Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Рейтинг библиотек, требующих особой проверки безопасности"	+/–
Сообщение от opennews (?), 22-Фев-20, 10:26
Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, провёл второе исследование в рамках программы Census, нацеленной на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52415
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Здрасьте (?), 22-Фев-20, 10:26	+22 +/–
Дерьмовый рейтинг. Берём однострочную (всё остальное там — бойлерплейт) библиотеку «isarray», смотрим четыре его issues. Первый — спрашивают зачем нужна односточная библиотека, во втором обсуждают лицензию, в третьем хотят промисы в эту библиотеку (зачем?), в последнем советуют поправить тесты. В итоге «проблемы» там яйца выеденного не стоит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #31, #37

2. Сообщение от Анонимус2 (?), 22-Фев-20, 10:38	+1 +/–
logback давно мёртв, нужно просто везде его выкинуть, что при правильном его применении не составит труда
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #15

3. Сообщение от Аноним (3), 22-Фев-20, 10:56	+1 +/–
От души посмеялся над автором isarray и Linux FUNdation
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11

4. Сообщение от Аноним (4), 22-Фев-20, 11:19	+/–
Вот так посмотришь и задумаешься… Но я тоже так могу. Открыл рандомную портянку на баше, 2000 строк кода. Открыл вторую, 1000 строк. открыл 3 - 500… Осталось добавить тесты и документацию, и вот уже 300000 строк с 9999 проблем готово. И это практически чистый код без бойлерплейта.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 22-Фев-20, 11:26	+1 +/–
isArray прекрасен: >var toString = {}.toString; > >module.exports = Array.isArray || function (arr) { >  return toString.call(arr) == '[object Array]'; >};
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (6), 22-Фев-20, 11:52	+4 +/–
до введения Array.isArray проверка на ecmascript-овский Object#toString() была самым простым из надежных способов убедиться, что работаем именно с массивом. https://www.ecma-international.org/ecma-262/5.1/#sec-15.2.4.2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #29

7. Сообщение от Аноним (7), 22-Фев-20, 12:05	–1 +/–
Вообще сам факт того, что семейство жабы критично в плане безопасности, довольно примечателен С жаба-скриптом все понятно, это передний край, а вот то, что жаба критична, я не знал
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #19, #30

8. Сообщение от Аноним (6), 22-Фев-20, 12:12	+6 +/–
Да и чай Java тоже не особо безопасен. А сигареты Ява так и вовсе вызывают проблемы с онко-безопасностью. Все ява-семейство небезопасно короче.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #10

9. Сообщение от Michael Shigorin (ok), 22-Фев-20, 12:16	–3 +/–
Тьфу ты, я уж было думал, речь про _библиотеки_, а тут опять какая-то инициатива инициативных дураков о таких же :-/ Как кого покусает "политкорректность", так вот такое и остаётся вместо дела.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42, #59

10. Сообщение от Michael Shigorin (ok), 22-Фев-20, 12:17	–1 +/–
Забыли, возможно, самое тяжёлое и опасное из всего семейства? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13, #18

11. Сообщение от Аноним (11), 22-Фев-20, 12:18	+1 +/–
Fund-ation вообще-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #22

12. Сообщение от abi (?), 22-Фев-20, 12:20	+/–
А можно поподробнее? logback-gelf-ом удобно в грейлог записывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #71

13. Сообщение от Шнягорин (?), 22-Фев-20, 12:22	+1 +/–
Мотоциклы Ява? Или остров?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #25

14. Сообщение от Аноним (14), 22-Фев-20, 12:51	+14 +/–
>>Javascript >>11 авторов, 11 незакрытых проблем >>3 автора, 3 незакрытых проблемы Тонко.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

15. Сообщение от Аноним (15), 22-Фев-20, 12:53	+4 +/–
Ого, а чё щас модно использовать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #72

16. Сообщение от Аноним (18), 22-Фев-20, 13:12	+1 +/–
>isarray (317 строк кода, 3 автора, 3 коммитера, 4 незакрытых проблемы); "Sorry, but I think that it doesn't make any sense, because it's ONE LINE OF CODE. Why did you make it as NPM module?"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

17. Сообщение от Аноним (20), 22-Фев-20, 13:17	+/–
Почему Линукс фаундейшн сама не выпустит единственно верные гнушные библиотеки на все случаи жизни? И сам не закроет все ишуи?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

18. Сообщение от Аноним (18), 22-Фев-20, 13:17	+/–
какое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

19. Сообщение от Аноним (18), 22-Фев-20, 13:18	+/–
Все явы дырявые друшлаки. Любой нормальный человек это понимает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

20. Сообщение от Аноним (20), 22-Фев-20, 13:19	+1 +/–
Потому что он лицензионный тролль, выпустил функцию, которая итак есть, а потом будет всех кто её использует терроризировать своей лицензией.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #21, #39

21. Сообщение от Аноним (18), 22-Фев-20, 13:21	+/–
В новых браузерах есть, а например в ie нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

22. Сообщение от InuYasha (?), 22-Фев-20, 13:27	+2 +/–
или FFFFFFFUUUUUUUUU- NDA-tion :D (что в особенности касается работы с железками)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #45

23. Сообщение от InuYasha (?), 22-Фев-20, 13:29	+5 +/–
Намёк на "Нет человека - нет проблемы?" )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #47

24. Сообщение от InuYasha (?), 22-Фев-20, 13:36	+2 +/–
Нашёл в логах: Caused by: Generic.foundation.OutOfMoneyError: Donation heap space Out of money: Kill member 440 (java) score 0 or sacrifice project. System halted.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #33

25. Сообщение от имя (ok), 22-Фев-20, 13:44	+5 +/–
Belomorkanal programming language.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

28. Сообщение от Грусть (?), 22-Фев-20, 15:19	+/–
Они таки спутали Java и JavaScript?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

29. Сообщение от Аноним (29), 22-Фев-20, 16:25	+1 +/–
Естественный способ - var instanceof Array - всегда работал надежно. Но в некоторых браузерах довольно медленно. В общем, toString - результат микрооптимизаций. Зачем понадобилось добавлять Array.isArray вместо оптимизации instanceof  - загадка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #38, #55, #70

30. Сообщение от nelson (??), 22-Фев-20, 16:38	+1 +/–
>> Вообще сам факт того, что семейство жабы критично в плане безопасности, довольно примечателен это ещё что. впереди длинная череда фэйлов в плане безопасности с участием поделок на якобы "безопасной" растишке. безопасность - это вообще не про отсутствие адресной арифметики, сборщик мусора и gets, это про квалификацию разработчика
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #32

31. Сообщение от Аноним (-), 22-Фев-20, 17:12	–1 +/–
Так сделай лучше. Давай посмотрим на твой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

32. Сообщение от Аноним84701 (ok), 22-Фев-20, 17:52	–1 +/–
> безопасность - это вообще не про отсутствие адресной арифметики, сборщик мусора и  gets, это про квалификацию разработчика Это да! Настоящий разработчик сразу опкоды вбивает. А неосиляторы придумали всякие Address/Thread/Memory/UB/DataFlow/Leak Sanitizer-ы да варнинги в компиляторах, вместо того чтобы просто прокачать квалификацию до нужного уровня :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #44, #53

33. Сообщение от Аноним (33), 22-Фев-20, 19:11	+/–
Это компания состоит из юристов, там программистов то и нет, так что сколько денег им не давай будут падать с ошибкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

34. Сообщение от Аноним (33), 22-Фев-20, 19:12	+/–
Юристы же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

35. Сообщение от InuYasha (?), 22-Фев-20, 20:04	+/–
Что, никого не смутило название "Census"?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

36. Сообщение от Аноним (-), 22-Фев-20, 20:34	+1 +/–
> 196 тысяч строк кода, Обречено умереть безопасТным...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

37. Сообщение от Анон Анонов (?), 22-Фев-20, 22:09	–3 +/–
Если такой умный, то напиши по памяти полифил для Array.isArray.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #46

38. Сообщение от Анон Анонов (?), 22-Фев-20, 22:12	+/–
если сравнивать instanceof массивов из разных фреймов, то получишь false.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #48

39. Сообщение от Анон Анонов (?), 22-Фев-20, 22:15	+/–
Там MIT лицензия, ало
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #40

40. Сообщение от abi (?), 22-Фев-20, 22:43	+1 +/–
Её смогли нарушить когда заинлайнили функцию в nodejs, посмотрите откуда растут ноги у одной незакрытой проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от Онаним (?), 22-Фев-20, 23:15	+/–
Помнити лифпат!
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Аноним (42), 22-Фев-20, 23:48	–2 +/–
Самое противное, что сторожилы срать хотят на все это и пишут на кошерном Си или Паскале
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #43, #51

43. Сообщение от Аноним (-), 23-Фев-20, 00:00	+5 +/–
Сторожилы должны сторожить. А прогать им ни к чему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (-), 23-Фев-20, 00:01	+/–
> Настоящий разработчик сразу опкоды вбивает. Приятно почувствовать себя настоящим разработчиком :]
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

45. Сообщение от Аноним (-), 23-Фев-20, 00:12	–1 +/–
Не, тут чуваки явно на FUND'ation расчитывают, иначе зачем бы они полезли ворошить такой ынтырпрайз :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

46. Сообщение от Аноним (-), 23-Фев-20, 00:13	+2 +/–
Блин, чувак, не хочу ничего сказать но даже голимые сишники в 196К строк умещают, сцуко, целый навороченный сервер с дохраналионом прибабахов в оном, а не какой-то там отдельный компонентик с няшечками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #57

47. Сообщение от Аноним (47), 23-Фев-20, 00:40	+1 +/–
> Намёк на "Нет человека - нет проблемы?" ) Давно пора выдавать лицензию на охоту на вебмакак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #52

48. Сообщение от Аноним (48), 23-Фев-20, 02:50	+/–
Что, простите? Какое отношение Dom модель с frame имеет к языку?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

49. Сообщение от borbacuca (ok), 23-Фев-20, 10:14	–1 +/–
и эти пингвины смеются над виндой
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

50. Сообщение от Аноним (50), 23-Фев-20, 12:02	+1 +/–
где библиотеки php?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #56

51. Сообщение от модный мальчик с подворотиками (?), 23-Фев-20, 16:46	+1 +/–
Безобразие. Ну ничего, скоро появится одна новая интересная инициатива - объявлять весь код, написанный на небезопастных языках - небезопастным, и не выполнять, без установки специальной безопастной версии системы, пятнадцати нажатий ok, трех подтверждений паролем и потом - все равно не выполнять, ибо небезопастно же! В принципе, в ведроиде уже так и сделали, но что-то пока недостаточно интенсивно внедряют в остальной мир.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

52. Сообщение от пох. (?), 23-Фев-20, 16:47	+2 +/–
на вредных животных можно охотиться без лицензий в любое время года. Нужно вводить премию за сданные хвосты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

53. Сообщение от Урри (?), 23-Фев-20, 23:05	+3 +/–
Переход на крайности - явный признак отсутствия аргументов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

54. Сообщение от Урри (?), 24-Фев-20, 01:08	+/–
Я вообще не понимаю для чего там 196 тысяч(!!!) строк. Да в 196'000 строк можно вместить 200 разных асинков для 200 разных языков. [added] Фух, сам асинк занимает всего 5'000 строк. Не знаю как эти балбесы считали... асинк: https://github.com/caolan/async/blob/master/dist/async.js
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

55. Сообщение от Урри (?), 24-Фев-20, 01:14	+4 +/–
Какой прекрасный язык. Какая прекрасная и продуманная архитектура. Какая лаконичность и читабельность! Зачем? Почему? Как люди на этом работают? Зачем жрать этот кактус??? Вселенский мазохизм какой-то..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #58, #60

56. Сообщение от Аноним (56), 24-Фев-20, 06:22	+/–
достаточно просто сказать: библиотеки php.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

57. Сообщение от Чувак (?), 24-Фев-20, 13:50	–1 +/–
Так че ты не пойдешь не исправишь интернет, раз такой умный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #65

58. Сообщение от Чувак (?), 24-Фев-20, 13:53	+/–
Просто ты родился сильно поздно и не успел изобрести что то не похожее на кактус, но у тебя все еще есть шанс
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

59. Сообщение от Чувак (?), 24-Фев-20, 13:55	+1 +/–
Кто обзывается тот так и называется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

60. Сообщение от Аноним (29), 24-Фев-20, 14:16	+/–
А что, в браузеры завезли другие кактусы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

65. Сообщение от Аноним (-), 24-Фев-20, 23:37	+/–
> Так че ты не пойдешь не исправишь интернет, раз такой умный Для этого сначала терминаторов надо заимплементить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #68

66. Сообщение от Аноним (66), 25-Фев-20, 04:24	+/–
Мы такое видели, что нас уже ничем не смутить. Чем тебе Цензус не нравится? Радуйся что не анус.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #69

67. Сообщение от Аноним (67), 25-Фев-20, 10:26	+/–
Где вы там пингвинов увидели? Всё обезьянья вебня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

68. Сообщение от Чувак (?), 25-Фев-20, 14:54	–1 +/–
Так пойди заимплементи, или только комменты писать умеешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

69. Сообщение от InuYasha (?), 25-Фев-20, 16:05	+/–
ну, анус хоть как-то но хотя бы пропускает :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

70. Сообщение от Аноним (70), 28-Фев-20, 14:09	+/–
В баге про лицензию спрятана ссылка на статью, в которой говориться, что isinstance не работает, если массив получен из iframe.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

71. Сообщение от Анонимус2 (?), 04-Мрт-20, 20:31	+/–
> А можно поподробнее? logback-gelf-ом удобно в грейлог записывать. Достаточно открыть их джиру и посчитать количество багов. Или посмотреть коммиты в репозиторий и релизы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

72. Сообщение от Анонимус2 (?), 04-Мрт-20, 20:31	+/–
> Ого, а чё щас модно использовать? Log4j2 имеет паритет по фичам с logback но при этом поддерживается
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема