[Cascavel-pm] dúvida sobre cpan

[Breno G. de Oliveira]

Nilson Santos Figueiredo Junior wrote:
> 
>>E é muito comum ir no CPAN pegar um módulo "com mais de 200 anos de idade que não é mantido" para
>>testar até que descobrimos outro módulo muito superior e com atualizações constantes. Nisso temos
>>um bando de possíveis brechas de segurança.
> 
> 
> E deixar ele na sua máquina *sem utilizá-lo* não irá expor seu sistema
> a nenhuma das supostas brechas de segurança existentes.
> 

Nilson, o fato de *vc não utilizá-lo* não significa que ninguém mais vai.

Suponha que vc tem instalado um módulo em seu servidor mas não esteja
utilizando, justamente pq, como o Rodrigo enunciou, o módulo é velho e
possui um erro que, digamos, dê acesso de root a quem o explorar (ou
apague arquivos críticos, ou escute por comandos numa determinada porta,
ou <insira_aqui_qq_atividade_maliciosa>).

Daí um usuário de seu sistema decide ir para o lado negro da força e
escreve:

$ perl -e 'use Modulo::Quebrado; my $a = Modulo::Quebrado->new(); $a->b()'

pronto. Ele usou o módulo e seu sistema foi pro brejo. Acho que era isso
que o Rodrigo queria dizer na afirmação dele...

Pessoalmente, já vivi a situação em que a versão atualizada do módulo
estava quebrada no meu sistema. O rollback teve que ser na mão, e talvez
uma opção de uninstall ou reinstall viesse a calhar sim (acho que o ppm
tem essas opções inclusive).

No mais, sobre a questão do cpan não ter método de verificação de
dependência para módulos desinstalados, isso seria tão difícil de
implementar?

[]s

breno