【要約】Dependencies should be fetched directly from VCS [Hacker_News] | Summary by TechDistill
> Source: Hacker_News
Execute Primary Source
// Discussion Topic
本スレッドは、依存関係をVCSから直接取得する提案を巡る議論である。提案の背景には、中央レジストリへの依存を減らす意図がある。しかし、以下の論点が提起されている。
- ・ソースコードと配布用パッケージの乖離
- ・ビルドやトランスパイルの必要性
- ・インストール時のセキュリティリスク
// Community Consensus
提案に対しては、実務上の課題を指摘する批判的な意見が示されている。ソースコードをそのまま利用することの困難さが強調されている。
- ・反対派の主張:
- ・ソースコードは必ずしもそのまま動かない。
- ・トランスパイルやコンパイル等の工程が必要となる。
- ・インストール時の任意コード実行は、大規模運用ではリスクが高すぎる。
// Alternative Solutions
- ・中央集権的なパッケージレジストリの利用。
- ・ビルド済みのアーティファクトの配布。
// Technical Terms
Senior Engineer Insight
> 現場の視点では、VCS直接取得は再現性と速度の観点でリスクが高い。ソースからビルドする工程は、デプロイの遅延と不確実性を招く。また、インストール時のスクリプト実行は、サプライチェーン攻撃の標的となる。我々は、検証済みのアーティファクトを、不変な状態で管理すべきだ。