Fatigué + disparu du MELPA

15

J'essaie d'installer dired + de MELPA mais il semble qu'il ne soit plus répertorié. J'ai également vérifié ici: https://melpa.org/

Est-ce normal?

Tohiko
la source
J'aimerais ajouter deux questions de suivi principalement pour @Drew, mais pour d'autres aussi: 1) Existe-t-il un mécanisme à être informé des mises à jour (importantes) de vos paquets emacswiki? 2) Avez-vous et pourriez-vous partager une liste (partielle) des paquets emacswiki «verrouillés»?
user1404316
@ user1404316 Je vous suggère d'ouvrir une nouvelle question pour cela.
Basil

Réponses:

9

Il est vrai que MELPA ne tire plus les bibliothèques d'EmacsWiki.

S'il vous plaît obtenir Dired + et d' autres bibliothèques par moi de EmacsWiki: dired+.el.

Toutes mes pages sur EmacsWiki sont verrouillées (elles nécessitent un administrateur de site pour les déverrouiller). Aucun problème de sécurité n'a été signalé, AFAIK.

Oui, il est vrai qu'une page Web verrouillée ne présente pas le même niveau de sécurité qu'une signature numérique (comme celle utilisée pour GIT). D'un autre côté, le fait qu'un code soit signé numériquement et extrait d'un référentiel GIT ne garantit nullement que le code n'est pas malveillant ou accidentellement nuisible.

(Voici une pensée: si quelqu'un voulait propager du code empoisonné, pensez-vous qu'il préférerait le faire depuis EmacsWiki, qui a peu de téléchargements, ou depuis un site comme MELPA, qui en a plusieurs fois plus? À partir d'un site où vous avez besoin jouer un peu pour télécharger et "installer" une bibliothèque, ou à partir d'un site où vous pouvez le faire bon gré mal gré et rapidement, sans réflexion ni effort?)

Si vous obtenez une de mes bibliothèques ailleurs que sur EmacsWiki, y compris sur https://github.com/emacsmirror/ , alors vous obtiendrez une ancienne version qui ne bénéficie pas de maintenance (corrections de bugs, améliorations). La version de dired+.elcela se trouve sur ce miroir date de novembre 2017. La version sur EmacsWiki date de janvier 2018. Et je ne suis même pas sûr que ce miroir continuera à être mis à jour à partir de maintenant.

[La bibliothèque highlight.elest désormais disponible également à partir d'un nouveau miroir GitHub, ici . Le responsable de ce miroir le tiendra à jour, afin de refléter la dernière version du wiki.]

A dessiné
la source
1
Voulez-vous expliquer le downvote?
Drew
Si ce n'était pas vous, alors peut-être que nous étions tous les deux frappés par le même électeur fantôme. :) J'ai modifié le libellé de ma réponse pour le rendre plus objectif, car je ne sais pratiquement rien d'EmacsWiki et de sa politique de sécurité.
Basil
(IOW, je n'ai jamais eu l'intention de faire une réclamation sur sa sécurité de l'autorité personnelle.)
Basil
FWIW Dans le cas de packages EmacsWiki autres que le vôtre (Drew), il y avait un problème de sécurité réel, car les pages étaient (et sont toujours) modifiables globalement. Par exemple, il semble que si je le voulais, je pourrais éditer ac-dabbrev ou goto-chg sans aucun problème, même si je ne suis pas un auteur ou contributeur à ces bibliothèques. Étant donné que les packages sont automatiquement extraits par MELPA, les modifications malveillantes auraient été facilement propagées à tous les utilisateurs qui ont mis à niveau leurs packages.
aplaice
1
@aplaice: Oui, d'accord. Mais les responsables du MELPA étaient conscients de cette différence. Notez également qu'il existe de nombreux endroits, y compris emacs.SE! et des blogs utiles, où les gens copient du code qu'ils utilisent ensuite dans leurs fichiers init et autres. Beaucoup de ces endroits présentent autant de risques pour la sécurité que les pages Wiki Emacs non verrouillées. Je serais prêt à parier que certains de ceux qui sont derrière le maintien du code wiki hors de MELPA publient un tel code coupable que d'autres copient puis collent. ;-)
Drew
7

Est-ce normal?

Oui, MELPA a récemment mis à jour sa politique et n'inclut plus les packages hébergés sur EmacsWiki , citant des raisons de sécurité: https://github.com/melpa/melpa/pull/5008 . Voir aussi la réponse de Drew .

Pour l'instant, vous devrez l'installer à partir de sa source EmacsWiki en amont à https://www.emacswiki.org/emacs/dired%2b.el ou à partir de son clone Emacsmirror (potentiellement obsolète) à https://github.com/ emacsmirror / dired-plus .

Basilic
la source
0

Vous pouvez l'installer en utilisant el-get . Ce qui a fonctionné pour moi, étape par étape:

  1. J'ai essayé d'installer à el-getpartir de melpa, puis j'ai rencontré toutes sortes de bizarreries, par exemple 1982 .

  2. J'ai donc opté pour la configuration de base en ajoutant à mon ~/.emacs:

    (add-to-list 'load-path "~/.emacs.d/el-get/el-get")
    (unless (require 'el-get nil 'noerror)
      (with-current-buffer
          (url-retrieve-synchronously
          "https://raw.githubusercontent.com/dimitri/el-get/master/el-get-install.el")
        (goto-char (point-max))
        (eval-print-last-sexp)))
    (add-to-list 'el-get-recipe-path "~/.emacs.d/el-get-user/recipes")
    (el-get 'sync)
    
  3. Emacs redémarré.

  4. Mx el-get-emacswiki-build-local-recipes

  5. Mx el-get-install dired +

  6. Ajouté à mon ~/.emacs:

    (require 'dired+)
    

Pour mettre à jour le package: Mx el-get-update dired +

feklee
la source