1. Foren
  2. Kommentare
  3. Internet-Forum
  4. Alle Kommentare zum Artikel
  5. › NPM: Über 250 Node-Module wegen…

Das hat man von den tausenden Paketverwaltungen

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Das hat man von den tausenden Paketverwaltungen

    Autor: xVipeR33 23.03.16 - 15:56

    Fand es schon immer bekloppt dass jetzt jede Sprache ihre eigene Paketverwaltung mitbringen muss, inbesondere mit zentralisiertem Repository.

    Da bin ich aus dem Java-Umfeld anderes gewohnt. Da hat man einfach nur ein Build-System wie maven oder gradle, da kann man beliebig viele Pfade zu repositories bzw. archiv-quellen reintun und dann ploppt da am Ende des Build ein Archiv (jar/war) raus das man ggf. mit den dependencies zusammen an den Endanwender ausliefert. Der hat die Dependencies nicht eigenmächtig zu installieren oder aktualisieren, weshalb er auch gar keinen sprach-eigenen Paketmanager installieren muss.



    3 mal bearbeitet, zuletzt am 23.03.16 15:57 durch xVipeR33.

  2. Re: Das hat man von den tausenden Paketverwaltungen

    Autor: supersux 23.03.16 - 16:40

    xVipeR33 schrieb:
    --------------------------------------------------------------------------------
    > Fand es schon immer bekloppt dass jetzt jede Sprache ihre eigene
    > Paketverwaltung mitbringen muss, inbesondere mit zentralisiertem
    > Repository.

    Finds auch blöd, dass man Äpfel, Birnen & Bananen alle getrennt in Kisten steckt.

    > Da bin ich aus dem Java-Umfeld anderes gewohnt.
    Nein, bist du nicht. Ist in diesem Ökosystem grundsätzlich genauso.


    > Der hat die Dependencies nicht eigenmächtig
    > zu installieren oder aktualisieren, weshalb er auch gar keinen
    > sprach-eigenen Paketmanager installieren muss.

    1. komisch, bei meinem JDK war weder Ant, Maven, Buildr, SBT oder Gradle dabei
    2. was hat das mit der Meldung zu tun?

    Stell dir mal einfach mal vor, mavencentral würde ohne Vorwarnung commons-io, guava,slf4j oder gar junit rauswerfen weil sich z.B. eine "Guava Smoothie Inc." über den Namen beschwert...

  3. Re: Das hat man von den tausenden Paketverwaltungen

    Autor: dabbes 23.03.16 - 16:51

    Es hindert dich niemand daran dein Programm inkl. Abhängigkeiten zu bauen und zu publizieren.

  4. Re: Das hat man von den tausenden Paketverwaltungen

    Autor: xVipeR33 23.03.16 - 18:26

    supersux schrieb:
    --------------------------------------------------------------------------------
    > Finds auch blöd, dass man Äpfel, Birnen & Bananen alle getrennt in Kisten
    > steckt.
    Ist ja auch blöd, sind schließlich allesamt Obst und daher in Bezug auf diverse Eigenschaften wie z.B. den Vitamingehalt vergleichbar.

    > Stell dir mal einfach mal vor, mavencentral würde ohne Vorwarnung
    > commons-io, guava,slf4j oder gar junit rauswerfen weil sich z.B. eine
    > "Guava Smoothie Inc." über den Namen beschwert...
    Dann gibt es noch immer dutzende andere Repositories. In einem größeren Unternehmen hat man eh ein eigenes.
    Gegen Markenstreits hilft eine dezentralisierte Struktur natürlich nichts. Letztenendes wird sich das Projekt umbenennen müssen, wenn die Ansprüche rechtmäßig sind. Aber es hilft gegen wildgewordene Entwickler, die mal eben 250 teils weit verbreitete Projekte entfernen.

  5. Re: Das hat man von den tausenden Paketverwaltungen

    Autor: zZz 23.03.16 - 21:21

    xVipeR33 schrieb:
    --------------------------------------------------------------------------------

    > Dann gibt es noch immer dutzende andere Repositories. In einem größeren
    > Unternehmen hat man eh ein eigenes.

    Und das ist bei Node nicht so? Er hat ja nur die Einträge aus NPM gelöscht. So lange die Repositories bestehen, kann man die Paket immernoch installieren – auch mit NPM, denn das kann ja auch normale Git-Repositories als Quellen laden.

  6. Re: Das hat man von den tausenden Paketverwaltungen

    Autor: der-dicky 23.03.16 - 21:39

    xVipeR33 schrieb:
    --------------------------------------------------------------------------------
    > Fand es schon immer bekloppt dass jetzt jede Sprache ihre eigene
    > Paketverwaltung mitbringen muss, inbesondere mit zentralisiertem
    > Repository.
    Wie soll das sonnst gehen?
    >
    > Da bin ich aus dem Java-Umfeld anderes gewohnt.
    Genau, den Java hat kein eigenes System, da macht man das über maven, und das ist ja schliesslich universell...

    > Da hat man einfach nur ein
    > Build-System wie maven oder gradle, da kann man beliebig viele Pfade zu
    > repositories bzw. archiv-quellen reintun und dann ploppt da am Ende des
    > Build ein Archiv (jar/war) raus das man ggf. mit den dependencies zusammen
    > an den Endanwender ausliefert.
    npm kannst du auch andere dinge unterschieben.
    Du kannst deine eigene rigistry betreiben, du kannst aber auch einzelne pakete aus unterschiedlichsten quellen installieren, u.a. aus deinen eigenen dateisystem, du kannst git-uris angeben, oder uris zu tar.gz's...
    > Der hat die Dependencies nicht eigenmächtig
    > zu installieren oder aktualisieren, weshalb er auch gar keinen
    > sprach-eigenen Paketmanager installieren muss.

    Ah, dir geht es nicht um die art wie Dependency.management funktioniert sondern wie die Auslieferung an den Endkunden geht?

    Nun gut, node hat (noch?) kein all-in-one-packaging system, da gibt's nicht so was wie nen war, oder nen jar.

    Ich weiß aber nicht ob ich das schlimm finde, wenn ich jetzt irgendwas was in node geschrieben ist haben möchte rufe ich ein node install irgendwas auf, dann ist das da.
    wie mach ich das unter java?

    Bei java hast du ja auch ein unterschied ob du sourcen beziehen willst oder nen ausführbares jar, bei Scriptsprachen gibts da eben kein unterschied, warum soll man dann nicht für unterschiedliche anwendungsfälle den selben weg nutzen wenn man das selbe erreichen will?

  7. Re: Das hat man von den tausenden Paketverwaltungen

    Autor: supersux 24.03.16 - 08:05

    xVipeR33 schrieb:
    --------------------------------------------------------------------------------
    > supersux schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Finds auch blöd, dass man Äpfel, Birnen & Bananen alle getrennt in
    > Kisten
    > > steckt.
    > Ist ja auch blöd, sind schließlich allesamt Obst und daher in Bezug auf
    > diverse Eigenschaften wie z.B. den Vitamingehalt vergleichbar.

    und hätte sogar noch Vorteile beim Transport! Also auf gehts, bin gespannt wie dein Supermarkt dann so ankommt :-)


    > > Stell dir mal einfach mal vor, mavencentral würde ohne Vorwarnung
    > > commons-io, guava,slf4j oder gar junit rauswerfen weil sich z.B. eine
    > > "Guava Smoothie Inc." über den Namen beschwert...
    > Dann gibt es noch immer dutzende andere Repositories.

    mavencentral ist das einzige 'default' Repo, alle weiteren müssen auch eingetragen werden. Also nochmal, wo ist der Unterschied?


    EDIT- nur nochmal zum Verständnis: das Problem an der Stelle ist weder das DependenyManagement Tool noch ein zentrales Repo an sich. Die Kritik richtet sich einzig & allein gegen den 'Betreiber' des Repo und beinhaltet 2 hauptsächliche Punkte:

    a) wie kann es sein, dass einem Entwickler sein Projekt ohne Vorwarnung allein aufgrund einer Androhung eines Markenstreits seitens eines dritten entzogen wird

    b) die Möglichkeiten des simplen Unlisting seitens des Entwicklers



    1 mal bearbeitet, zuletzt am 24.03.16 08:16 durch supersux.

  8. Re: Das hat man von den tausenden Paketverwaltungen

    Autor: Bitschnipser 25.03.16 - 09:37

    supersux schrieb:
    --------------------------------------------------------------------------------
    > Stell dir mal einfach mal vor, mavencentral würde ohne Vorwarnung
    > commons-io, guava,slf4j oder gar junit rauswerfen

    Maven Central wirft keine Software raus, weder mit noch ohne Vorwarnung.
    Steht so in den Statuten.
    Noch wichtiger: Haben sie bisher eisern durchgehalten. Ohne das wären sie auch kaum so zentral geworden.

    Sollte das doch mal geschehen, weichen die Leute auf ein anderes Repository aus.

    > weil sich z.B. eine
    > "Guava Smoothie Inc." über den Namen beschwert...

    "Guava Smoothie Inc." kann sich die Beschwerde sonstwohin stecken. Marken sind an Geschäftszwecke gebunden, und ein Smoothiehersteller hat nun mal mit Software nichts am Hut.
    Selbst beim Kik Messenger finde ich es reichlich befremdlich, dass die sich über die Paketbezeichnung aufregen. Ist es deren Geschäftszweck, NPM-Module zu vertreiben? Nein? Dann ist die Beschwerde substanzlos und die Firma, die die NPM-Server betreibt, hat zuwenig Ahnung vom Markenrecht, um so ein Repository zu betreiben; die sollen sich mal eine Woche bei Maven Central für sowas schulen lassen, Maven Central hat noch nie ein Paket ausgelistet und wird sicherlich ebenfalls schwachsinnige Markenrechtsansprüche abgewehrt haben.

  9. Re: Das hat man von den tausenden Paketverwaltungen

    Autor: supersux 25.03.16 - 14:26

    Bitschnipser schrieb:
    --------------------------------------------------------------------------------
    > supersux schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Stell dir mal einfach mal vor, mavencentral würde ohne Vorwarnung
    > > commons-io, guava,slf4j oder gar junit rauswerfen
    >
    > Maven Central wirft keine Software raus, weder mit noch ohne Vorwarnung.
    > Steht so in den Statuten.
    > Noch wichtiger: Haben sie bisher eisern durchgehalten. Ohne das wären sie
    > auch kaum so zentral geworden.


    Beitrag nicht verstanden? Am besten immer erst den ursprünglichen Post und anschließend die Antworten darauf lesen ;-)

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Business Intelligence Developer (m/w/d)
    OBO Bettermann Holding GmbH & Co. KG, Menden
  2. Mitarbeiter/in Projektmanagement (m/w/d)
    Hochschule Furtwangen, Tuttlingen
  3. (Senior) Projektleiter Planning & Methodology (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr, Duisburg, Düsseldorf, Dortmund
  4. Informatikkaufmann / Fachinformatiker Systemintegration (m/w/d)
    Freeze-Dry Foods GmbH, Greven

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Switch Sports für 39,99€, Chocobo GP für 26,09€)
  2. 21,37€ mit Gutscheincode TROOPERS
  3. (stündlich aktualisiert)
  4. (u. a. Tales of Arise - Ultimate Edition für 46,99€, For Honor für 6,99€, Sword Art Online...


Haben wir etwas übersehen?

E-Mail an news@golem.de