The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск пакетного менеджера NPM 7.3

21.12.2020 10:02

Опубликован выпуск пакетного менеджера NPM 7.3, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.3, не дожидаясь новой версии Node.js, можно выполнить команду "npm i -g npm@7".

В NPM 7.3 добавлена возможность установки или извлечения разом нескольких параметров конфигурации через команду "npm config". Например, теперь можно использовать команды подобные "npm config get foo bar baz" и "npm config set email=me@example.com _auth=xxxx". Кроме того, в команде "npm rebuild" реализована поддержка указания файловых путей в качестве аргумента в командной строке (например, "npm rebuild ./node_modules/foo/").

Дополнительно можно отметить уязвимость (CVE-2020-26274) в npm-пакете systeminformation, насчитывающем почти 800 тысяч еженедельных загрузок. Проблема устранена в выпуске 4.31.1. Уязвимость была вызвана неполной проверкой строки в функции sanitizeShellString(), применяемой при запуске shell-команд. Проблема позволяла осуществить подстановку своих команд в командную строку при выполнении операции inetLatency через подстановку символов "``" в в имени хоста, который передавался без должного экранирования в качестве аргумента при запуске утилиты "ping".

  1. Главная ссылка к новости (https://blog.npmjs.org/post/63...)
  2. OpenNews: Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные пакеты в репозитории NPM
  3. OpenNews: В репозитории NPM выявлен вредоносный пакет discord.dll
  4. OpenNews: В репозитории NPM выявлен вредоносный пакет twilio-npm
  5. OpenNews: Из репозитория NPM удалены четыре пакета с бэкдорами
  6. OpenNews: Доступен пакетный менеджер NPM 7.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54293-npm
Ключевые слова: npm
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Булкин (?), 10:05, 21/12/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –4 +/
     

  • 1.2, Аноним (3), 10:05, 21/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Нужно больше лефтпадов.
     
     
  • 2.10, Аноним (10), 10:45, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так-то убунта на десктопах всего лишь в 2-2.5 раза уступает макоси
     

  • 1.7, Dzen Python (ok), 10:32, 21/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Свежих вирусов в пакеты с релизом уже подвезли?
     
     
  • 2.14, Анон332 (?), 11:33, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Благо, в пакетных менеджерах Ruby, .NET, Python и д.р. такого нету.
     
     
  • 3.16, Аноним (16), 11:48, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У меня сарказмометр зашкалило, за что ты так с оналитиками из комментариев так.
     
  • 3.43, анонимуслинус (?), 00:35, 23/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    есть и достаточно часто, но вот npm что то славится очень уж часто. даже в питон давно уже подвозили. а вот сюда аж зашкаливает и самое смешное никак не могут наладить проверку. могли бы создать уже приличный анализатор.
     
     
  • 4.47, Аноним (47), 19:37, 25/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Проверяйте все пакеты антивирусом nod или какой у вас там сейчас в моде
     

  • 1.8, Аноним (16), 10:39, 21/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А смысл писать про минорные релизы
     
  • 1.9, Аноним (9), 10:42, 21/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Как уже в прошлой новости сказали, заголовок должен быть

    >Выпуск менеджера вредрносных пакетов NPM 7.3

     
     
  • 2.11, Q2W (?), 10:55, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А есть у какого-то языка репозиторий с какой-то защитой от того беспредела, что творится в npm?
    А то в других языках этих троянов нет лишь потому, что они не популярны.
    Например, на cpan, оф.репозитории перла, троян залить не проблема, как показала недавняя практика.
     
     
  • 3.12, Аноним (9), 11:01, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так и там тоже менеджеры вредоносных пакетов :)
     
  • 3.15, 1 (??), 11:46, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Проблема не в самом NPM, а в идеологии наполнения.
    Однострочники тянут за собой однострочники, тысячи их !
    Люди(?) разучились искать в массиве по индексу, подключая очередное поделие ...
    А NPM просто собирает это всё в единую навозную кучу.
     
     
  • 4.18, Конец (?), 12:06, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вот что вы сразу. Как будто каждая домохозяйка должна знать как поднимать линукс. Программирование ушло в массы - а массы в массе своей менее грамотные чем элита программирования.
     
     
  • 5.23, Аноним (23), 14:11, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а вы элита программирования?
     
     
  • 6.29, Аноним (29), 19:42, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вы видимо массы ?
     
  • 4.22, Аноним (23), 14:10, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Люди разучились использовать indexOf?
    какой ужас
    что же они тогда исполуют?
     
     
  • 5.25, Аноним (25), 14:59, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Они используют lastIndexOf и contains.
     
     
  • 6.26, Аноним (16), 16:35, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    indexOf и contains ищут по-разному, учи матчасть
     
     
  • 7.28, Аноним (-), 17:46, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сам учи мат.часть в части отрицательных параметров.
     
     
  • 8.44, Аноним (16), 10:49, 24/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    NaN lastIndexOf NaN -1 false NaN includes NaN -1 true ... текст свёрнут, показать
     
     
  • 9.46, Аноним (16), 10:51, 24/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Блин, опечатался NaN indexOf NaN -1 false NaN includes NaN true... текст свёрнут, показать
     
  • 6.33, Аноним (23), 21:35, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    может быть includes, а не contains
     
     
  • 7.45, Аноним (16), 10:50, 24/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Изначально таки contains, но из-за prototype.js пришлось переименовывать в includes
     
  • 4.40, Аноним (23), 17:18, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "Есть пакет под названием is-positive-integer, который состоит из 4 строчек и которому на вчерашний день требовалось 3 других пакета для работы. Автор с тех пор провёл рефакторинг..."
     
     
  • 5.41, Аноним (23), 17:33, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    var passAll = require('101/pass-all')
    var isPositive = require('is-positive')
    var isInteger = require('is-integer')

    module.exports = passAll(isPositive, isInteger)

     
  • 3.21, Аноним (23), 14:07, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    в maven есть небольшая защита.
    запускать скрипты во время установки нельзя, единожды положенный пакет нельзя модифицировать.
    Имена у классов и у пакетов уникальны, так как используют обратное доменне имя.

    Но вообще защититься от вредоносного кода в репозитории невозможно

     

  • 1.13, Аноним (13), 11:02, 21/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    NaPoMoiku :)
     
  • 1.17, Анон Анонов (?), 11:57, 21/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Этот systeminformation просто образец говнокода. Пару лет назад пытался туда контрибьютить, и был в шоке от кода.
     
     
  • 2.20, Конец (?), 12:24, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А может по существу, потому что попахивает "я так вижу".
     

  • 1.19, Anonymus (?), 12:22, 21/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Фрактал, тут дыры завезли!

    А, чёрт, это ж не C, это другое...

     
     
  • 2.27, Аноним (16), 16:36, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В соседней новости оказалось, что плюсы дырявей JS в несколько раз. К комментах полыхает так, что отсюда видно.
     
     
  • 3.31, Аноним (31), 19:47, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Бабка в синих кедах сказала а ты и поверил.
     

  • 1.24, Аноним (25), 14:57, 21/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Никто не замечал, что chromuim течёт если открыть несколько вкладок с youtube? У меня версия 87.0.4280.88 выжирает 32 гига и дальше машина уходит в глубокий swap.
     
     
  • 2.34, Аноним (34), 22:49, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Смотри в консоли я всегда так делаю.
     

  • 1.30, Аноним (31), 19:46, 21/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Новых безопастных дыреней завезли?

    Так жу у растоманов? Вся проблема в динамической памяти, вся проблема в указателях. Вот вам рассадник дыр без всяких указателей и работы с памятью.

     
     
  • 2.32, Аноним (16), 21:32, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тем временем:

    > В разрезе языков программирования опасные проблемы найдены в 59% проанализированных приложений на языке С++, 52.6% приложений на PHP, 25% - .NET, 23.8% - Java, 9.6% - Python и 8.6% - JavaScript.

     
     
  • 3.36, Аноним (36), 22:59, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тем временем на языках написали куча кода, и конечно чем больше кода тем больше ошибок.
    Тем временем на расте нинаписали ничего и ошибок соответвенно нет.

    В остальном сходи и поучи книжки по мат. анализу, эта кривая отписка троешника первокурсника. Еле до тройки дотягивает.

     
     
  • 4.38, Аноним (16), 23:02, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С чего ты приплел раст? Ты с кем споришь, с воображаемым другом?
     
     
  • 5.39, Аноним (39), 23:46, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С тогоже с чего приведённые от балды цифры выше, приплетённые не понятно каким образом. Ты хоть бы вник в этот отчёт полностью, ознакомившись с методами анализа. Стало бы понятно отчего этому цена как словам бабульки в синих кедах.
     
  • 3.37, Аноним (36), 23:02, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты ещё пощитай количество ошибок в естественных языках и на этом какой-то вывод делай. У плохого танцора всегда так, тапочки виноваты.
     

  • 1.35, Аноним (34), 22:50, 21/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я не понял минорный релиз из-за возможности параметров несколько передать? Совсем что ле? =)
     
     
  • 2.42, Вы забыли заполнить поле Name (?), 21:06, 22/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Совсем что ле? =)

    Почитай про семвер что ле.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру