#pyyaml — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #pyyaml, aggregated by home.social.
-
Projekt #PyYAML odrzucił wsparcie dla Pythona bez GIL (#freethreading). Skutkiem tego, powstał fork skupiony na dodaniu tego wsparcia. Ze względu na ograniczone potrzeby forka, wspiera on tylko Pythona 3.13+. A że nie da się jeszcze wyrażać zależności warunkowo od wersji freethreading, inne paczki wymagają PyYAML-ft dla wersji Pythona >=3.13 (w tym zwyczajnej, z GIL-em) i zwykłego PyYAML dla <3.13.
Czy świat paczek Pythona nie jest super?
https://github.com/yaml/pyyaml/pull/830#issuecomment-2342475334
https://github.com/Instagram/LibCST/blob/18d4f6aded907bd11b683fa54dad32ca04f84f75/pyproject.toml#L21-L24 -
#PyYAML rejected #freethreading support. As a result, a new fork has been created with freethreading support. Given the fork's focus on freethreading, it supports only Python 3.13+. Given the lack of environment markers for freethreading (yet), packages end up depending on PyYAML-ft for >=3.13 (including non-freethreading builds), and PyYAML for <3.13.
Isn't #Python #packaging great?
https://github.com/yaml/pyyaml/pull/830#issuecomment-2342475334
https://github.com/Instagram/LibCST/blob/18d4f6aded907bd11b683fa54dad32ca04f84f75/pyproject.toml#L21-L24 -
This library is depended on by a 867 packages ( #pyyaml , requests, hypothesis ), has a bogus CVE and is abandonware.
That's a bit under 1000 releases not counting the iceberg of closed source.
Who files these bogus CVEs, it is like setting $10,000 on fire, but in $100 piles all across the country.
-
IBM hat unter anderem für IBM Db2 und Spectrum Protect wichtige Sicherheitsupdates veröffentlicht.
Kritische Lücke im Python-Framework PyYAML bedroht IBM Spectrum Protect -
Wow I thought I was not affected by the PyYAML uncapped Cython disaster https://github.com/yaml/pyyaml/issues/601 but it turns out I can't install `docker-compose`.
I often refer to @henryiii blog post on the matter https://iscinumpy.dev/post/bound-version-constraints/ but I think in this case it was a big mistake not to cap Cython. In the end, build dependencies are throwaway dependencies, they are used in a temporary, isolated environment and then never used again.
-
Miałem pisać o fajnych rzeczach, a zamiast tego ciągniemy temat #PyYAML. Autorzy wciąż odrzucają poprawki zgodności z #Cython 3. Jest już dosyć jasne, że dystrybucje będą musiały męczyć się z własnymi łatkami jeszcze przez długi czas. Wzdych.
-
I wanted to write about something fun but instead we continue that sad topic of #PyYAML that keeps refusing to fix #Cython 3 compatibility properly. At this point, it sounds pretty likely that most of the distributions will have to carry custom patches for the foreseeable future. Sigh.
-
Sytuacja z #PyYAML-em jest rozwojowa. Wiara coraz bardziej stara się niezależnie naprawiać swoje zabawki. Najwyraźniej pip pozwala na odgórne ograniczenie akceptowalnych wersji pakietów, ale to również nie rozwiązuje problemu w pełni.
Mam dwie myśli:
1. *W końcu* nie tylko my w #Gentoo mamy problem sprzecznych oczekiwań różnych paczek (czyt. nie tylko nam się wszystko sypie, bo potrzeba dwóch różnych wersji Cythona jednocześnie).
2. Biorąc pod uwagę, że problem znany był półtora roku, i autorzy PyYAML-a nie zrobili nic, żeby go rozwiązać… czy naprawdę sądzicie, że dalsze używanie tej paczki to dobry pomysł? Albo szerzej mówiąc, czy użycie YAML-a to dobry pomysł, Norway?
https://discuss.python.org/t/no-way-to-pin-build-dependencies/29833
-
The #PyYAML problem is only getting better. People are trying really hard to make their things work again. Apparently there's a way to force constraints on pip but it's not a perfect solution either.
I have two thoughts about this:
1. *Finally*, it's not just us in #Gentoo being hit by constraint conflicts (i.e. two packages in depgraph requiring different #Cython versions).
2. Given that PyYAML knew about the problem for a year and a half and did nothing to avoid it… do you think it's a good idea to continue using that package? Or #YAML in particular, Norway?
https://discuss.python.org/t/no-way-to-pin-build-dependencies/29833
-
A pamiętacie jak #PyYAML ignorował problem zgodności z Cythonem 3 przez półtora roku? No więc, #Cython 3 wyszedł dzisiaj i zgłoszenie błędu eksplodowało, kiedy pierdyliard potoków zaczęło się sypać.
-
Remember how #PyYAML ignored #Cython 3 compatibility problems for a year and a half? Well, Cython 3 got released today and now the related bug exploded when tons of pipelines suddenly started failing.
