The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Рейтинг библиотек, требующих особой проверки безопасности"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Рейтинг библиотек, требующих особой проверки безопасности"  +/
Сообщение от opennews (?), 22-Фев-20, 10:26 
Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, провёл второе исследование в рамках программы Census, нацеленной на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52415

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Здрасьте (?), 22-Фев-20, 10:26   +22 +/
Дерьмовый рейтинг. Берём однострочную (всё остальное там — бойлерплейт) библиотеку «isarray», смотрим четыре его issues.

Первый — спрашивают зачем нужна односточная библиотека, во втором обсуждают лицензию, в третьем хотят промисы в эту библиотеку (зачем?), в последнем советуют поправить тесты.

В итоге «проблемы» там яйца выеденного не стоит.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #31, #37

2. Сообщение от Анонимус2 (?), 22-Фев-20, 10:38   +1 +/
logback давно мёртв, нужно просто везде его выкинуть, что при правильном его применении не составит труда
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #15

3. Сообщение от Аноним (3), 22-Фев-20, 10:56   +1 +/
От души посмеялся над автором isarray и Linux FUNdation
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11

4. Сообщение от Аноним (4), 22-Фев-20, 11:19   +/
Вот так посмотришь и задумаешься… Но я тоже так могу. Открыл рандомную портянку на баше, 2000 строк кода. Открыл вторую, 1000 строк. открыл 3 - 500… Осталось добавить тесты и документацию, и вот уже 300000 строк с 9999 проблем готово. И это практически чистый код без бойлерплейта.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 22-Фев-20, 11:26   +1 +/
isArray прекрасен:
>var toString = {}.toString;
>
>module.exports = Array.isArray || function (arr) {
>  return toString.call(arr) == '[object Array]';
>};
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (6), 22-Фев-20, 11:52   +4 +/
до введения Array.isArray проверка на ecmascript-овский Object#toString() была самым простым из надежных способов убедиться, что работаем именно с массивом. https://www.ecma-international.org/ecma-262/5.1/#sec-15.2.4.2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #29

7. Сообщение от Аноним (7), 22-Фев-20, 12:05   –1 +/
Вообще сам факт того, что семейство жабы критично в плане безопасности, довольно примечателен
С жаба-скриптом все понятно, это передний край, а вот то, что жаба критична, я не знал
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #19, #30

8. Сообщение от Аноним (6), 22-Фев-20, 12:12   +6 +/
Да и чай Java тоже не особо безопасен. А сигареты Ява так и вовсе вызывают проблемы с онко-безопасностью. Все ява-семейство небезопасно короче.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #10

9. Сообщение от Michael Shigorinemail (ok), 22-Фев-20, 12:16   –3 +/
Тьфу ты, я уж было думал, речь про _библиотеки_, а тут опять какая-то инициатива инициативных дураков о таких же :-/

Как кого покусает "политкорректность", так вот такое и остаётся вместо дела.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42, #59

10. Сообщение от Michael Shigorinemail (ok), 22-Фев-20, 12:17   –1 +/
Забыли, возможно, самое тяжёлое и опасное из всего семейства? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13, #18

11. Сообщение от Аноним (11), 22-Фев-20, 12:18   +1 +/
Fund-ation вообще-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #22

12. Сообщение от abi (?), 22-Фев-20, 12:20   +/
А можно поподробнее? logback-gelf-ом удобно в грейлог записывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #71

13. Сообщение от Шнягорин (?), 22-Фев-20, 12:22   +1 +/
Мотоциклы Ява? Или остров?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #25

14. Сообщение от Аноним (14), 22-Фев-20, 12:51   +14 +/
>>Javascript
>>11 авторов, 11 незакрытых проблем
>>3 автора, 3 незакрытых проблемы

Тонко.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

15. Сообщение от Аноним (15), 22-Фев-20, 12:53   +4 +/
Ого, а чё щас модно использовать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #72

16. Сообщение от Аноним (18), 22-Фев-20, 13:12   +1 +/
>isarray (317 строк кода, 3 автора, 3 коммитера, 4 незакрытых проблемы);

"Sorry, but I think that it doesn't make any sense, because it's ONE LINE OF CODE.
Why did you make it as NPM module?"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

17. Сообщение от Аноним (20), 22-Фев-20, 13:17   +/
Почему Линукс фаундейшн сама не выпустит единственно верные гнушные библиотеки на все случаи жизни? И сам не закроет все ишуи?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

18. Сообщение от Аноним (18), 22-Фев-20, 13:17   +/
какое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

19. Сообщение от Аноним (18), 22-Фев-20, 13:18   +/
Все явы дырявые друшлаки. Любой нормальный человек это понимает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

20. Сообщение от Аноним (20), 22-Фев-20, 13:19   +1 +/
Потому что он лицензионный тролль, выпустил функцию, которая итак есть, а потом будет всех кто её использует терроризировать своей лицензией.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #21, #39

21. Сообщение от Аноним (18), 22-Фев-20, 13:21   +/
В новых браузерах есть, а например в ie нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

22. Сообщение от InuYasha (?), 22-Фев-20, 13:27   +2 +/
или FFFFFFFUUUUUUUUU- NDA-tion :D (что в особенности касается работы с железками)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #45

23. Сообщение от InuYasha (?), 22-Фев-20, 13:29   +5 +/
Намёк на "Нет человека - нет проблемы?" )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #47

24. Сообщение от InuYasha (?), 22-Фев-20, 13:36   +2 +/
Нашёл в логах:
Caused by: Generic.foundation.OutOfMoneyError: Donation heap space
Out of money: Kill member 440 (java) score 0 or sacrifice project.
System halted.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #33

25. Сообщение от имя (ok), 22-Фев-20, 13:44   +5 +/
Belomorkanal programming language.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

28. Сообщение от Грусть (?), 22-Фев-20, 15:19   +/
Они таки спутали Java и JavaScript?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

29. Сообщение от Аноним (29), 22-Фев-20, 16:25   +1 +/
Естественный способ - var instanceof Array - всегда работал надежно. Но в некоторых браузерах довольно медленно. В общем, toString - результат микрооптимизаций.

Зачем понадобилось добавлять Array.isArray вместо оптимизации instanceof  - загадка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #38, #55, #70

30. Сообщение от nelsonemail (??), 22-Фев-20, 16:38   +1 +/
>> Вообще сам факт того, что семейство жабы критично в плане безопасности, довольно примечателен

это ещё что. впереди длинная череда фэйлов в плане безопасности с участием поделок на якобы "безопасной" растишке.
безопасность - это вообще не про отсутствие адресной арифметики, сборщик мусора и gets, это про квалификацию разработчика

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #32

31. Сообщение от Аноним (-), 22-Фев-20, 17:12   –1 +/
Так сделай лучше. Давай посмотрим на твой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

32. Сообщение от Аноним84701 (ok), 22-Фев-20, 17:52   –1 +/
> безопасность - это вообще не про отсутствие адресной арифметики, сборщик мусора и  gets, это про квалификацию разработчика

Это да! Настоящий разработчик сразу опкоды вбивает.
А неосиляторы придумали всякие
Address/Thread/Memory/UB/DataFlow/Leak Sanitizer-ы да варнинги в компиляторах, вместо того чтобы просто прокачать квалификацию до нужного уровня :(

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #44, #53

33. Сообщение от Аноним (33), 22-Фев-20, 19:11   +/
Это компания состоит из юристов, там программистов то и нет, так что сколько денег им не давай будут падать с ошибкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

34. Сообщение от Аноним (33), 22-Фев-20, 19:12   +/
Юристы же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

35. Сообщение от InuYasha (?), 22-Фев-20, 20:04   +/
Что, никого не смутило название "Census"?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

36. Сообщение от Аноним (-), 22-Фев-20, 20:34   +1 +/
> 196 тысяч строк кода,

Обречено умереть безопасТным...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

37. Сообщение от Анон Анонов (?), 22-Фев-20, 22:09   –3 +/
Если такой умный, то напиши по памяти полифил для Array.isArray.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #46

38. Сообщение от Анон Анонов (?), 22-Фев-20, 22:12   +/
если сравнивать instanceof массивов из разных фреймов, то получишь false.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #48

39. Сообщение от Анон Анонов (?), 22-Фев-20, 22:15   +/
Там MIT лицензия, ало
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #40

40. Сообщение от abi (?), 22-Фев-20, 22:43   +1 +/
Её смогли нарушить когда заинлайнили функцию в nodejs, посмотрите откуда растут ноги у одной незакрытой проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от Онаним (?), 22-Фев-20, 23:15   +/
Помнити лифпат!
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Аноним (42), 22-Фев-20, 23:48   –2 +/
Самое противное, что сторожилы срать хотят на все это и пишут на кошерном Си или Паскале
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #43, #51

43. Сообщение от Аноним (-), 23-Фев-20, 00:00   +5 +/
Сторожилы должны сторожить. А прогать им ни к чему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (-), 23-Фев-20, 00:01   +/
> Настоящий разработчик сразу опкоды вбивает.

Приятно почувствовать себя настоящим разработчиком :]

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

45. Сообщение от Аноним (-), 23-Фев-20, 00:12   –1 +/
Не, тут чуваки явно на FUND'ation расчитывают, иначе зачем бы они полезли ворошить такой ынтырпрайз :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

46. Сообщение от Аноним (-), 23-Фев-20, 00:13   +2 +/
Блин, чувак, не хочу ничего сказать но даже голимые сишники в 196К строк умещают, сцуко, целый навороченный сервер с дохраналионом прибабахов в оном, а не какой-то там отдельный компонентик с няшечками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #57

47. Сообщение от Аноним (47), 23-Фев-20, 00:40   +1 +/
> Намёк на "Нет человека - нет проблемы?" )

Давно пора выдавать лицензию на охоту на вебмакак.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #52

48. Сообщение от Аноним (48), 23-Фев-20, 02:50   +/
Что, простите? Какое отношение Dom модель с frame имеет к языку?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

49. Сообщение от borbacuca (ok), 23-Фев-20, 10:14   –1 +/
и эти пингвины смеются над виндой
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

50. Сообщение от Аноним (50), 23-Фев-20, 12:02   +1 +/
где библиотеки php?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #56

51. Сообщение от модный мальчик с подворотиками (?), 23-Фев-20, 16:46   +1 +/
Безобразие. Ну ничего, скоро появится одна новая интересная инициатива - объявлять весь код, написанный на небезопастных языках - небезопастным, и не выполнять, без установки специальной безопастной версии системы, пятнадцати нажатий ok, трех подтверждений паролем и потом - все равно не выполнять, ибо небезопастно же!

В принципе, в ведроиде уже так и сделали, но что-то пока недостаточно интенсивно внедряют в остальной мир.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

52. Сообщение от пох. (?), 23-Фев-20, 16:47   +2 +/
на вредных животных можно охотиться без лицензий в любое время года.

Нужно вводить премию за сданные хвосты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

53. Сообщение от Урри (?), 23-Фев-20, 23:05   +3 +/
Переход на крайности - явный признак отсутствия аргументов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

54. Сообщение от Урри (?), 24-Фев-20, 01:08   +/
Я вообще не понимаю для чего там 196 тысяч(!!!) строк. Да в 196'000 строк можно вместить 200 разных асинков для 200 разных языков.

[added]
Фух, сам асинк занимает всего 5'000 строк. Не знаю как эти балбесы считали...
асинк: https://github.com/caolan/async/blob/master/dist/async.js

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

55. Сообщение от Урри (?), 24-Фев-20, 01:14   +4 +/
Какой прекрасный язык. Какая прекрасная и продуманная архитектура. Какая лаконичность и читабельность!

Зачем? Почему? Как люди на этом работают? Зачем жрать этот кактус???
Вселенский мазохизм какой-то..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #58, #60

56. Сообщение от Аноним (56), 24-Фев-20, 06:22   +/
достаточно просто сказать: библиотеки php.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

57. Сообщение от Чувак (?), 24-Фев-20, 13:50   –1 +/
Так че ты не пойдешь не исправишь интернет, раз такой умный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #65

58. Сообщение от Чувак (?), 24-Фев-20, 13:53   +/
Просто ты родился сильно поздно и не успел изобрести что то не похожее на кактус, но у тебя все еще есть шанс
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

59. Сообщение от Чувак (?), 24-Фев-20, 13:55   +1 +/
Кто обзывается тот так и называется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

60. Сообщение от Аноним (29), 24-Фев-20, 14:16   +/
А что, в браузеры завезли другие кактусы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

65. Сообщение от Аноним (-), 24-Фев-20, 23:37   +/
> Так че ты не пойдешь не исправишь интернет, раз такой умный

Для этого сначала терминаторов надо заимплементить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #68

66. Сообщение от Аноним (66), 25-Фев-20, 04:24   +/
Мы такое видели, что нас уже ничем не смутить.
Чем тебе Цензус не нравится? Радуйся что не анус.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #69

67. Сообщение от Аноним (67), 25-Фев-20, 10:26   +/
Где вы там пингвинов увидели? Всё обезьянья вебня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

68. Сообщение от Чувак (?), 25-Фев-20, 14:54   –1 +/
Так пойди заимплементи, или только комменты писать умеешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

69. Сообщение от InuYasha (?), 25-Фев-20, 16:05   +/
ну, анус хоть как-то но хотя бы пропускает :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

70. Сообщение от Аноним (70), 28-Фев-20, 14:09   +/
В баге про лицензию спрятана ссылка на статью, в которой говориться, что isinstance не работает, если массив получен из iframe.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

71. Сообщение от Анонимус2 (?), 04-Мрт-20, 20:31   +/
> А можно поподробнее? logback-gelf-ом удобно в грейлог записывать.

Достаточно открыть их джиру и посчитать количество багов. Или посмотреть коммиты в репозиторий и релизы

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

72. Сообщение от Анонимус2 (?), 04-Мрт-20, 20:31   +/
> Ого, а чё щас модно использовать?

Log4j2 имеет паритет по фичам с logback но при этом поддерживается

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру