forum.opennet.ru - "Из репозитория NPM удалены четыре пакета с бэкдорами" (69)

"Из репозитория NPM удалены четыре пакета с бэкдорами"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Из репозитория NPM удалены четыре пакета с бэкдорами"	+/–
Сообщение от opennews (??), 17-Окт-20, 11:29
В репозитории NPM выявлены четыре пакета с вредоносным кодом. Проблема присутствует в пакетах plutov-slack-client, nodetest1010, nodetest199 и npmpubman, имеющих более тысячи установок. Пользователям, использовавшим первые три пакета, следует считать свои системы скомпрометированными, а все хранящиеся в системе ключи шифрования подлежащими замене... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53904
Ответить \| Правка \| Cообщить модератору

Оглавление

Сообщество Node js заслужило такое Ибо это у них такой пакетный менеджер и тако, Аноним (2), 11:30 , 17-Окт-20, (2) +15

В чем его принципиальное отличие от сородичей , Дерьмократ (?), 19:52 , 17-Окт-20, (36) +5

Не знал что у жскриптеров есть какие-то сорта если честно Папуасы они и в Африке, Аноньимъ (?), 06:26 , 18-Окт-20, (49) +7

Ты папуас тоже, наверняка используешь dbus в которого контроль доступа реализова, Аноним (52), 13:07 , 18-Окт-20, (52) –2

Я же эти правила не пишу , Аноньимъ (?), 16:49 , 18-Окт-20, (60) +2

По себе судишь Хвост не сломай пока ответ будешь писать, Дерьмократ (?), 19:50 , 23-Окт-20, (71)

что, опять тебя, Модного Соврмененного Уеб-Программиста, прокинули, и кушать неч, arisu (ok), 04:21 , 24-Окт-20, (73)

Какой посоветуете использовать язык программирования и пакетный менеджер, чтобы , нитрол (?), 19:25 , 19-Окт-20, (63) +1

китайский , arisu (ok), 23:39 , 19-Окт-20, (64)
Как ни странно, Rust Cargo , trolleybus (?), 13:14 , 20-Окт-20, (66) –2

В чем принципиальное отличие от maven , Аноним (67), 13:23 , 20-Окт-20, (67)

А почему не все , Аноним (3), 11:32 , 17-Окт-20, (3) +9
И ведь нельзя сказать лишь по названию пакета, установлен у тебя фактически этот, Аноним (5), 11:39 , 17-Окт-20, (5) +5

и нет возможности проведения хоть какого-то аудита p s веб раздут как мыльный, m.makhno (ok), 11:50 , 17-Окт-20, (6) +2

Вообще, npm при установке пакетов все же проводит какой-то аудит По крайней мер, Аноним (5), 12:00 , 17-Окт-20, (7) +2

Наивный Этот аудит служит всего лишь звонком домой, типа шеф, мы тут успешно, Аноним (10), 12:59 , 17-Окт-20, (10) +2

Вы утверждаете что вредоносные коды встроены прямо в NPM , Аноним (67), 13:26 , 20-Окт-20, (68)

Потому что макаки уже совсем обленились и функции в одну строку делают пакетами , Дерьмократ (?), 19:54 , 17-Окт-20, (37) +2

Ты чушь несешь, копировать одни и те же функции из проекта в проект это антипатт, Anonimous (?), 15:38 , 18-Окт-20, (57) –2

Это невозможно На работе говорят сделай вчера А ты такой, сейчас подождите, я , Аноним (67), 13:29 , 20-Окт-20, (69)
Ты из секты лефтпада Как делаешь ревью установленных пакетов после установки, д, Дерьмократ (?), 19:47 , 23-Окт-20, (70)
эвона оно как ну, впрочем, да современные программисты копируют только со stack, arisu (ok), 04:20 , 24-Окт-20, (72)

Всем Deno в етом чяти , Sin2x (ok), 12:45 , 17-Окт-20, (8) –6

это который прям с гхаба тянет зависимости не против дено, но в контексте обсуж, Аноним (12), 13:19 , 17-Окт-20, (12) +3

Deno устанавливает зависимости один раз, кэширует их и потом больше не обновляет, Sin2x (ok), 13:30 , 17-Окт-20, (13) –2

Пока что его приимущества спорны Никто не мешает установить зловред во время пе, Аноним (12), 14:04 , 17-Окт-20, (17) +2
В ноде тебе тоже никто не запрещает с собой везде таскать node_modules от проект, Аноним (18), 14:04 , 17-Окт-20, (18) +1
Будто бы энпиэмы и ярны пакеты не кешируют Только там вполне вменяемое версион, Lex (??), 14:32 , 17-Окт-20, (23)

Если бы с нпмом не было проблем, как ты пытаешься сейчас высказать, то эта новос, Sin2x (ok), 14:45 , 17-Окт-20, (24) –1

Никому ваш Дено не уперся Все крупные софьверные компании вкладываются в ноду , Программист (?), 17:21 , 17-Окт-20, (31) –1

А ты смешной Первая стабильная версия Дено зарелизилась только в мае этого год, Sin2x (ok), 18:04 , 17-Окт-20, (34) –1

Прекращай этот маркетинговый бред Или ты там контрибутишь что-то или тебе припл, Программист (?), 21:24 , 17-Окт-20, (38) –1
А какие результаты у него в принципе могут быть -Нода уже давно существует и ра, Lex (??), 15:03 , 18-Окт-20, (56) –1

gt оверквотинг удален Какие будут результаты, ты сможешь предварительно увидет, Sin2x (ok), 15:41 , 18-Окт-20, (58) –1

Так и какие конкретно плюшки кроме ранее упомянутых и весьма сомнительных в ит, Lex (??), 16:47 , 18-Окт-20, (59) –1

gt оверквотинг удален Я тебе уже сказал, что ты просто не шаришь в обсуждаемом, Sin2x (ok), 16:51 , 18-Окт-20, (61) –1

Так дено и не имеет смысла серьезно, он как имел совершенное невнятные фичи н, Lex (??), 14:59 , 18-Окт-20, (55) –1

Позвольте, я помогу вам и остальную часть вашего сообщения перевести на вебмакач, RomanCh (ok), 15:23 , 17-Окт-20, (28) –1

Незнание русского языка это твоя личная интимная драма http endic ru kuzhecov , Sin2x (ok), 15:25 , 17-Окт-20, (29) –2

Свою ссылку на ясделие от 98го года оставь себе Макаки - они ведь не только в в, RomanCh (ok), 22:00 , 17-Окт-20, (40) –1

Не тебе со мной спорить, невежда Разуй глаза и прочитай всю страницу по ссылке , Sin2x (ok), 22:07 , 17-Окт-20, (44) –4

Да батюшки, что ты этим доказать хочешь Что тащить в рот всякую дрянь и от этог, RomanCh (ok), 22:19 , 17-Окт-20, (45) –1

Ты не умный , а типичный невежда, который пеленой малозначительных, но весьма о, Sin2x (ok), 22:22 , 17-Окт-20, (46) –1

А это как раз самый правильный вариант Архивы на серверах пакетных менеджерах н, Аноним (2), 14:06 , 17-Окт-20, (21) +1

Но зато это дикая зависимость от гитхаба Отключат и все, всем сасат , vitalif (ok), 14:31 , 17-Окт-20, (22)

Кто же вас заставляет git репозитории на githubе хостить , Аноним (2), 15:13 , 17-Окт-20, (26) +1

Меня-то никто, но почему-то массово хостят именно там Я к тому, что наличие сво, vitalif (ok), 23:45 , 17-Окт-20, (48)

Это уже можно считать не доброй традицией , InuYasha (??), 12:45 , 17-Окт-20, (9) +2

Да удалять несколько троянов громко об это говорить, а сотни других оставлять в , Аноним (18), 14:05 , 17-Окт-20, (20)

На Java такого нет, Имя (?), 13:04 , 17-Окт-20, (11)

Скрыто модератором, Аноним (14), 13:34 , 17-Окт-20, (14) –5

Скрыто модератором, Sin2x (ok), 13:49 , 17-Окт-20, (15) +4

Скрыто модератором, Аноним (14), 14:00 , 17-Окт-20, (16) –1

Скрыто модератором, Аноним (12), 14:05 , 17-Окт-20, (19) +3

Конечно нет, там maven не из единого централизованного репозитория, из которого , Аноним (30), 15:44 , 17-Окт-20, (30) +2

Давно уже пора интернет по паспортам ввести Потому и безобразие такое , Аноним (25), 15:11 , 17-Окт-20, (25) –2

Женя, залогиньтесь , Аноним (2), 15:13 , 17-Окт-20, (27)
Интересно, как вы оформили свой , КО (?), 17:29 , 17-Окт-20, (32) –1

я знаю это отделение, там всем кому попало паспорта раздают, Аноним (12), 22:01 , 17-Окт-20, (41) +1

Надо читать код перед использованием И в проект его включать не через зависимос, Аноним (33), 17:52 , 17-Окт-20, (33) +1

Вот абсолютно верно В крайнем случае субмодулем git или экстерналом svn, перед о, Онаним (?), 22:03 , 17-Окт-20, (43) –1

Надо запретить post-install скрипты запускающиеся от имени юзера, который произв, Аноним (35), 19:26 , 17-Окт-20, (35)
Когда уже из репозитория npm удалят главный бэкдор - сам npm , Онаним (?), 22:02 , 17-Окт-20, (42) +2
Помните лифпад , Аноним (50), 08:27 , 18-Окт-20, (50) +3

А что это такое , Аноним (51), 11:41 , 18-Окт-20, (51) –1

https habr com ru post 280099 , CyberTailor (ok), 13:25 , 18-Окт-20, (54)

Никогда такого не было, и вот опять , CyberTailor (ok), 13:24 , 18-Окт-20, (53) +1

зашёл написать этот комментарий , arisu (ok), 07:47 , 19-Окт-20, (62)

ну это из разряда новостей о том что на просторах интернета есть вирусы Размест, name (??), 05:55 , 20-Окт-20, (65)

Сообщения [Сортировка по времени | RSS]

2. "Из репозитория NPM удалены четыре пакета с бэкдорами" +15 +/–

Сообщение от Аноним (2), 17-Окт-20, 11:30

Сообщество Node.js заслужило такое. Ибо это у них такой пакетный менеджер и такое отношение к безопасности.

Ответить | Правка | Наверх | Cообщить модератору

36. "Из репозитория NPM удалены четыре пакета с бэкдорами" +5 +/–

Сообщение от Дерьмократ (?), 17-Окт-20, 19:52

В чем его принципиальное отличие от сородичей?

Ответить | Правка | Наверх | Cообщить модератору

49. "Из репозитория NPM удалены четыре пакета с бэкдорами" +7 +/–

Сообщение от Аноньимъ (?), 18-Окт-20, 06:26

Не знал что у жскриптеров есть какие-то сорта если честно.
Папуасы они и в Африке папуасы, какая разница?

Ответить | Правка | Наверх | Cообщить модератору

52. "Из репозитория NPM удалены четыре пакета с бэкдорами" –2 +/–

Сообщение от Аноним (52), 18-Окт-20, 13:07

Ты папуас тоже, наверняка используешь dbus в которого контроль доступа реализован polkitd а правила к нему пишутся на JS.
Да, systemd к папуасам не пришол один, а с друзьями: JIT, JS для контроля доступа в системе, ...

Ответить | Правка | Наверх | Cообщить модератору

60. "Из репозитория NPM удалены четыре пакета с бэкдорами" +2 +/–

Сообщение от Аноньимъ (?), 18-Окт-20, 16:49

Я же эти правила не пишу ;)

Ответить | Правка | Наверх | Cообщить модератору

71. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от Дерьмократ (?), 23-Окт-20, 19:50

> Не знал что у жскриптеров есть какие-то сорта если честно.
> Папуасы они и в Африке папуасы, какая разница?
По себе судишь? Хвост не сломай пока ответ будешь писать

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

73. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от arisu (ok), 24-Окт-20, 04:21

что, опять тебя, Модного Соврмененного Уеб-Программиста, прокинули, и кушать нечего? ну, попрыгай, что ж тебе остаётся-то ещё…

Ответить | Правка | Наверх | Cообщить модератору

63. "Из репозитория NPM удалены четыре пакета с бэкдорами" +1 +/–

Сообщение от нитрол (?), 19-Окт-20, 19:25

Какой посоветуете использовать язык программирования и пакетный менеджер, чтобы не было подобный проблем, и можно было спать спокойно?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

64. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от arisu (ok), 19-Окт-20, 23:39

китайский.

Ответить | Правка | Наверх | Cообщить модератору

66. "Из репозитория NPM удалены четыре пакета с бэкдорами" –2 +/–

Сообщение от trolleybus (?), 20-Окт-20, 13:14

Как ни странно, Rust/Cargo.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

67. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от Аноним (67), 20-Окт-20, 13:23

В чем принципиальное отличие от maven?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Из репозитория NPM удалены четыре пакета с бэкдорами" +9 +/–

Сообщение от Аноним (3), 17-Окт-20, 11:32

А почему не все?

Ответить | Правка | Наверх | Cообщить модератору

5. "Из репозитория NPM удалены четыре пакета с бэкдорами" +5 +/–

Сообщение от Аноним (5), 17-Окт-20, 11:39

И ведь нельзя сказать лишь по названию пакета, установлен у тебя фактически этот пакет или нет. Взять, например, create-react-app -- популярный пакет, создающий каркас нового react-приложения. После его выполнения свежесозданный каркас прямо или косвенно _уже́_ зависит от 1684 пакетов.

Ответить | Правка | Наверх | Cообщить модератору

6. "Из репозитория NPM удалены четыре пакета с бэкдорами" +2 +/–

Сообщение от m.makhno (ok), 17-Окт-20, 11:50

и нет возможности проведения хоть какого-то аудита?..
p.s. веб раздут как мыльный пузырь ):

Ответить | Правка | Наверх | Cообщить модератору

7. "Из репозитория NPM удалены четыре пакета с бэкдорами" +2 +/–

Сообщение от Аноним (5), 17-Окт-20, 12:00

Вообще, npm при установке пакетов все же проводит какой-то аудит. По крайней мере, пишет, сколько пакетов audited и сколько vulnerabilities found. Но какой от этого толк, если зловред суют в скрипты, автозапускающиеся при установке... Завтра прилетит еще одна новость, и ищи-свищи post mortem по всем проектам, оказался ли какой-то установочный скрипт бэкдорным.

Ответить | Правка | Наверх | Cообщить модератору

10. "Из репозитория NPM удалены четыре пакета с бэкдорами" +2 +/–

Сообщение от Аноним (10), 17-Окт-20, 12:59

Наивный. Этот "аудит" служит всего лишь звонком домой, типа "шеф, мы тут успешно заразили очередной сервачок (характеристики) пакетами с версиями (список пакетов с версиями), ждём указаний".

Ответить | Правка | Наверх | Cообщить модератору

68. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от Аноним (67), 20-Окт-20, 13:26

Вы утверждаете что вредоносные коды встроены прямо в NPM?

Ответить | Правка | Наверх | Cообщить модератору

37. "Из репозитория NPM удалены четыре пакета с бэкдорами" +2 +/–

Сообщение от Дерьмократ (?), 17-Окт-20, 19:54

Потому что макаки уже совсем обленились и функции в одну строку делают пакетами.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

57. "Из репозитория NPM удалены четыре пакета с бэкдорами" –2 +/–

Сообщение от Anonimous (?), 18-Окт-20, 15:38

Ты чушь несешь, копировать одни и те же функции из проекта в проект это антипаттерн и так не будет делать не один программист. Как впрочем и устанавливать или обновлять хотя бы один пакет без code review, если у пакета нет сотен тысяч установок и репутации.

Ответить | Правка | Наверх | Cообщить модератору

69. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от Аноним (67), 20-Окт-20, 13:29

Это невозможно. На работе говорят сделай вчера. А ты такой, сейчас подождите, я месяц буду проверять все библиотеки на вредоносный код

Ответить | Правка | Наверх | Cообщить модератору

70. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от Дерьмократ (?), 23-Окт-20, 19:47

> Ты чушь несешь, копировать одни и те же функции из проекта в
> проект это антипаттерн и так не будет делать не один программист.
> Как впрочем и устанавливать или обновлять хотя бы один пакет без
> code review, если у пакета нет сотен тысяч установок и репутации.
Ты из секты лефтпада? Как делаешь ревью установленных пакетов после установки, да ещё и после запуска постинстал скриптов?

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

72. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от arisu (ok), 24-Окт-20, 04:20

> Ты чушь несешь, копировать одни и те же функции из проекта в
> проект это антипаттерн и так не будет делать не один программист.
эвона оно как.
ну, впрочем, да: современные программисты копируют только со stack overflow. а из своих прошлых проектов нет — потому что не могут там ничего найти и понять.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

8. "Из репозитория NPM удалены четыре пакета с бэкдорами" –6 +/–

Сообщение от Sin2x (ok), 17-Окт-20, 12:45

Всем Deno в етом чяти.

Ответить | Правка | Наверх | Cообщить модератору

12. "Из репозитория NPM удалены четыре пакета с бэкдорами" +3 +/–

Сообщение от Аноним (12), 17-Окт-20, 13:19

это который прям с гхаба тянет зависимости? не против дено, но в контексте обсуждения его упоминание сомнительно

Ответить | Правка | Наверх | Cообщить модератору

13. "Из репозитория NPM удалены четыре пакета с бэкдорами" –2 +/–

Сообщение от Sin2x (ok), 17-Окт-20, 13:30

Deno устанавливает зависимости один раз, кэширует их и потом больше не обновляет, если не сделать это эксплицитно. Плюс, он более секьюрен изначально, и даже в случае со зловредным пакетом тот не принесёт столько вреда, как в ноде.
https://blog.bitsrc.io/will-deno-kill-npm-dd46c50be715

Ответить | Правка | Наверх | Cообщить модератору

17. "Из репозитория NPM удалены четыре пакета с бэкдорами" +2 +/–

Сообщение от Аноним (12), 17-Окт-20, 14:04

Пока что его приимущества спорны. Никто не мешает установить зловред во время первой установки - у автора угнали доступ к репо, либо он сам туда зловред и засунул. Самое стрёмное, что прямые зависимости я могу сам проконтролировать, указав ссылку на версию на гите или даже на коммит, но зависимости зависимостей контролировать - это нереально. С учетом полного отсутствия аудита - это как было дырой так и остаётся и дено тут сильно не исправит ситуацию. Хотя возможность прямо указывать полномочия аппликухе это конечно плюс. Жаль только что всей аппликухе, включая зависимости.

Ответить | Правка | Наверх | Cообщить модератору

18. "Из репозитория NPM удалены четыре пакета с бэкдорами" +1 +/–

Сообщение от Аноним (18), 17-Окт-20, 14:04

В ноде тебе тоже никто не запрещает с собой везде таскать node_modules от проекта

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

23. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от Lex (??), 17-Окт-20, 14:32

Будто бы энпиэмы и ярны пакеты не кешируют :)
Только там вполне вменяемое версионирование и источники по умолчанию против неведомой помойки у дэно.
По поводу «более секурности изначально у дэно» - это в принципе крайне сомнительное утверждение, поскольку чуть ли не каждая «не баг а фича» у дэно при сколь-нибудь серьезном рассмотрении, оказывается самой настоящей дырищей либо в безопасности, либо - в воспроизводимости результата, либо - просто рекламной чушью, не имеющую реального применения в проекте.
п.с: и да, ничто не мешает таскать с проектом папку с модулями, раз уж на то дело пошло.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

24. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Sin2x (ok), 17-Окт-20, 14:45

> Будто бы энпиэмы и ярны пакеты не кешируют :)
> Только там вполне вменяемое версионирование и источники по умолчанию против неведомой помойки
> у дэно.
> По поводу «более секурности изначально у дэно» - это в принципе крайне
> сомнительное утверждение, поскольку чуть ли не каждая «не баг а фича»
> у дэно при сколь-нибудь серьезном рассмотрении, оказывается самой настоящей дырищей либо
> в безопасности, либо - в воспроизводимости результата, либо - просто рекламной
> чушью, не имеющую реального применения в проекте.
> п.с: и да, ничто не мешает таскать с проектом папку с модулями,
> раз уж на то дело пошло.
Если бы с нпмом не было проблем, как ты пытаешься сейчас высказать, то эта новость не имела бы смысла, как и не имел бы смысла Дено (созданный автором ноды с целью устранения её недостатков, ага) как таковой.
Но паровоз времени не останавливает своего бега, и будущее ноды уже предрешено. Оставаться на перроне или ехать со всеми это выбор каждого.

Ответить | Правка | Наверх | Cообщить модератору

31. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Программист (?), 17-Окт-20, 17:21

Никому ваш Дено не уперся. Все крупные софьверные компании вкладываются в ноду. В любом облачном окружении щас есть нода с первокласснлй поддержкой: aws, google cloud, azure и т.д. Гляньте хотя бы список коммитов и контрибуторов у ноды. А эта хрень, не может выстрелить в принципе, потому что ничего революционного не приносит. Почитайте про Yarn 2, pnpm. Вот там будущее.

Ответить | Правка | Наверх | Cообщить модератору

34. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Sin2x (ok), 17-Окт-20, 18:04

А ты смешной. Первая стабильная версия Дено зарелизилась только  в мае этого года, а ты уже ждёшь результатов масштаба индустрии. Естественно, что будет переходный период длиной в несколько лет. Вопрос в том, успеешь ли ты сорвать максимальный куш в начале развития технологии при низкой конкуренции, или войдёшь в неё тогда, когда рынок  уже окучен более предприимчивыми, чем ты, людьми и компаниями.

Ответить | Правка | Наверх | Cообщить модератору

38. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Программист (?), 17-Окт-20, 21:24

Прекращай этот маркетинговый бред. Или ты там контрибутишь что-то или тебе приплачивают чтобы эту ересь нести. Я выбираю инструменты по задачам. Пока мене нода все цело устраивает и безальтернативна в cloud окружениях, если требуется серверный JS. Любую технологию если потребуется я смогу изучить и тыщи других разработчиков тоже. Только смена ноды на дено или что-нибудь ещё не поможет тебе решать твои задачи лучше и быстрее. Я не вижу ничего революционного в этом и очень сомневаюсь что оно когда-то сильно сможет потеснить ноду на рынке.

Ответить | Правка | Наверх | Cообщить модератору

56. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Lex (??), 18-Окт-20, 15:03

> А ты смешной. Первая стабильная версия Дено зарелизилась только  в мае
> этого года, а ты уже ждёшь результатов масштаба индустрии. Естественно, что
> будет переходный период длиной в несколько лет. Вопрос в том, успеешь
> ли ты сорвать максимальный куш в начале развития технологии при низкой
> конкуренции, или войдёшь в неё тогда, когда рынок  уже окучен
> более предприимчивыми, чем ты, людьми и компаниями.
А какие результаты у него в принципе могут быть ?
-Нода уже давно существует и развивается, как и пакетные менеджеры под нее..
Тогда как дено предлагает.. то же самое, но более криво и в неопределенной перспективе, более того, один из основных разрабов проекта, имеющий хоть какое-то отношение к ноде - чувак, слившийся в первое же время развития и роста ноды( т.е практически не принимавший участия в ее развитии ).. что хорошего, лучше ноды, это в принципе может дать даже в неопределённом будущем ? Ну кроме убогого управления пакетами и их версиями, которого фактически нет и что выставляется как какая-то фича..

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

58. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Sin2x (ok), 18-Окт-20, 15:41

>[оверквотинг удален]
>> более предприимчивыми, чем ты, людьми и компаниями.
> А какие результаты у него в принципе могут быть ?
> -Нода уже давно существует и развивается, как и пакетные менеджеры под нее..
> Тогда как дено предлагает.. то же самое, но более криво и в
> неопределенной перспективе, более того, один из основных разрабов проекта, имеющий хоть
> какое-то отношение к ноде - чувак, слившийся в первое же время
> развития и роста ноды( т.е практически не принимавший участия в ее
> развитии ).. что хорошего, лучше ноды, это в принципе может дать
> даже в неопределённом будущем ? Ну кроме убогого управления пакетами и
> их версиями, которого фактически нет и что выставляется как какая-то фича..
Какие будут результаты, ты сможешь предварительно увидеть уже через год. Называть архитектора ноды, который занимался ей три года после создания, "чуваком, слившимся в первое же время развития и роста" это смешно, но зато хорошо иллюстрирует твой уровень владения темой.

Ответить | Правка | Наверх | Cообщить модератору

59. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Lex (??), 18-Окт-20, 16:47

> Какие будут результаты, ты сможешь предварительно увидеть уже через год. Называть архитектора
> ноды, который занимался ей три года после создания, "чуваком, слившимся в
> первое же время развития и роста" это смешно, но зато хорошо
> иллюстрирует твой уровень владения темой.
Так и.. какие конкретно плюшки кроме ранее упомянутых и весьма сомнительных в итоге предложит дэно ?
И что конкретно он в ней сделал ?
Он ведь, наверняка, очень немало в ней сделал, если "был архитектором ноды, который занимался ей 3 года после создания"(ц), не так ли ?
-Или, практически все его идеи были слиты в ноде и воплотились в дэно в виде очень( ОЧЕНЬ ) сомнительных фич и крайне запоздалой реакции на происходящее ? ( более чем уверен, что о первых релизах дэно слышал более года назад и уже тогда ее ключевые "фичи" эмм.. оказались не поняты широкой публикой, а новых фич, разумеется, так и не появилось, ведь они были конечной точкой, к которой проект изначально и стремился )

Ответить | Правка | Наверх | Cообщить модератору

61. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Sin2x (ok), 18-Окт-20, 16:51

>[оверквотинг удален]
>> первое же время развития и роста" это смешно, но зато хорошо
>> иллюстрирует твой уровень владения темой.
> Так и.. какие конкретно плюшки кроме ранее упомянутых и весьма сомнительных в
> итоге предложит дэно ?
> И что конкретно он в ней сделал ?
> Он ведь, наверняка, очень немало в ней сделал, если "был архитектором ноды,
> который занимался ей 3 года после создания"(ц), не так ли ?
> -Или, практически все его идеи были слиты в ноде и воплотились в
> дэно в виде очень( ОЧЕНЬ ) сомнительных фич и крайне запоздалой
> реакции на происходящее ?
Я тебе уже сказал, что ты просто не шаришь в обсуждаемом вопросе. Образовывайся.
https://www.youtube.com/watch?v=z6JRlx5NC9E
> ( более чем уверен, что о первых
> релизах дэно слышал более года назад и уже тогда ее ключевые
> "фичи" эмм.. оказались не поняты широкой публикой, а новых фич, разумеется,
> так и не появилось, ведь они были конечной точкой, к которой
> проект изначально и стремился )
https://github.com/denoland/deno/releases/tag/v1.0.0

Ответить | Правка | Наверх | Cообщить модератору

55. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Lex (??), 18-Окт-20, 14:59

> Если бы с нпмом не было проблем, как ты пытаешься сейчас высказать,
> то эта новость не имела бы смысла, как и не имел
> бы смысла Дено (созданный автором ноды с целью устранения её недостатков,
> ага) как таковой.
> Но паровоз времени не останавливает своего бега, и будущее ноды уже предрешено.
> Оставаться на перроне или ехать со всеми это выбор каждого.
Так дено и не имеет смысла( серьезно, он как имел совершенное невнятные "фичи" на момент старта, так даже они со временем становятся все более странными.. и это на фоне того, что тот же энпиэм и ярн не запрещает использовать для конкретного модуля репу что на гитхабе, что - даже локальной папкой в проекте, как лично я и поступаю, когда для конкретного проекта нет никаких других вариантов кроме кастомизации конкретного пакета - не в гитхаб же его тащить, порождая зависимости от сторонних реп, которые с сегодня доступны, а завтра.. а завтра я решил почистить свой репозиторий от какого-то барахла ).
Более того, в последнее время, посоны нередко пользуются ярном.. Настолько нередко, что поддержку файлов ярн.лок даже добавляют в последние версии энпиэм. Притом, система и работает ощутимо быстрее "классического" энпиэмаю

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

28. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от RomanCh (ok), 17-Окт-20, 15:23

> если не сделать это эксплицитно.
Позвольте, я помогу вам и остальную часть вашего сообщения перевести на вебмакачий суржик. А то у вас не очень понятно получилось:
> Deno инсталлит депенденси один раз, кэширует их и потом больше не апдейтит, если не сделать это эксплицитно. Плюс, он более секьюрен бай дизайн, и даже в случае с малваре тот не принесёт столько харма, как в ноде.
Так намного лучше!

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

29. "Из репозитория NPM удалены четыре пакета с бэкдорами" –2 +/–

Сообщение от Sin2x (ok), 17-Окт-20, 15:25

>> если не сделать это эксплицитно.
> Позвольте, я помогу вам и остальную часть вашего сообщения перевести на вебмакачий
> суржик. А то у вас не очень понятно получилось:
>> Deno инсталлит депенденси один раз, кэширует их и потом больше не апдейтит, если не сделать это эксплицитно. Плюс, он более секьюрен бай дизайн, и даже в случае с малваре тот не принесёт столько харма, как в ноде.
> Так намного лучше!
Незнание русского языка это твоя личная интимная драма:
http://endic.ru/kuzhecov/Jeksplicitn-69352.html

Ответить | Правка | Наверх | Cообщить модератору

40. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от RomanCh (ok), 17-Окт-20, 22:00

Свою ссылку на ясделие от 98го года оставь себе. Макаки - они ведь не только в вебе. В 91м им вообще дали кораблём командовать, и изо всех щелей полезли приватизации, ваучеры, имплементации, рестрикции и прочие убогие кальки с английского, которыми макаки производили впечатление на стадо.
Поднимаете чё попало с полу и в рот суёте...

Ответить | Правка | Наверх | Cообщить модератору

44. "Из репозитория NPM удалены четыре пакета с бэкдорами" –4 +/–

Сообщение от Sin2x (ok), 17-Окт-20, 22:07

Не тебе со мной спорить, невежда. Разуй глаза и прочитай всю страницу по ссылке целиком, а не только то, что тебе удобно --  сможешь увидеть и Розенталя от 76 года и исторические примеры из словаря галлицизмов.

Ответить | Правка | Наверх | Cообщить модератору

45. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от RomanCh (ok), 17-Окт-20, 22:19

Да батюшки, что ты этим доказать хочешь? Что тащить в рот всякую дрянь и от этого раздуваться от важности - круто?
Знаешь что отличает умного от позёра/дурака вообще, и тут в частности? То что умный простыми словами объясняет сложные вещи, а позёр или друак - сложными словами простые. ЧСВ тем самым себе чешет. Ну а ты и дальше можешь раздуваться от собственной "мудрости", я не против. Больше дураков - умным жить проще.

Ответить | Правка | Наверх | Cообщить модератору

46. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Sin2x (ok), 17-Окт-20, 22:22

> Да батюшки, что ты этим доказать хочешь? Что тащить в рот всякую
> дрянь и от этого раздуваться от важности - круто?
> Знаешь что отличает умного от позёра/дурака вообще, и тут в частности? То
> что умный простыми словами объясняет сложные вещи, а позёр или друак
> - сложными словами простые. ЧСВ тем самым себе чешет. Ну а
> ты и дальше можешь раздуваться от собственной "мудрости", я не против.
> Больше дураков - умным жить проще.
Ты не "умный", а типичный невежда, который пеленой малозначительных, но весьма обильных слов пытается скрыть свой недостаток знаний и обратить его в псевдодостоинство. Свободен.

Ответить | Правка | Наверх | Cообщить модератору

21. "Из репозитория NPM удалены четыре пакета с бэкдорами" +1 +/–

Сообщение от Аноним (2), 17-Окт-20, 14:06

>который прям с гхаба тянет зависимости?
А это как раз самый правильный вариант. Архивы на серверах пакетных менеджерах никто не смотрит, если кому-нибудь что-нибудь нужно подправить, то клонируют репозиторий, правят, и шлют PR (у этого подхода есть недостаток - иногда среди мейтейнеров апстримов попадаются истерички и/или неадекваты, которые просто выбросят твой труд на помойку, а иногда ещё и забанят вдобавок). Или не шлют и держат форк. Да и смотреть с гитхаба удобнее прямо из браузера, с подсветкой синтаксиса, поиском по истории, и иногда - переходом по символам, чем скачивать архив и его распаковывать, особенно актуально для большого софта.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от vitalif (ok), 17-Окт-20, 14:31

Но зато это дикая зависимость от гитхаба. Отключат и все, всем сасат.

Ответить | Правка | Наверх | Cообщить модератору

26. "Из репозитория NPM удалены четыре пакета с бэкдорами" +1 +/–

Сообщение от Аноним (2), 17-Окт-20, 15:13

Кто же вас заставляет git репозитории на githubе хостить?

Ответить | Правка | Наверх | Cообщить модератору

48. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от vitalif (ok), 17-Окт-20, 23:45

> Кто же вас заставляет git репозитории на githubе хостить?
Меня-то никто, но почему-то массово хостят именно там. Я к тому, что наличие своей инфры у менеджера пакетов это скорее плюс, чем минус

Ответить | Правка | Наверх | Cообщить модератору

9. "Из репозитория NPM удалены четыре пакета с бэкдорами" +2 +/–

Сообщение от InuYasha (??), 17-Окт-20, 12:45

Это уже можно считать (не)доброй традицией? :)

Ответить | Правка | Наверх | Cообщить модератору

20. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от Аноним (18), 17-Окт-20, 14:05

Да удалять несколько троянов громко об это говорить, а сотни других оставлять в репо

Ответить | Правка | Наверх | Cообщить модератору

11. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от Имя (?), 17-Окт-20, 13:04

На Java такого нет

Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором –5 +/–

Сообщение от Аноним (14), 17-Окт-20, 13:34

в смысле? npm - пакетный менеджер для джава-библиотек

Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором +4 +/–

Сообщение от Sin2x (ok), 17-Окт-20, 13:49

Когда там каникулы заканчиваются у вас?

Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором –1 +/–

Сообщение от Аноним (14), 17-Окт-20, 14:00

на том свете отдохнём, а пока наша задача - обеспечить внукам светлое будущее без байткода

Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором +3 +/–

Сообщение от Аноним (12), 17-Окт-20, 14:05

Джаву-джаву взял я на халяву

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

30. "Из репозитория NPM удалены четыре пакета с бэкдорами" +2 +/–

Сообщение от Аноним (30), 17-Окт-20, 15:44

Конечно нет, там maven не из единого централизованного репозитория, из которого хоть иногда трояны вычищают, тягает зависимости, а вообще откуда вздумается.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

25. "Из репозитория NPM удалены четыре пакета с бэкдорами" –2 +/–

Сообщение от Аноним (25), 17-Окт-20, 15:11

>> который использовал для их распространения фиктивные учётные записи
Давно уже пора интернет по паспортам ввести. Потому и безобразие такое.

Ответить | Правка | Наверх | Cообщить модератору

27. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от Аноним (2), 17-Окт-20, 15:13

Женя, залогиньтесь.

Ответить | Правка | Наверх | Cообщить модератору

32. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от КО (?), 17-Окт-20, 17:29

Интересно, как вы оформили свой...

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

41. "Из репозитория NPM удалены четыре пакета с бэкдорами" +1 +/–

Сообщение от Аноним (12), 17-Окт-20, 22:01

я знаю это отделение, там всем кому попало паспорта раздают

Ответить | Правка | Наверх | Cообщить модератору

33. "Из репозитория NPM удалены четыре пакета с бэкдорами" +1 +/–

Сообщение от Аноним (33), 17-Окт-20, 17:52

Надо читать код перед использованием. И в проект его включать не через зависимости, а копированием исходников. Тогда такой херни не будет.

Ответить | Правка | Наверх | Cообщить модератору

43. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Онаним (?), 17-Окт-20, 22:03

Вот абсолютно верно.
В крайнем случае субмодулем git или экстерналом svn, перед обновлением которого можно изменения пролистать.

Ответить | Правка | Наверх | Cообщить модератору

35. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от Аноним (35), 17-Окт-20, 19:26

Надо запретить post-install скрипты запускающиеся от имени юзера, который производит установку пакетов. Да, это не спасёт от всех проблем, но хотя бы у человека будет возможность почитать код пакета, прежде чем его запускать.

Ответить | Правка | Наверх | Cообщить модератору

42. "Из репозитория NPM удалены четыре пакета с бэкдорами" +2 +/–

Сообщение от Онаним (?), 17-Окт-20, 22:02

Когда уже из репозитория npm удалят главный бэкдор - сам npm?

Ответить | Правка | Наверх | Cообщить модератору

50. "Из репозитория NPM удалены четыре пакета с бэкдорами" +3 +/–

Сообщение от Аноним (50), 18-Окт-20, 08:27

Помните лифпад!

Ответить | Правка | Наверх | Cообщить модератору

51. "Из репозитория NPM удалены четыре пакета с бэкдорами" –1 +/–

Сообщение от Аноним (51), 18-Окт-20, 11:41

А что это такое?

Ответить | Правка | Наверх | Cообщить модератору

54. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от CyberTailor (ok), 18-Окт-20, 13:25

https://habr.com/ru/post/280099/

Ответить | Правка | Наверх | Cообщить модератору

53. "Из репозитория NPM удалены четыре пакета с бэкдорами" +1 +/–

Сообщение от CyberTailor (ok), 18-Окт-20, 13:24

Никогда такого не было, и вот опять!

Ответить | Правка | Наверх | Cообщить модератору

62. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от arisu (ok), 19-Окт-20, 07:47

зашёл написать этот комментарий.

Ответить | Правка | Наверх | Cообщить модератору

65. "Из репозитория NPM удалены четыре пакета с бэкдорами" +/–

Сообщение от name (??), 20-Окт-20, 05:55

ну это из разряда новостей о том что на просторах интернета есть вирусы. Разместить пакеты в пакетопомойке любой может, где тут новость? npm, rubygems, pip и другие это просто свалка. Есть такие же свалки для более душевных пакетных манаджеров (yum и apt), где тоже и вирусни и упакованного говнокода дадут с подливой.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+15 +/–
Сообщение от Аноним (2), 17-Окт-20, 11:30
Сообщество Node.js заслужило такое. Ибо это у них такой пакетный менеджер и такое отношение к безопасности.
Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+5 +/–
	Сообщение от Дерьмократ (?), 17-Окт-20, 19:52
	В чем его принципиальное отличие от сородичей?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+7 +/–
	Сообщение от Аноньимъ (?), 18-Окт-20, 06:26
	Не знал что у жскриптеров есть какие-то сорта если честно. Папуасы они и в Африке папуасы, какая разница?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Из репозитория NPM удалены четыре пакета с бэкдорами"	–2 +/–
	Сообщение от Аноним (52), 18-Окт-20, 13:07
	Ты папуас тоже, наверняка используешь dbus в которого контроль доступа реализован polkitd а правила к нему пишутся на JS. Да, systemd к папуасам не пришол один, а с друзьями: JIT, JS для контроля доступа в системе, ...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+2 +/–
	Сообщение от Аноньимъ (?), 18-Окт-20, 16:49
	Я же эти правила не пишу ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+/–
	Сообщение от Дерьмократ (?), 23-Окт-20, 19:50
	> Не знал что у жскриптеров есть какие-то сорта если честно. > Папуасы они и в Африке папуасы, какая разница? По себе судишь? Хвост не сломай пока ответ будешь писать
	Ответить \| Правка \| К родителю #49 \| Наверх \| Cообщить модератору


	73. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+/–
	Сообщение от arisu (ok), 24-Окт-20, 04:21
	что, опять тебя, Модного Соврмененного Уеб-Программиста, прокинули, и кушать нечего? ну, попрыгай, что ж тебе остаётся-то ещё…
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+1 +/–
	Сообщение от нитрол (?), 19-Окт-20, 19:25
	Какой посоветуете использовать язык программирования и пакетный менеджер, чтобы не было подобный проблем, и можно было спать спокойно?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	64. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+/–
	Сообщение от arisu (ok), 19-Окт-20, 23:39
	китайский.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Из репозитория NPM удалены четыре пакета с бэкдорами"	–2 +/–
	Сообщение от trolleybus (?), 20-Окт-20, 13:14
	Как ни странно, Rust/Cargo.
	Ответить \| Правка \| К родителю #63 \| Наверх \| Cообщить модератору


	67. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+/–
	Сообщение от Аноним (67), 20-Окт-20, 13:23
	В чем принципиальное отличие от maven?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+9 +/–
Сообщение от Аноним (3), 17-Окт-20, 11:32
А почему не все?
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+5 +/–
Сообщение от Аноним (5), 17-Окт-20, 11:39
И ведь нельзя сказать лишь по названию пакета, установлен у тебя фактически этот пакет или нет. Взять, например, create-react-app -- популярный пакет, создающий каркас нового react-приложения. После его выполнения свежесозданный каркас прямо или косвенно _уже́_ зависит от 1684 пакетов.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+2 +/–
	Сообщение от m.makhno (ok), 17-Окт-20, 11:50
	и нет возможности проведения хоть какого-то аудита?.. p.s. веб раздут как мыльный пузырь ):
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+2 +/–
	Сообщение от Аноним (5), 17-Окт-20, 12:00
	Вообще, npm при установке пакетов все же проводит какой-то аудит. По крайней мере, пишет, сколько пакетов audited и сколько vulnerabilities found. Но какой от этого толк, если зловред суют в скрипты, автозапускающиеся при установке... Завтра прилетит еще одна новость, и ищи-свищи post mortem по всем проектам, оказался ли какой-то установочный скрипт бэкдорным.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+2 +/–
	Сообщение от Аноним (10), 17-Окт-20, 12:59
	Наивный. Этот "аудит" служит всего лишь звонком домой, типа "шеф, мы тут успешно заразили очередной сервачок (характеристики) пакетами с версиями (список пакетов с версиями), ждём указаний".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+/–
	Сообщение от Аноним (67), 20-Окт-20, 13:26
	Вы утверждаете что вредоносные коды встроены прямо в NPM?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+2 +/–
	Сообщение от Дерьмократ (?), 17-Окт-20, 19:54
	Потому что макаки уже совсем обленились и функции в одну строку делают пакетами.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	57. "Из репозитория NPM удалены четыре пакета с бэкдорами"	–2 +/–
	Сообщение от Anonimous (?), 18-Окт-20, 15:38
	Ты чушь несешь, копировать одни и те же функции из проекта в проект это антипаттерн и так не будет делать не один программист. Как впрочем и устанавливать или обновлять хотя бы один пакет без code review, если у пакета нет сотен тысяч установок и репутации.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	69. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+/–
	Сообщение от Аноним (67), 20-Окт-20, 13:29
	Это невозможно. На работе говорят сделай вчера. А ты такой, сейчас подождите, я месяц буду проверять все библиотеки на вредоносный код
	Ответить \| Правка \| Наверх \| Cообщить модератору


	70. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+/–
	Сообщение от Дерьмократ (?), 23-Окт-20, 19:47
	> Ты чушь несешь, копировать одни и те же функции из проекта в > проект это антипаттерн и так не будет делать не один программист. > Как впрочем и устанавливать или обновлять хотя бы один пакет без > code review, если у пакета нет сотен тысяч установок и репутации. Ты из секты лефтпада? Как делаешь ревью установленных пакетов после установки, да ещё и после запуска постинстал скриптов?
	Ответить \| Правка \| К родителю #57 \| Наверх \| Cообщить модератору


	72. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+/–
	Сообщение от arisu (ok), 24-Окт-20, 04:20
	> Ты чушь несешь, копировать одни и те же функции из проекта в > проект это антипаттерн и так не будет делать не один программист. эвона оно как. ну, впрочем, да: современные программисты копируют только со stack overflow. а из своих прошлых проектов нет — потому что не могут там ничего найти и понять.
	Ответить \| Правка \| К родителю #57 \| Наверх \| Cообщить модератору

8. "Из репозитория NPM удалены четыре пакета с бэкдорами"	–6 +/–
Сообщение от Sin2x (ok), 17-Окт-20, 12:45
Всем Deno в етом чяти.
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+3 +/–
	Сообщение от Аноним (12), 17-Окт-20, 13:19
	это который прям с гхаба тянет зависимости? не против дено, но в контексте обсуждения его упоминание сомнительно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Из репозитория NPM удалены четыре пакета с бэкдорами"	–2 +/–
	Сообщение от Sin2x (ok), 17-Окт-20, 13:30
	Deno устанавливает зависимости один раз, кэширует их и потом больше не обновляет, если не сделать это эксплицитно. Плюс, он более секьюрен изначально, и даже в случае со зловредным пакетом тот не принесёт столько вреда, как в ноде. https://blog.bitsrc.io/will-deno-kill-npm-dd46c50be715
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+2 +/–
	Сообщение от Аноним (12), 17-Окт-20, 14:04
	Пока что его приимущества спорны. Никто не мешает установить зловред во время первой установки - у автора угнали доступ к репо, либо он сам туда зловред и засунул. Самое стрёмное, что прямые зависимости я могу сам проконтролировать, указав ссылку на версию на гите или даже на коммит, но зависимости зависимостей контролировать - это нереально. С учетом полного отсутствия аудита - это как было дырой так и остаётся и дено тут сильно не исправит ситуацию. Хотя возможность прямо указывать полномочия аппликухе это конечно плюс. Жаль только что всей аппликухе, включая зависимости.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+1 +/–
	Сообщение от Аноним (18), 17-Окт-20, 14:04
	В ноде тебе тоже никто не запрещает с собой везде таскать node_modules от проекта
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	23. "Из репозитория NPM удалены четыре пакета с бэкдорами"	+/–
	Сообщение от Lex (??), 17-Окт-20, 14:32
	Будто бы энпиэмы и ярны пакеты не кешируют :) Только там вполне вменяемое версионирование и источники по умолчанию против неведомой помойки у дэно. По поводу «более секурности изначально у дэно» - это в принципе крайне сомнительное утверждение, поскольку чуть ли не каждая «не баг а фича» у дэно при сколь-нибудь серьезном рассмотрении, оказывается самой настоящей дырищей либо в безопасности, либо - в воспроизводимости результата, либо - просто рекламной чушью, не имеющую реального применения в проекте. п.с: и да, ничто не мешает таскать с проектом папку с модулями, раз уж на то дело пошло.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	24. "Из репозитория NPM удалены четыре пакета с бэкдорами"	–1 +/–
	Сообщение от Sin2x (ok), 17-Окт-20, 14:45
	> Будто бы энпиэмы и ярны пакеты не кешируют :) > Только там вполне вменяемое версионирование и источники по умолчанию против неведомой помойки > у дэно. > По поводу «более секурности изначально у дэно» - это в принципе крайне > сомнительное утверждение, поскольку чуть ли не каждая «не баг а фича» > у дэно при сколь-нибудь серьезном рассмотрении, оказывается самой настоящей дырищей либо > в безопасности, либо - в воспроизводимости результата, либо - просто рекламной > чушью, не имеющую реального применения в проекте. > п.с: и да, ничто не мешает таскать с проектом папку с модулями, > раз уж на то дело пошло. Если бы с нпмом не было проблем, как ты пытаешься сейчас высказать, то эта новость не имела бы смысла, как и не имел бы смысла Дено (созданный автором ноды с целью устранения её недостатков, ага) как таковой. Но паровоз времени не останавливает своего бега, и будущее ноды уже предрешено. Оставаться на перроне или ехать со всеми это выбор каждого.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Из репозитория NPM удалены четыре пакета с бэкдорами"	–1 +/–
	Сообщение от Программист (?), 17-Окт-20, 17:21
	Никому ваш Дено не уперся. Все крупные софьверные компании вкладываются в ноду. В любом облачном окружении щас есть нода с первокласснлй поддержкой: aws, google cloud, azure и т.д. Гляньте хотя бы список коммитов и контрибуторов у ноды. А эта хрень, не может выстрелить в принципе, потому что ничего революционного не приносит. Почитайте про Yarn 2, pnpm. Вот там будущее.
	Ответить \| Правка \| Наверх \| Cообщить модератору