Hacker News Digest

Я ухожу с поста сопровождающего libxml2, поэтому проект временно остаётся без поддержки.

До конца 2025 года я буду исправлять регрессии в релизе 2.15.

Спасибо за вашу тяжёлую работу!

Спасибо за долгое сопровождение libxml2!

Я изучаю код libxml2 и libxslt. У меня есть время на поддержку, но нужно разобраться с последними изменениями, например, с управлением буферами ввода-вывода. Как лучше связаться для вопросов?

Спасибо за поддержку ключевых библиотек интернета, используемых в миллионах продуктов по всему миру. Удачи!

От лица миллионов пользователей благодарю за вашу работу!

• Основной сопровождающий libxml2, Nick Wellnhofer, уходит после десяти лет неоплачиваемой работы и форкает проект под лицензией AGPL.
• Сообщество обсуждает кризис поддержки критически важной инфраструктуры из-за проблем с финансированием open-source.
• Поднимается вопрос о чрезмерной сложности XML и необходимости больших библиотек вроде libxml2; предлагаются более минималистичные альтернативы (например, TinyXML2, libexpat).
• Упоминается спорная политика безопасности libxml2 «без эмбарго», что вызывает обеспокоенность по поводу будущих уязвимостей.
• Обсуждается бизнес-модель продажи исключений из GPL для коммерческого использования как потенциальное решение для поддержки.
• Отмечается упадок XSLT из-за проблем с libxml2 и планы по удалению его поддержки из браузеров.
• Высказывается мнение, что сложные стандарты вроде XML с большими RFC являются неустойчивыми и что при выборе технологий следует учитывать простоту поддержки.

• Пакеты: libxslt, linux-c7-libxslt, linux-rl9-libxslt (версии <2)
• Суть: проект без мейнтейнера, 3 неисправленные уязвимости
• CVE-2025-7424: путаница типов xmlNode.psvi
• CVE-2025-7425: use-after-free в xmlFreeID
• CVE-2025-????: четвёртая уязвимость (18.06.25) пока не раскрыта
• Статус: патчи от Apple и Google есть, но не применены из-за отсутствия мейнтейнера

• Пользователи обсуждают, что libxslt остаётся единственной C-реализацией XSLT 1.0, на которую завязаны браузеры, GNOME-стек и множество дистрибутивов.
• Google отказалась выплачивать bug-bounty за уязвимости, сообщённые контрибьютору libxslt, а новый мейнтейнер всё ещё проходит бюрократическую проверку в GNOME.
• Появились предложения вывести XSLT из браузеров и заменить его WASM-полифиллом или переложить поддержку на Linux Foundation.
• Участники отмечают, что XSLT 1.0 имеет много реализаций (Saxon, Xalan, MSXML), но именно libxslt используется в Chrome/Blink, что создаёт монокультуру.

• Что изменили: из спецификации HTML полностью убраны упоминания XSLT.
• Почему: технология считается устаревшей, поддержка в браузерах минимальна, а спецификация XSLT живёт отдельно.
• Что удалили:
  • раздел «XSLT» и связанные термины;
  • алгоритм «transform-to-document»;
  • обработку type="text/xsl";
  • примеры и ссылки на XSLT.
• Как проверили: сборка без ошибок, тесты WPT не затронуты.

• Все браузеры, а не только Chrome, поддерживают идею убрать XSLT из веб-платформы.
• Основная причина — безопасность и тяжёлая поддержка устаревшей библиотеки libxslt.
• Часть пользователей возмущена: «спросили всех, все сказали “нет”, но всё равно уберут».
• Некоторые предлагают замену на WASM-полифилл или серверную трансформацию.
• Сторонники XSLT жалуются на разрыв обещания «HTML навсегда» и гибель старых сайтов.