B. seriöse Computermagazine usw. Die haben sich ihren Ruf dann aber über Jahre erarbeitet.
Nein, das heißt erstmal nur, dass ein paar Blogs voneinander abgeschrieben haben. Ich kenne diese Leute nicht und weiß absolut nichts über deren Know-How oder Intentionen.
Und jetzt vergleiche mal dieses obskure Herausfinden der Reputation mit der Situation unter Windows, wo man stets auf den Seiten der Softwareprojekte direkt Binaries zum Download bekommt. Die auch wieder einfach deinstallierbar sind und die man leicht downgraden kann bei Bedarf.
Darüberhinaus sind PPAs, egal aus welcher Quelle, gefährlich. Erstens können sie beliebige Systempakete ersetzen und zweitens kannst du dir ganz leicht zirkulare Dependencies zuziehen, die ein Normalanwender nie wieder aufgelöst bekommt. Du kannst dir einfach ganz leicht dein System schrotten. Es steht nicht umsonst überall auf den Ubuntu-Seiten, dass Fremdquellen das System gefährden können.
Ja, eine Frickellösung die absolut nicht endanwendertauglich ist. Bedenke, wir reden hier immer noch über Softwareinstallation unter Linux vs Windows. Da hat Windows einfach um längen die Nase vorn. Die Linux Lösung ist gefährlich, schlecht wartbar und extrem unseriös weil man dubiosen Quellen vertrauen muss.
Für Gimp vielleicht, für exotischere Pakete sind sie zum Teil sehr schwer zu finden bzw. gar nicht vorhanden.
Das kann man sehen wie man will. Ein Projekt wie GIMP hat einfach nicht die Manpower ein PPA zu verwalten. Da geht es nicht um Aktualität vs Qualität sondern ein ordentlich gewartetes PPA macht einfach eine Menge arbeit.
Ich bin kein Entwickler und habe keinen Schimmer, wieviel Arbeit die Pflege eines PPAs macht. Aber ist es denn soviel mehr, als eine Windows-Binary anzubieten? Und falls es deutlich mehr sein sollte: Was ist die Ursache dafür? Besten Dank schon jetzt für die Ausführungen.
Achso, da ich hier in aller Regel nicht soviel poste, könntest du mir noch schnell verraten, wie ich hier kommentieren kann?
Ja, wenn man es sauber und verantwortungsvoll macht.
Das Linux Paketmanagement und die Angewohnheit jede Library möglichst nur einmal auf dem System zu installieren.
Du hast zwei Möglichkeiten:
1. Du kompilierst einen statisch gelinkten Block zusammen, der relativ problemfrei auf allen Plattformen läuft. Das macht initial wenig arbeitet und wenig Probleme, damit bürdest du dir aber die Verantwortung für die Sicherheitsupdates aller deiner Dependencies auf. Du musst also ständig schauen ob Sicherheitslücken bekannt werden und bei Bedarf nachpatchen und neue Versionen rausbringen. Du hast also initial wenig Arbeit aber danach umso mehr. Die Anzahl der Dependencies geht bei großen Projekte oftmals in die Hunderte.
2. Du versuchst die Libraries des Betriebssystems zu verwenden und profitierst somit von den Sicherheitsupdates des Distributors. Das erfordert enorm viel Testing und ist oftmals auch nicht möglich, weil dein Projekt eben neuere Libs braucht. Wenn du die Version einer Library hochziehst, dann musst du auf API/ABI-Probleme achten, die wiederum zig andere Pakete kaputtmachen können => noch mehr Testing. Natürlich hast du dann auch für diese Libs die Verantwortung der Sicherheitsupdates. Ein sauberes PPA ist also mit extrem viel Testen und ständiger Überwachung der Libs verbunden. Darüberhinaus musst du auch dein Paket immer mal wieder testen, falls der Distributor einzelne Pakete hochzieht.
Mit [q]Zitat[/q] - nur anstatt von eckigen Klammern verwendest du spitze Klammern.
Genau das wird, wenn ich dich richtig verstanden habe, bei Windows gemacht, weswegen die Programme als einzelnes Paket vertrieben werden können. Wäre doch eine adäquate Lösung gleiches bei bestimmten Linux-Distributionen zu machen. Vermutlich ist aber der Aufwand drei oder mehr solcher Kompilate, also Windows + wichtige Distris, gleichzeitig zu betreuen zu groß. Oder aber größere Projekte wollen nicht mit ihrer Angewohnheit brechen.
Nein, auch bei Windows werden DLLs verwendet und damit profitiert deine Software von den MS Sicherheitsupdates. Bei Windows gibt es nur viel weniger Probleme weil sich Microsoft enorm viel Mühe bei der Rückwärtskompatibilität gibt. OSS Entwickler scheissen auf Rückwärtskompatibilität - ist ja Open Source.
Machen ja ein paar: Google Chrome, Blender, FireFox, LibreOffice,...
Das ist aber nur verantwortungsvoll machbar, wenn du auch die Manpower hast die Sicherheitsupdates anzubieten. Das haben die meisten OSS Projekte nicht. Nur die großen können sich das leisten.
Der Aufwand der Wartung ist zu hoch. Das anbieten ist kein Problem. Du hättest dann auch nur 2 Pakete: Eins für Windows und eins für Linux (alle Distris). Projekte wie GIMP bieten sowas einfach nicht an, weil GIMP eh chronisch unterbesetzt ist und deren Anzahl an Abhängigkeiten vermutlich in die Hunderte geht. Das ist bei so wenig Leuten einfach nicht verantwortungsvoll machbar.
Erstmal vielen Dank für deine Ausführungen. Bleibt wohl nur zu hoffen, dass sich die Kommunikation oder Zusammenarbeit zwischen den verschiedenen Projekten erhöht bzw. die Abhängigkeiten besser koordiniert werden, sodass längerfristig die Kompatibilität mit den Bibliotheken gewahrt bleibt. Oder einfach mal jemand Geld für ein paar Entwickler locker macht, die (vermutlich) langweilige Arbeit erledigen.
Zitieren meine ich natürlich...