Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные пакеты в репозитории NPM, opennews (?), 05-Дек-20, (0) [смотреть все] Haha classic, интересно, когда же начнут бороться с вредоносными пакетами в NPM,, Иваня (?), 11:23 , 05-Дек-20, (1) // Интересно, когда же перестанут бездумно подключать пакеты фронтендщики 129300 , Тест (?), 11:25 , 05-Дек-20, (2) +16 // Эти пакеты, скорее всего, никто и не подключал 100 скачиваний - это разнообразн, Аноним (6), 11:35 , 05-Дек-20, (6) +7 Когда изучат администрирование своей операционной системы Но тогда они перестан, Галустян (?), 14:46 , 05-Дек-20, (28) +3 // Зачем Это оплачивается лучше , Антоон (?), 15:05 , 05-Дек-20, (30) –2 По этой логике в наркодилеры идти самое то Или органами барыжить Вот только , Michael Shigorin (ok), 15:27 , 05-Дек-20, (31) +2 Эх чего ж в дилеры в производители Но ты бы знал, какой тогда был конкурс, пох. (?), 15:50 , 05-Дек-20, (34) Возможно выскажу непопулярное мнение, но вы, знаете ли, недалеки от истины Пото, Аноним (55), 18:32 , 06-Дек-20, (55) +1 Так США же флагман перестройки Ну и феодализма, чего уж , Аноним (56), 19:02 , 06-Дек-20, (56) Да не переживайте Вы так Долларов в США намного меньше, чем в других странах и , _hide_ (ok), 12:58 , 07-Дек-20, (58) Нарко и т п барыжничество некорректно сравненивать, т к опасность для жизни в , Аноним (62), 10:41 , 08-Дек-20, (62) а кем же они тогда будут , Аноним (47), 22:41 , 05-Дек-20, (47) +1 Haha classic, интересно, когда же ноны начнут сопоставлять порядки величин п с , Lex (??), 11:31 , 05-Дек-20, (4) +1 // То что нашли не означает что больше вредоносов не осталось, а ты походу из этих , Аноним (20), 12:49 , 05-Дек-20, (20) –2 // Я из тех в т ч жабаскриптеров точнее, реакт-нативеров, у которых пакетный менед, Lex (??), 13:28 , 07-Дек-20, (60) +1 https youtube com watch v J7irfxq2YBM, Аноним (8), 11:43 , 05-Дек-20, (8) https www youtube com watch v Jairxwhq4a0Базарю, если поставить это в NPM все , Dzen Python (ok), 12:40 , 05-Дек-20, (16) –1 Бороться давить в пелёнках сразу надо с разработчиками, и пакетов, и NPM Но по, Аноним (43), 20:23 , 05-Дек-20, (43) +1 Почему только у npm так плохо, а у других нет, Аноним (3), 11:29 , 05-Дек-20, (3)   // На самом деле у всех открытых пакетных менеджеров так плохо, просто аудитория np, Аноним (7), 11:37 , 05-Дек-20, (7) +5   Везде всё одинаково Просто npm по объёму больше, чем Maven, Packagist, PyPI, nu, Аноним (6), 11:45 , 05-Дек-20, (9) –2   Где рыба лучше клюет, там ее и ловят Там контингент по большей части из непуганн, OpenEcho (?), 11:46 , 05-Дек-20, (10) +2   Аудитория в тысячи раз больше, чем в PyPiАудитория использует пакеты для веба, а, Dzen Python (ok), 12:43 , 05-Дек-20, (17) +3   // Гм, патч Бармина знаю, а это чё за индус такой , Michael Shigorin (ok), 15:29 , 05-Дек-20, (32)   // Это корова такая, трёхголовая Патч - заплатка , Аноним (37), 17:12 , 05-Дек-20, (37) +2   Ракетчик , Аноним (56), 19:06 , 06-Дек-20, (57)   Все что выше уже написали и скудная стандартная библиотека Даже работа с датами, лолшто (?), 14:35 , 05-Дек-20, (25) +2   // Работа с датой и временем в js по сложности примерно такая же как в java 7 , Аноним (47), 20:12 , 05-Дек-20, (41) –1   У других тоже есть Просто все охотятся за низковисящими фруктами 1 В npm огром, Аноним (37), 17:09 , 05-Дек-20, (36)   кажется у maven нету preinsall, postinstall секций выполняющих что угодно с прав, Аноним (47), 23:40 , 05-Дек-20, (48)   Сложно сказать, на данный момент У каждого свои предположения, о том, что в npm, Ordu (ok), 07:31 , 06-Дек-20, (50)   Выпуск вредоносного пакетного менеджера , user90 (?), 11:33 , 05-Дек-20, (5) +1 // Логичней уж тогда менеджера вредоносных пакетов , Michael Shigorin (ok), 15:29 , 05-Дек-20, (33) // В принципе, название новости уже неплохо продвинулось в этом направлении , пох. (?), 15:51 , 05-Дек-20, (35) +3 Yarn запрещает запуск скриптов во время установки, Аноним (3), 11:46 , 05-Дек-20, (11) +2 как защититься от этого , Аноним (12), 12:19 , 05-Дек-20, (12) –1 // не писать на джабаскрипте, leibniz (ok), 12:33 , 05-Дек-20, (14) +3 не тянуть каждую какашку в рот, Аноним (15), 12:39 , 05-Дек-20, (15) +5 // от left-pad зависил даже react и babel Ты не будешь тянуть, кака притянется по , Аноним (47), 12:48 , 05-Дек-20, (19) // только конченные могут использовать эту платформу, Аноним (15), 13:26 , 05-Дек-20, (22) +1 Так лефтпад оказался вирусом или проблема была в возможности разработчиком удали, Lex (??), 23:44 , 05-Дек-20, (49) кроме как не использовать npm вариантов нет, Аноним (47), 12:52 , 05-Дек-20, (21) // Ты какую-то чёрную непонятную магию рассказываешь Кто ею пользуется Миллион , Аноним (15), 13:28 , 05-Дек-20, (23) У мягкостулых Стуло-Actions используют node js , Аноним (37), 14:45 , 05-Дек-20, (27) Кем ей Все кто пишет фронтэнд пользуются npm потом что вариантов нет Я тоже и п, Аноним (47), 20:21 , 05-Дек-20, (42) собственно к пустому react проекту тоже устанавлияется однострочник isarrayyarn , Аноним (47), 20:34 , 05-Дек-20, (44) Не использовать npm и не использовать внешние пакеты Писать все самому , Аноним (20), 12:47 , 05-Дек-20, (18) +5 // Причём будет быстрее и безопасней , Аноним (15), 13:28 , 05-Дек-20, (24) +4 Самое интересное, что в _долгосрочной_ перспективе выйдет гораздо лучше что в пл, Аноним (7), 14:43 , 05-Дек-20, (26) +1 // Налепить квадратноколесых велосипедов в которых невозможно разобраться никому и, Аноним (47), 20:40 , 05-Дек-20, (45) –1 То ли дело скачать половину интернета в зависимости, не забыв ни про leftpad, ни, пох. (?), 13:17 , 06-Дек-20, (52) как работает left-pad и isArray действительно понятно каждому васяну Там же все, Аноним (47), 16:54 , 06-Дек-20, (53) Приказом по организации ввести правило если в резюме упомянута нода - HR немедл, YetAnotherOnanym (ok), 15:03 , 05-Дек-20, (29) +2 // - И, боже вас сохрани, не читайте до обеда советских газет - Гм 8230 Да ведь д, Вы забыли заполнить поле Name (?), 19:52 , 05-Дек-20, (40) 1 Строго указывать зависимости в package json без или , см опцию save-exa, Вы забыли заполнить поле Name (?), 19:50 , 05-Дек-20, (39) +1 Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..., Аноним (13), 12:30 , 05-Дек-20, (13) +7 Пора обновить описание npm - менеджер ВРЕДОНОСНЫХ пакетов , Вы забыли заполнить поле Name (?), 19:47 , 05-Дек-20, (38) Что ж такое, во вредоносном репозитории опять выявлены пакеты Сколько их там , макаронофикус (?), 20:59 , 05-Дек-20, (46) +1 Тут должен быть ещё один коммент, форсящий мем вредоносный репозиторий зы сор, Ordu (ok), 07:34 , 06-Дек-20, (51) // Ой, да ладно, старался он Выпуск вредоносного пакетного менеджера NPM 7 1 прим, Злюка (?), 17:33 , 06-Дек-20, (54) Deno бы решил проблему с пакетами вида запускаемый во время после установки ск, Аноним (61), 09:40 , 08-Дек-20, (61) 1,3,5,11,12,13,38,46,51,61

Сообщения

[Сортировка по времени | RSS]

3. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+/–
Сообщение от Аноним (3), 05-Дек-20, 11:29
Почему только у npm так плохо, а у других нет
Ответить | Правка | Наверх | Cообщить модератору

	7. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+5 +/–
	Сообщение от Аноним (7), 05-Дек-20, 11:37
	На самом деле у всех открытых пакетных менеджеров так плохо, просто аудитория npm, видимо, наименее технически грамотна, чтобы своевременно обнаруживать "внедрёж", чем и пользуются.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	–2 +/–
	Сообщение от Аноним (6), 05-Дек-20, 11:45
	Везде всё одинаково. Просто npm по объёму больше, чем Maven, Packagist, PyPI, nuget, Rubygems и CPAN вместе взятые
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	10. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+2 +/–
	Сообщение от OpenEcho (?), 05-Дек-20, 11:46
	Где рыба лучше клюет, там ее и ловят. Там контингент по большей части из непуганных, или до 25 или "we moving fast, we breaking things..."
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	17. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+3 +/–
	Сообщение от Dzen Python (ok), 05-Дек-20, 12:43
	Аудитория в тысячи раз больше, чем в PyPi Аудитория использует пакеты для веба, а не для чилодробилок, как в CRAN Аудитория неграмотная и тянет в рот все, что увидит, даже отдаленно похожее, а не как в СРАN, где уже все ученые патчем Брамина
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	32. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+/–
	Сообщение от Michael Shigorin (ok), 05-Дек-20, 15:29
	> патчем Брамина Гм, патч Бармина знаю, а это чё за индус такой?
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+2 +/–
	Сообщение от Аноним (37), 05-Дек-20, 17:12
	Это корова такая, трёхголовая. "Патч" - заплатка.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+/–
	Сообщение от Аноним (56), 06-Дек-20, 19:06
	Ракетчик?
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	25. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+2 +/–
	Сообщение от лолшто (?), 05-Дек-20, 14:35
	Все что выше уже написали и скудная стандартная библиотека. Даже работа с датами и временем без сторонней библиотеки - это какая-то бессмысленная возня. А захочешь свое решение написать, то на этапе тестирования все равно что-то стороннее придется привлечь, потому что в коробке этого нет.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	41. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	–1 +/–
	Сообщение от Аноним (47), 05-Дек-20, 20:12
	Работа с датой и временем в js по сложности примерно такая же как в java 7.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+/–
	Сообщение от Аноним (37), 05-Дек-20, 17:09
	У других тоже есть. Просто все охотятся за низковисящими фруктами. 1. В npm огромные DAGи зависимостей, поэтому проверить конкретный пакет, нужный уже месяц назад, там труднее и дольше, поэтому никто и не будет. 2. Ситуацию осложняет javascript, где доступ к свойствам идёт через [], что позволяет запрятать evalы от статических анализаторов. В питоне, например, getattr - большой красный флаг. 3. а значит если твоя цель - найти сколько-то бэкдоров, то искать будешь в npmе, забив на остальные языки и менеджеры.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	48. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+/–
	Сообщение от Аноним (47), 05-Дек-20, 23:40
	кажется у maven нету preinsall, postinstall секций выполняющих что угодно с правами пользователя от которого запущен.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	50. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."	+/–
	Сообщение от Ordu (ok), 06-Дек-20, 07:31
	> Почему только у npm так плохо, а у других нет Сложно сказать, на данный момент. У каждого свои предположения, о том, что в npm не так, и поэтому есть разные подходы к одолению этого. Сравнивать результативность практически невозможно, в силу различной популярности проектов. Единственное что нам остаётся -- это верить в то, что базар окажется сильнее злоумышленников, и он найдёт способ существовать несмотря на них. Если это не так, то значит восторги Эрика Раймонда в отношении базара потеряли актуальность, базар не в состоянии масштбироваться, и единственный разумный выбор для нас -- пересеть на соборный оффтопик. Или лучше сразу на эпол: там няшный M1.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема