URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128171
[ Назад ]
Исходное сообщение
"В NPM планируют использовать Sigstore для подтверждения подлинности пакетов"
Отправлено opennews , 09-Авг-22 15:44 
GitHub выставил на обсуждение предложение по внедрению сервиса Sigstore для верификации пакетов по цифровым подписям и ведения публичного лога для подтверждения подлинности при распространении релизов. Применение  Sigstore позволит  реализовать дополнительный уровень защиты от атак, нацеленных на подмену программных компонентов и зависимостей (supply chain). Например, внедряемое изменение защитит исходные тексты проектов в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57614

Содержание
Сообщения в этом обсуждении
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 09-Авг-22 15:50 
Как, друзья, вы не садитесь, ... (И.А. Крылов)
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 09-Авг-22 20:10 
Не на пики приземлитесь
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 15:46 
Правильный путь подписи OpenPGP, лучше с аппаратной защитой секретного ключа:

https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f...

https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-...

https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu...

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено pashev.ru , 09-Авг-22 15:52 
Npm не спасти.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 09-Авг-22 16:15 
Зато можно добавить ещё одну подпорочку.  
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 05:58 
Что сделано лучше чем npm и почему?

Хотелось бы от вас получить технический анализ как от эксперта.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 12:40 
apt
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 23:44 
Уважаемый анонимный эксперт, вы забыли добавить технический анализ почему apt лучше
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 01:04 
Раньше CDN был популярен. Там нельзя как в NPM выполнить любой скрипт при установке пакета (а без этого про безопасность вообще бессмысленно говорить - пакет может быть супер, а всё вредоносное можно добавить тихо при установке).
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 09-Авг-22 18:41 
Хорошее предложение, было бы интересно посмотреть на реализацию, особенно если она позволит пользоваться любой DVCS-платформой, а не только гитхабом. Атаки на supply chain актуальная угроза.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 13:39 
>DVCS-платформой, а не только гитхабом

Я всегда думал, что distributed - это где угодно, а не на гитпуке.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 19:55 
Значит ты всегда думал неправильно. Передумывай заново всё.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 01:02 
Let's encrypt так то тоже ни разу не децентрализованый. Как может быть распределенным его аналог?
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 09-Авг-22 19:18 
Скоро все разработчики убегут куда-нибудь (на ржавчину)
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 09-Авг-22 20:46 
На карбонщину.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено аноним228 , 09-Авг-22 21:18 
Не все захотят убегать в эту эзотерику.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним774 , 10-Авг-22 07:42 
На кристальщину
https://opennet.ru/57549/
там одной командой можно сервер поднять
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 12:39 
А уронить?
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 13:41 
На лиспе этой одной командой можно его не то, что поднять, но и залезть ему в кишки и так далее. И эту одну команду с собой на флешке таскать.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено истина в последней инстанции , 10-Авг-22 15:23 
Прикинь, на шеле тоже
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено истина в последней инстанции , 10-Авг-22 15:24 
Более того. И на C можно и на C++ можно. Одной командой.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 09-Авг-22 20:16 
> в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом

А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию?
От этого есть защита?

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 09-Авг-22 21:26 
Конечно. Персональная репутация. Кроме того, в случае реального урона, на такого разработчика можно подать в суд. Вполне возможно, что иск будет коллективный, а это неиллюзорная возможность сесть лет на десять.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 09-Авг-22 22:22 
какая репутация, какой суд? там при установке чего угодно через npm обычно 100500 пакетов тянется в зависимостях и зависимостях зависимостей. бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 00:52 
> бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале.

Я сплю и вижу, как анонимные кодеры на js пушат на гитхаб свои нетленки через тор. Это именно тот опенсорс, о котором я так мечтал. Но в реальности большая часть авторов подписывается своим именем и делает это с домашнего компьютера, регистрируя гитхаб на свой ящик на gmail, который, в свою очередь, привязан к телефонному номеру. Ну и на всякий случай авторам популярных пакетов пришлют хардварный токен на домашний адрес.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 04:05 
Всё верно. Только с точки зрения ответственности, разницы никакой нет.

Максимум авторам аккаунт заблокируют.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 11:18 
Максимум найдут и на швабру насадят.  
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено YetAnotherOnanym , 10-Авг-22 01:58 
Репутация? Вот, например, лично ты что знаешь о тех людях, чьи исходники используешь? А в суде, даже если ты сможешь его туда притащить, он ткнёт тебя носом в лицензию, где прописан отказ от ответственности.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 04:03 
Тоже самое сделает и Microsoft. А, нет, ещё 5$ ущерба заплатит.

Пиши этот код сам, кто мешает? Или заказывай разработку.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 20:41 
Напомню вопрос, на который я отвечал, раз уж чукча не читатель:

> А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию?

Ключевые слова: автор, решит, вредонос. Это намеренное (слово «решит» нам недвусмысленно говорит об этом) вредительство. Практически в любой стране мира, где есть IT, есть законы, явно запрещающие подобное поведение. Никакая лицензия не поможет, это преднамеренный взлом и за это сажают в тюрьму. В случае большого урона, даже необязательно тащиться к чёрту на рога, можно подать в суд в своей стране и затребовать экстрадицию. Или, как штаты, взять под белы рученьки в любой стране через которую автор будет проезжать транзитом.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено YetAnotherOnanym , 11-Авг-22 09:51 
Ну так тем более не будет дорожить своей репутацией тот, кто делает что-то, за что можно сесть.
Кроме того, никто не застрахован от булочки с крысиным ядом, если какой-нибудь Аксель Джордах решит сделать прощальный сюрприз.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 14:29 
Вы точно уверены, что сможете установить личность любого из авторов 100500 пакетов npm (бОльшая часть из которых - анонимы на github)?
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено YetAnotherOnanym , 11-Авг-22 18:54 
Кстати, да, очень хорошее наблюдение. Что там насчёт репутации этих авторов, бОльшпая часть из которых анонимы? У всех проверили? Удостоверились, что они ею дорожат?
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 19:04 
> анонимы на github

Оксюморон.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено darkshvein , 10-Авг-22 14:26 
>Кроме того, в случае реального урона, на такого разработчика можно подать в суд.

есть прецеденты?

даже ослу же ясно, что npm создан для того, чтобы приманивать лохов, которые не осилят написать даже убогий скрипт для сайта.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 20:47 
> есть прецеденты?

Есть. И как арестовывают в транзитных аэропортах тоже есть. Почитай хоть у того же Кребса на сайте.

> даже ослу же ясно, что npm создан для того, чтобы приманивать лохов, которые не осилят написать даже убогий скрипт для сайта.

Ослу может и понятно, но я не осёл. Можешь объяснить, раз уж ты такой специалист по ослиному мышлению, как же так вышло, что практически весь веб так или иначе оказался завязан на npm, включая огромные корпорации, которые уж точно могут себе позволить нанять хотя бы средненьких девелоперов?

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено darkshvein , 10-Авг-22 23:46 
>практически весь веб так или иначе оказался завязан на npm

это называется экономика

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 19:05 
А какое отношение экономика имеет к ослиному мышлению?
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено darkshvein , 11-Авг-22 21:23 
> А какое отношение экономика имеет к ослиному мышлению?

киса, ты обиделсо?
тебе пояснить, что проще и главное  дешевле тебя по статье натянуть, нежели доплачивать тебе за написание кода, который ты толком и не умеешь писать?
что ты потом блеять будет про какие то модули от врагов россии уже заказчика и суд волновать будет мало, ибо ответственным зицпредседателем будешь ты.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 23:40 
Разверните подробнее вашу мысль, на каком основании вы считаете что npm для тех кто не осилит написать скрипт на сайт
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 13-Авг-22 14:53 
К сожалению, "персональная репутация" становится пустым звуком во время войны, поскольку любой из цепочки доверия может оказаться отмороженным русофобом, мечтающим нагадить русским любой ценой, и в честь этого помещающим "приветик" в свой же собственный код. А самое печальное, что стоит ему слегка не рассчитать, и этот "приветик" пойдет вместо русских, всем подряд без особых различий в нации, расе или гражданстве. Классика терроризма, епта.

Кстати, если кому-то важно, то можете, в честь толерантности, заменить "русофоба" на "исламского террориста" или типа того... вот только что это меняет? Все фанатики, по определению, слегка неадекватны (некоторые даже и не слегка!), а спусковым крючком для такого урода может стать любая мелочь... не говоря уж о серьезных поворотных событиях.

Лично я думаю, что скоро появятся этакие гейты безопасности, которые будут анализировать исходный код и предоставлять его конечному потребителю только если он пройдет все проверки. Собственно у банков и крупных компаний давным-давно подобный механизм имеется. Ну, а для персональных потребителей появятся коммерческие аналоги, которые за платную подписку будут делать тоже самое. Печально звучит конечно же... ну, а что поделаешь? Такова реальность, - шкатулка Пандоры открыта.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 01:32 
Конечно есть. Отслюнявливаешь баксы юридическому лицу, с регистрацией, адресом, фамилиями, ответственностью.

Подписываешь контракт на разработку с гарантиями и ответственностью. Наслаждаешься результатом.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 06:42 
Никакой защиты нет.
Теоретически можно было бы защититься если устанавливать только пакеты программы, от Фейсбук, Гугл, мс, ещё babel и core-js.
А практически react-script от лицо книги это несколько тысяч пакетов. Storybook ещё столько же. В webpack добавить несколько плагинов, ещё тысяча однострочников вида isArray
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено вебмакак , 10-Авг-22 11:39 
> core-js

это тот неадекват, что рекламу пихает на компьютеры без разрешения? что ему помешает в целях рекламной акции зловред запихать?

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 19:35 
Рекламу чего?
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 04:41 
> разработчики смогут привязать сформированный пакет к
> использованному исходному коду и сборочному окружению,

Круто, они придумали прибить сборочную конфигурацию на гвозди. И удачи пересобрать как-то иначе, да... они там еще не забыли что это как минимум формально опенсорс? Зачем он ТАКОЙ нужен? :)

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 06:45 
Опеннет экспертам незачем.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 07:31 
Так я сабжем и не пользуюсь, к счастью, так что вон то будет не моими проблемами.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 10:23 
Нода она до всех доберется.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 01:03 
Я не все, это их проблемы.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено вебмакак , 10-Авг-22 11:41 
Github CI должен себя окупать.. естественно, ради безопасности
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 20:54 
> они придумали прибить сборочную конфигурацию на гвозди

Ну ты попробуй пописать что-то сложнее hello world и накопленных скриптов, поймёшь зачем это и почему так делают дольше, чем ты на свете живёшь

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 01:04 
Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась. Более того при разработке хорошая практика это девелопать под самые новые версии компонентов, чтобы быть готовым к будущему сразу а не когда уже поздняк метаться.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 19:08 
> Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась.

Если только во сне.

> Более того при разработке хорошая практика это девелопать под самые новые версии компонентов, чтобы быть готовым к будущему сразу а не когда уже поздняк метаться.

Это ужасная практика, которая приводит к несуразным тратам времени на ремонт того, что не сломано. Погоня за циферками — удел админов локалхостов.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 05:36 
А просто запретить выполнять произвольный скрипт при установке пакета до сих пор не могут.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 05:40 
Большинство NPM пакетов не лезут на левые сайты (ajax всякий). Если ввести просто правило: всё новое не должно лезть или проходить отдельную верификацию (аккаунты фирм или ещё как - свод правил)? Это же на порядок быстрее и сильнее поднимет безопасность пакетов.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено yet another anonymous , 10-Авг-22 08:09 
> Большинство NPM пакетов не лезут на левые сайты

Да ладно! Или вы имели ввиду, что они таки лезут, но на "совершенно не левые"?

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 09:51 
Есть простое правило: посылать нах все платформы и языки, которым из коробки нужно чего-то откуда-то грузить, и требуются особые усилия заставить это работать строго оффлайн.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 10:21 
Ты только что изобрел С стандарта С99. А примеры кода вообще надо брать  из книжек и лучше из умных.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Ляля , 10-Авг-22 12:05 
Чтобы чего-то откуда-то не грузить, оно уже должно быть на компукторе, что порождает следующий вопрос: как помещать это чего-то на компуктор?
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 13:09 
Ты только что открыл дистрибутив линукс с пакетным менеджером.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Ляля , 10-Авг-22 14:29 
Это же буквально то же самое: чего-то откуда-то грузить. Чем репозитории дистрибутива в этом смысле принципиально отличаются от NPM? Ничем, особенно если это AUR или «добавьте наш ppa».
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено none7 , 10-Авг-22 17:04 
Степенью проверенности ментейнеров пакетов. Содержимое, а тем более обновления этого содержимого в NPN НИКТО не проверяет. Это помойка. Вы если виндой пользуетесь и хотите чего либо, то просто гуглите и запускаете первый попавшийся бинарник с варезника? А вот пользователи ПО из NPM так делают.
PPA это конечно зло и их можно ставить только на свой страх и риск, думая насколько автору PPA можно доверять. По хорошему их стоит ставить только в песочницу.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Ляля , 11-Авг-22 14:50 
То есть принципиально ничем, только в деталях: репозиторий дистра наполняют более симпатичные люди, и попадает в туда не всё, а что эти люди посчитали нужным добавить.

С репой дистра мы полагаемся на неких абстрактных ментейнеров, изначально и безусловно доверяя им, хотя причин для этого просто нет. «У них подписанные ключи» и «они знают друг друга» это причина для доверия между ментейнерами, но не для юзера, юзеру остаётся только верить, что репа беды не принесёт, верить, что ментейнеры хорошие парни.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 15:10 
Если не хочешь весь необходимый софт писать с нуля включая компиляторы, то необходимо кому-то доверять. И так уж сложилось, что бомж Вася, который свой аккаунт сольёт за бутылку водки любому прохожему, заслуживает меньшего доверия чем Линус Торвальдс.
Если доверять всем, то можете с тем же успехом оставить свой бумажник с кредитными картами в кафе, все же честные люди. А если не доверять не никому, то нужно собственный процессор печатать на собственном станке.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Ляля , 11-Авг-22 15:17 
Спасибо, я об этом как раз и говорю! Репа дистра не безопаснее NPM, но доверять ей проще.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 19:11 
> доверять ей проще

А можешь тезисно пояснить как ты пришёл к такому выводу? Какие-то объективные критерии привести, определение простоты дать, разъяснить в общем для менее осведомленной публики.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Ляля , 12-Авг-22 00:05 
Иди в другом месте поиграй, сорванец.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 17:35 
Тем, что репозитории дистров ОС поддерживаются слаженной командой дистростроителей. Они знают друг друга. Есть взаимное доверие, есть моральная ответственность.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Ляля , 11-Авг-22 14:58 
>Они знают друг друга.

А я их не знаю, для меня они какие-то люди в интернете. Как их знакомство друг с другом делает пакет безопаснее для меня?

>есть моральная ответственность

Тоже наверно перед друг другом, не передо мной же или другим админом.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 17:32 
Если ничего умного не приходит, можно вспомнить про дискетки.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 13:43 
Собственно, почему всякие удобные язычки с удобненькими пакетными менеджерами не нужны. Нужен только один пакетный менеджер - это apt. Или что у вас там.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 17:30 
portage
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 23:28 
Так называемые "Фронтэнд разработчики" не могут в apt.
Все что они могут это прозонтированный трехфакторной авторизацией каталог вредоносных пакетов npm
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 00:00 
Это тупые обезьянки дистростроители не могут в npmи не научились собирать пакеты. Какая попоболь.

Ведь макакам не объяснили разницу между кодом, для чего используется npm, и готовым продуктом.

Который должны собирать apt макаки. Но они не осилили. Печаль.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 11-Авг-22 01:06 
> Так называемые "Фронтэнд разработчики" не могут в apt.

Так это не баг а фича: сразу видно кто в вольере гадит.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 09:54 
В песочницу их, с запросом на доступ на каждый чих!
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 11:17 
Ты все пропустил это называется докер и его все используют.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 14:32 
Либо ты используешь докер или он начнет использовать тебя!
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 13:45 
Но докер - это не про песочницу. Докер - это про "я забыл ключи от apt-get".
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 14:33 
В интерактивном режиме команды набирай и будет тебе apt-get. А если ты еще пользователя с рутового переключишь, то вообще будешь в полной безопасности.
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 23:35 
Вы имеете в виду что современные разработчики не могут понять apt и поэтому изобрели докер?
Но ведь докер гораздо сложнее apt
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено darkshvein , 10-Авг-22 13:54 
а поясните за npm.
почему нельзя ставить те же rpm, deb? на худой конец src
почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm?
разработчики nodejs знают толк в извращениях?
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 15:04 
NPN это сплошной facepalm: можно исполнить любой скрипт на стороне разработчика (то есть - без разницы что там сам js норм, можно встретится в систему сборки), политика разбиения на микропакеты (и использования этих васяновских микропакетов в продакшнне уровня react/angular), отсутствие нормальных правил публикации, ползновения многофакторной авторизации...
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 10-Авг-22 19:42 
Поставь react из Deb.
А потом из rpm
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено A , 15-Авг-22 10:19 
> почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm?

Потому, что можно без знаний и без душнилова писать от души слабо продуманный код как стихи. Хорошие стихи написать трудно. Ну и хороший код - тоже.

А упаковать в Deb и пройти проверки на косолапость в Дебиан - трудно, нужно много выучить.

Короче - так было проще сделать обыкновенный тяп ляп.

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 12-Авг-22 08:46 
эхъ, а когда-то kde собирали в freebsd из сорцов, а чтоб все собиралось и работало комментили непонятные куски кода (! безопасность еще тогда).
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено BorichL , 12-Авг-22 14:58 
Дык до сих пор так делают, ну может в код особо не лезут, но желающие - могут   :-)
"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Аноним , 15-Авг-22 13:53 
Проблема мусорного бака в том что его нужно периодически вывозить.
Что npm, что pypi, что crates как раз такие бездонные баки, содержимое которых нужно в вулканической лаве растворять.
Причем "неймсквоттинг" там во все поля: условный белый джентльмен создаёт тысячу модулей на популярные названия и везде лепит одну и ту же фразу: "я создал этот проект чтобы не хорошие люди не могли напакостить, напишите мне туда-то если вы заинтересованы в проекте".

🤡

"В NPM планируют использовать Sigstore для подтверждения подл..."
Отправлено Ааантоним , 15-Авг-22 18:25 
И при этом когда из содержимого бака что-либо обязательно неотъемлемая часть обеда у джентельмена.

Примечательно, для Питона есть Conda репозиторий. Была догадка - там отфильтрованы более менее нетухлые кусочки из бака. Не проверял.