-
@KillianOnWeb C’est compliqué. Go est par défaut incapable de builder autre chose que master, que ça soit pour ton code ou tes dépendances…Permalink On twitter.com
Mood -2 🙁
-
@KillianOnWeb Tu peux « facilement » au moins sortir une version à toi bien précise, mais le « go get -d » nécessaire derrière va te tirer du master sur l’ensemble des dépendances.On twitter.com
Mood 0
-
@KillianOnWeb Donc même avec de la CI, tu ne sais pas faire de build reproductible. Fixer une faille de sécu, c’est nécessairement upgrader des bouts de ton soft (et au moins des dépendances).Permalink On twitter.com
Mood 0
-
@KillianOnWeb Tu peux même avoir des blagues avec un code qui compilait à l’instance T, mais une dépendance qui a bougé entre temps, et qui casse le build à l’instant T+x.Permalink On twitter.com
Mood 0
-
@KillianOnWeb go-mods est supposé régler une partie du problème en facilitant un pin de version sur les dépendances, mais c’est du semver et de la compat’ auto, donc quand même des risques de régression (un build avec une lib en v1.0.0 à l’instant T pourra se faire avec une v1.0.1 à T+x).Permalink On twitter.com
Mood 0