戻る

たとえば一例を挙げるなら、 minecraft するとき何故か itzg/docker-minecraft-server がめちゃくちゃ利用されてるけど、 itzg 氏いったい誰だよ……

Dockerfile なり何なりの中身確認すりゃいいじゃんなんてのは百も承知で、それ以前の話としてそれは誰でなにゆえ信用するに至るのか、というところに根本的に疑問がある

itzg 氏の docker image を使いますと記事やコメントで紹介している人は数あれど、誰一人としてその正体とかリポジトリの性質に言及している人を見たことがないもので……
「みんな使ってるし正体は不明だけど大丈夫なんだろう」みたいな集団幻想でスルーされてない？

念の為もう一度言っとくと、これはあくまで一例であって、私が氏に他と比べて特別に疑念を抱いているとかそういう話ではないです

話を戻すと、そういう「誰だか知らんけどサードパーティで何かやってる個人っぽい人のイメージやパッケージを無造作に使っていく」スタイルの記事が多すぎてエコシステム全体が信用ならんという気持ちになっている。
_/redmine じゃなくて sameersbn/redmine を選びますというのはわかったが、で、じゃあ sameersbn 氏が誰なのかご存知なんですか？？？ という……

これ (予想できていたことではあるが) npm とかへの言及が多くあるので補足をすると、 npm とかではおそらくパッケージ開発者がそのまま publish しているであろうという前提があって

知らん開発者→[何かのソフトウェア]→ユーザ

という構造だけど、一方でよく見る docker 系エコシステムでは

知らん開発者→[何かのソフトウェア]→知らんパッケージ作成者→[何かのパッケージ]→ユーザ

となっていて、トラストの確認がとれてないポイントが二重になっているよね、というところの特異な性質を気にしている話でした

ユーザより上流側をぜんぶひとまとめにして考えたら結局同じようなものだろ、というのももちろんそれはそうなんですが。

Ubuntu の PPA とかがかなり性質としては近そう