исходники: иметь или не иметь?

[d4s]

С некоторыми сотоварищами развернулась интересная дискуссия. Как известно для того, чтобы собрать и задеплоить свой продукт на жабе требуется N-ное количество сторонних пакетиков в виде JAR-файлов.
Так вот, я доказываю, что для коммерческого продукта необходимо иметь полный и замкнутый цикл разработки, который включает в себя полное дерево исходников и пересборку 3rd-party jar-файлов, любое обращение к сети во время сборки должно быть запрещено.
Противоположная точка зрения -- все выкачивается из интернета в виде бинарных jar-файликов (в идеале при каждой сборке, как вариант -- кашируется 1 раз для локального использования).

Как по вашему -- кто прав и почему? ;-)

Comments

[fas-tm.livejournal.com]

для кровавого ынтырпрайза лучше держать все дерево у себя.
Уже сколько раз обжигались:
- автор библиотеки сошел сума/вши захватили датцентр/молния ударила прямо в сервер.
И мы потеряли линк на библиотеку. Да, их будет еще много, форки там итд. Но это не вариант.
- у кастомера на объекте может не быть доступа к интернету(Служба Безопасности выдает интернет по талонам в большие православные праздники)
Кто работал с кровавыми энтерпрайзами знают как это бывает.
- C вероятностью 99.9% сторонние либы надо будет патчить. И лучше держать у себя их вместе со своими накатанными патчами.

[max-posedon.livejournal.com]

>молния ударила прямо в сервер
В случае python-а, и pypi.python.org это случается так часто, что если увидите человека который обновляет production с его - сразу задумайтесь о его квалификации.

[d4s.livejournal.com]

Вот! А люди говорят, что и так все OK -- вроде и с ними можно согласиться, но червие в голове кричит, что для критических для бизнеса вещей -- нельзя.

[fas-tm.livejournal.com]

люди говорят так если:
- жизненный цикл софта мал
- софт имеет минимум зависимостей
- это классический опенсорс, в котором нет денежного/анального наказания за простой.

Вот выше Максим привел абсолютно простой пример с питоном.
Мы тоже получали шишки.