Dired + hilang dari MELPA

15

Saya mencoba menginstal dired + dari MELPA tetapi tampaknya itu tidak lagi terdaftar. Saya juga memeriksa di sini: https://melpa.org/

Apakah ini normal?

dired package-repositories Tohiko
sumber
Saya ingin membuntuti dua pertanyaan tindak lanjut terutama untuk @Drew, tetapi untuk orang lain juga: 1) Apakah ada mekanisme untuk mengetahui pembaruan (penting) dari paket emacswiki Anda? 2) Apakah Anda memiliki dan dapatkah Anda membagikan daftar paket emacswiki 'terkunci'?
user1404316
@ user1404316 Saya sarankan Anda membuka pertanyaan baru untuk itu.
Basil

Jawaban:

9

Memang benar bahwa MELPA tidak lagi menarik pustaka dari EmacsWiki.

Silakan mendapatkan dired + dan perpustakaan lain oleh saya dari EmacsWiki: dired+.el.

Semua halaman saya di EmacsWiki dikunci (memerlukan administrator situs untuk membukanya). Tidak pernah ada masalah keamanan aktual yang dilaporkan, AFAIK.

Ya, memang benar bahwa halaman web yang dikunci tidak menghadirkan tingkat keamanan yang sama dengan tanda tangan digital (seperti yang digunakan untuk GIT). Di sisi lain, fakta bahwa beberapa kode ditandatangani secara digital dan ditarik dari repositori GIT tidak ada jaminan sama sekali bahwa kode tersebut tidak berbahaya atau berbahaya secara tidak sengaja.

(Berikut pemikiran: Jika seseorang memang ingin menyebarkan kode racun, apakah Anda pikir mereka lebih suka melakukannya dari EmacsWiki, yang memiliki beberapa unduhan, atau dari situs seperti MELPA, yang memiliki kali lebih banyak? Dari situs tempat Anda membutuhkan untuk bermain-main sedikit untuk mengunduh dan "menginstal" perpustakaan, atau dari situs di mana Anda dapat melakukan itu mau tak mau dan cepat, tanpa pemikiran atau usaha?)

Jika Anda mendapatkan salah satu perpustakaan saya di tempat lain selain dari EmacsWiki, termasuk dari https://github.com/emacsmirror/ , maka Anda akan mendapatkan versi lama yang tidak mendapat manfaat dari pemeliharaan (perbaikan bug, peningkatan). Versi dired+.elyang ada di mirror itu berasal dari November 2017. Versi di EmacsWiki berasal dari Januari 2018. Dan saya bahkan tidak yakin mirror itu akan terus diperbarui sama sekali mulai sekarang.

[Perpustakaan highlight.elsekarang tersedia juga dari cermin GitHub baru, di sini . Pemelihara mirror itu akan terus memperbarui, untuk mencerminkan versi terbaru dari wiki.]

Drew
sumber
1
Mau jelaskan downvote?
Drew
Jika bukan Anda, maka mungkin kami berdua dikejutkan oleh phantom downvoter yang sama. :) Saya telah mengubah kata-kata dalam jawaban saya untuk membuatnya lebih objektif, karena saya tidak tahu apa-apa tentang EmacsWiki dan kebijakan keamanannya.
Basil
(TKI, saya tidak pernah bermaksud mengklaim keamanannya dari otoritas pribadi.)
Basil
FWIW Dalam kasus paket EmacsWiki selain dari Anda (Drew) ada masalah keamanan yang sebenarnya, karena halaman tersebut (dan masih) dapat diedit secara global. Misalnya sepertinya jika saya mau, saya bisa mengedit ac-dabbrev atau goto-chg tanpa masalah, walaupun saya bukan penulis atau kontributor perpustakaan ini. Karena paket ditarik secara otomatis oleh MELPA, perubahan berbahaya akan dengan mudah disebarkan ke pengguna mana pun yang memutakhirkan paket mereka.
aplaice
1
@aplaice: Ya, setuju. Tetapi pengelola MELPA menyadari perbedaan itu. Perhatikan juga bahwa ada banyak tempat, termasuk emacs.SE! dan blog yang bermanfaat, di mana orang menyalin kode yang kemudian mereka gunakan dalam file init mereka dan semacamnya. Banyak tempat semacam itu memiliki risiko keamanan yang sama besarnya dengan halaman Emacs Wiki yang tidak terkunci. Saya berani bertaruh bahwa beberapa dari mereka yang berada di belakang menjaga kode wiki keluar dari MELPA memposting kode yang dapat dipotong sehingga orang lain kemudian menyalin + menempel. ;-)
Drew
7

Apakah ini normal?

Ya, MELPA baru-baru ini memperbarui kebijakannya dan tidak lagi menyertakan paket yang dihosting di EmacsWiki , mengutip alasan keamanan: https://github.com/melpa/melpa/pull/5008 . Lihat juga jawaban Drew .

Untuk saat ini Anda harus menginstalnya baik dari sumber EmacsWiki hulu di https://www.emacswiki.org/emacs/dired%2b.el atau dari klon Emacsmirror (yang berpotensi kedaluwarsa) di https://github.com/ emacsmirror / dired-plus .

Kemangi
sumber
0

Anda dapat menginstalnya menggunakan el-get . Apa yang berhasil untuk saya, langkah demi langkah:

  1. el-getSudah mencoba menginstal dari melpa, kemudian bertemu dengan semua jenis keanehan, misalnya 1982 .

  2. Jadi saya memilih pengaturan dasar dengan menambahkan ke ~/.emacs:

    (add-to-list 'load-path "~/.emacs.d/el-get/el-get")
(unless (require 'el-get nil 'noerror)
  (with-current-buffer
      (url-retrieve-synchronously
      "https://raw.githubusercontent.com/dimitri/el-get/master/el-get-install.el")
    (goto-char (point-max))
    (eval-print-last-sexp)))
(add-to-list 'el-get-recipe-path "~/.emacs.d/el-get-user/recipes")
(el-get 'sync)

  3. Restart Emacs.

  4. Mx el-get-emacswiki-build-local-recipes

  5. Mx el-get-install dired +

  6. Ditambahkan ke saya ~/.emacs:

    (require 'dired+)

Untuk memperbarui paket: Mx el-get-update dired +

feklee
sumber