forum.opennet.ru

Составление сообщения

Исходное сообщение

"Эксперимент по получению контроля над пакетами в репозитории..."
Отправлено Аноним, 27-Окт-22 23:18

Вижу, мой посыл требует уточнения.
Я не против (а даже за) открытого кода, и не топлю за закрытый.
Я против:
- использования кода от анонимов - потому что никакой ответственности и (скорее всего) никто не проверяет изменения;
- размытия ответственности (как например, установка 100500 пакетов зависимостей при установке чего-то более-менее большого с npm). тут проблема в том, что часть из 100500 пакетов будут от анонимов (с соответствующими рисками). кроме того, вероятность захвата репы злоумышленником возрастает кратно их количеству.
То есть, самое безопасное - это когда в одном продукте используется код только из одного верифицированного неанонимного источника.
Сравним:
1) Коммерческая IDE, у которой весь код написан в одном месте. Либо также поддерживаются внешние плагины, но они распространяются через их сервер, куда попадают после ручной проверки.
2) Мой vim с 20 плагинами из 20 разных реп, 5 из которых принадлежат анонимам.
Думаю, не сильно ошибусь, если скажу, что второй вариант в ~25 раз менее безопасен. Потому что реп 20, вероятность получения доступа хоть к одной из них в 20 раз выше, чем просто к одной. Плюс один из 5 анонимов может решить поиметь своих юзеров, раз уж ничем не рискует.

Исходное сообщение
"Эксперимент по получению контроля над пакетами в репозитории..." Отправлено Аноним, 27-Окт-22 23:18
Вижу, мой посыл требует уточнения. Я не против (а даже за) открытого кода, и не топлю за закрытый. Я против: - использования кода от анонимов - потому что никакой ответственности и (скорее всего) никто не проверяет изменения; - размытия ответственности (как например, установка 100500 пакетов зависимостей при установке чего-то более-менее большого с npm). тут проблема в том, что часть из 100500 пакетов будут от анонимов (с соответствующими рисками). кроме того, вероятность захвата репы злоумышленником возрастает кратно их количеству. То есть, самое безопасное - это когда в одном продукте используется код только из одного верифицированного неанонимного источника. Сравним: 1) Коммерческая IDE, у которой весь код написан в одном месте. Либо также поддерживаются внешние плагины, но они распространяются через их сервер, куда попадают после ручной проверки. 2) Мой vim с 20 плагинами из 20 разных реп, 5 из которых принадлежат анонимам. Думаю, не сильно ошибусь, если скажу, что второй вариант в ~25 раз менее безопасен. Потому что реп 20, вероятность получения доступа хоть к одной из них в 20 раз выше, чем просто к одной. Плюс один из 5 анонимов может решить поиметь своих юзеров, раз уж ничем не рискует.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Вижу, мой посыл требует уточнения. > Я не против (а даже за) открытого кода, и не топлю за > закрытый. > Я против: > - использования кода от анонимов - потому что никакой ответственности и > (скорее всего) никто не проверяет изменения; > - размытия ответственности (как например, установка 100500 пакетов зависимостей при установке > чего-то более-менее большого с npm). тут проблема в том, что часть > из 100500 пакетов будут от анонимов (с соответствующими рисками). кроме того, > вероятность захвата репы злоумышленником возрастает кратно их количеству. > То есть, самое безопасное - это когда в одном продукте используется код > только из одного верифицированного неанонимного источника. > Сравним: > 1) Коммерческая IDE, у которой весь код написан в одном месте. Либо > также поддерживаются внешние плагины, но они распространяются через их сервер, куда > попадают после ручной проверки. > 2) Мой vim с 20 плагинами из 20 разных реп, 5 из > которых принадлежат анонимам. > Думаю, не сильно ошибусь, если скажу, что второй вариант в ~25 раз > менее безопасен. Потому что реп 20, вероятность получения доступа хоть к > одной из них в 20 раз выше, чем просто к одной. > Плюс один из 5 анонимов может решить поиметь своих юзеров, раз > уж ничем не рискует.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру