| 1.2, Аноним (2), 22:08, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?
| | |
| |
| |
| 3.94, Аноним (94), 15:23, 26/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Раст же безопасный язык, разве на нём можно написать небезопасный код?
| | |
| |
| 4.109, Аноним (109), 18:48, 26/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Безопасная вредоносная вставка. Это про ржавые пакеты из топика, а не про ржавый язык. Хотя.. Погодите-ка!..
| | |
| |
| 5.152, Дурка (?), 09:36, 28/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Добрый вечер, а все эти личности, с которыми вы сейчас общаетесь они здесь вместе с нами в одной комнате?
| | |
|
|
|
|
| 1.3, Аноним (3), 22:11, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– |
Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
| | |
| |
| 2.5, Аноним (5), 22:17, 25/09/2025 [^] [^^] [^^^] [ответить]
| +8 +/– |
 > Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил
> пакет на вредоносный"? Вот где люди реально проверяют.
Почему "не было"?
https://www.opennet.dev/opennews/art.shtml?num=63677
> Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
> 04.08.2025 22:08
причем, не "перепутал", а включил осознанно.
> Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию.
.
| | |
| |
| |
| 4.16, Аноним (5), 23:20, 25/09/2025 [^] [^^] [^^^] [ответить]
| +6 +/– |
>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn.
> Твой пример под описанную ситуацию совсем не подходит.
Ну да, аутотренинг еще никто не отменял ...
| | |
| 4.143, Аноним (143), 14:46, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Разумеется, не подходит - тут бекдорщик сам сопровождающий. Не нравится - сам сопровождай.
| | |
|
|
| 2.9, Аноним (9), 22:38, 25/09/2025 [^] [^^] [^^^] [ответить] | +3 +/– | Нет, не проверяют, и были случаи малвари в дебиане Конечно же, courated репозит... большой текст свёрнут, показать | | |
| |
| 3.11, Аноним (3), 22:49, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Нет, не проверяют, и были случаи малвари в дебиане.
Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню.
А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
| | |
| |
| 4.25, Аноним (25), 23:59, 25/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают.
> А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
| | |
| |
| 5.72, Аноним (72), 12:30, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
Явно видно, что вы не понимаете о чем речь.
А она о том что почти все пакеты дебиан имеют повторяемую сборку. Когда из пакета исходников собирается пакет ПОБАЙТОВО совподающий с тем, что на сервере.
| | |
|
| 4.30, Аноним (3), 00:36, 26/09/2025 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git.
Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.
| | |
| |
| 5.146, Аноним (3), 15:11, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
А иногда зависимости не коммитами, а тегами фиксируют. В некоторых дистрибутивах вообще не фиксируют зависимости и целиком полагаются на make автора программы. Такое вне debian-based и rhel-based наблюдается повсеместно. Что там качается при сброрке из интернета им по барабану.
| | |
|
|
| 3.134, Bottle (?), 10:05, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Там самое смешное, что если код открытый и его можно прочитать, это не гарантирует тобой его понимания.
Поэтому благая идея опенсорса разбивается о невозможность знать всё.
| | |
|
| 2.10, Аноним (9), 22:43, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> и тд – свалка непроверенных библиотек
И потом, к чему этот негатив если альтернатив нет в принципе никаких?
| | |
| |
| 3.12, Аноним (3), 22:50, 25/09/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.
| | |
| |
| 4.29, Аноним (25), 00:06, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.
| | |
| |
| 5.32, Аноним (3), 00:38, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> В каком месте это альтернатива
Пакетов больше, чем в aur.
> и в каком месте это менее помойка?
А я разве говорил обратное?
| | |
|
|
| 3.17, Аноним (17), 23:20, 25/09/2025 [^] [^^] [^^^] [ответить]
| +19 +/– |
NPM - да, помойка!
Aur - да, свалка!
Pypi - да, ещё одна помойка!
Rust-репозиторий - к чему этот негатив?
| | |
| |
| 4.26, Аноним (25), 00:02, 26/09/2025 [^] [^^] [^^^] [ответить]
| –4 +/– |
Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.
| | |
| |
| 5.46, Аноним (46), 07:32, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Дай лучше ссылку, где ты о других репозиториях писал "к чему этот негатив?".
| | |
|
|
|
| 2.22, Аноним (21), 23:41, 25/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность
| | |
| |
| 3.31, Аноним (3), 00:37, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Каждые полгода такие новости появляются.
Назовите, пожалуйста, две за прошедший год?
| | |
| |
| 4.52, Прохожий (??), 07:51, 26/09/2025 [^] [^^] [^^^] [ответить] | +/– | Оно 1 В апреле 2025 года исследователи из ReversingLabs обнаружили две вредоно... большой текст свёрнут, показать | | |
| |
| 5.64, Аноним (64), 10:57, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
И при чём здесь debian? Речь шла про его репозитории. Про pypi и схожие и так всё понятно.
| | |
| |
| |
| 7.120, Аноним (3), 22:16, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Я выше просил два случая. А теперь вы откупаетесь одним случаем, который заметили сразу же, а не спустя месяцы.
| | |
|
|
|
|
|
| 2.59, Соль земли2 (?), 09:58, 26/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Надо вводить ветки crate.io Stable, Testing, Experimental. То же самое для PyPI и NPM.
| | |
| 2.61, Аноним (61), 10:47, 26/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Так все эти crates, pypi и тд – свалка непроверенных библиотек.
> дебиана
> Вот где люди реально проверяют
И что, сильно там в твоем дебиане напрверяли бэкдор в xz?
> Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1 [...] которые успели попасть в состав [...] Debian sid/unstable
https://www.opennet.dev/opennews/art.shtml?num=60877
Ой, что-то плохо проверяли, получается. 😭
| | |
| |
| 3.65, Аноним (64), 10:58, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Вы в упор не видите о чём я? Перечитайте новость, подумайте ещё раз. А про бекдор в xz в курсе и без вас был.
| | |
| |
| 4.71, Аноним (61), 12:20, 26/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Вы в упор не видите о чём я?
Вижу конечно: о "свалке непроверенных библиотек" и "в репе Дебиана проверяют". А теперь еще вижу и танцы "вы меня не так поняли 😭".
| | |
|
| 3.73, Аноним (72), 12:34, 26/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Вам расшифровать что такое Debian sid/unstable?
Сюда вываливают для проверок. Проверили. Отловили проблему. В Debian это не попало. Кто еще так делает?
| | |
| |
| 4.78, Аноним (61), 12:55, 26/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Проверили. Отловили проблему. В Debian это не попало. Кто еще так делает?
Не сочиняй. В Дебиане ничего не проверили и не отловили. Проблему выловил сотрудник Microsoft, который заметил странную нагрузку на CPU во время бенчмарков.
| | |
| |
| 5.79, Аноним (72), 13:11, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Не сочиняй. В Дебиане ничего не проверили и не отловили. Проблему выловил сотрудник Microsoft, который заметил странную нагрузку на CPU во время бенчмарков.
Ну и? В Debian попало?
| | |
| |
| 6.83, Аноним (-), 13:19, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Ты совсем тугой?
> Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1 [...] которые успели попасть в состав [...] Debian sid/unstable
Что не ясно в словах "успели попасть в состав ... Debian sid" ?
Или Сид уже не Дебиан))?
| | |
| |
| 7.84, Аноним (72), 13:25, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Бино! До тебя долго доходит.
Сид - это сид. Он и нужен для выявления проблем.
| | |
| |
| 8.85, Аноним (61), 14:06, 26/09/2025 [^] [^^] [^^^] [ответить] | +/– | Но проблему не выявили в Дебиане Более того, бэкдор запрсто оказался бы в stabl... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.77, Аноним (77), 12:40, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Началось. Это скайнет создал Раст, чтобы загрузить туда вредоносные пакеты, чтобы поработить человечество.
| | |
| 2.91, OpenEcho (?), 14:28, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Зачем мелочиться на пакеты, вредить/бэкдорить, - так корневом уровне :) Если забыли, то это про константный сид в генераторе случайности, который присутсвовал ну не простительно долго
| | |
| 2.104, Arlezoner (?), 17:32, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Патаму , что нормальные языки программирования
1) Имеют международный стандарт.
2) Имеют несколько реализаций от различных организаций
3) Стандартную библиотеку пишут, либо разработчики транслятора, либо её нет вовсе
У Rust c первыми двумя пунктами пока все кисло, а по третьему стандартный сборочный инструментарий - скачивает из интернета вышеупомянутую малварь и надо прикладывать непрерывные усилия , чтобы от неё отвязаться, чтобы вот это все дерево зависимостей непрерывно проверять.
| | |
| |
| 3.113, Аноним (-), 19:03, 26/09/2025 [^] [^^] [^^^] [ответить] | +1 +/– | Это какие Зачем Разработчики копиляторов им просто подотрутся и или реализуют... большой текст свёрнут, показать | | |
| |
| 4.117, Аноним (116), 20:44, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> Патаму , что нормальные языки программирования
> Это какие?)
Очевидный Common Lisp, который тот аноним даже на картинках не видел.
| | |
| 4.121, Arleziker (?), 23:11, 26/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Чтобы потом один и тот же код по разному работал в зависимости от вендора компилятора, версии, фазы луны?
> вендора компилятора - вы писали программу вне соответствии стандарта языка и вы должны быть наказанны.
> версии - разработчики компиллятора выкатили незрелый продукт и все должны быть наказанны.
> фазы луны
- значит вы где-то не инициализировал память. И должны быть наказанны. Но в rust такое ведь никогда не бывает , не так-ли ??
PS
Держу пари, что если появится компиллятор rust от другого вендора вылезет столько ошибок и в логике программ, и в реализации самого rust, что лучше бы ему не появлятся ,бгг
| | |
| |
| 5.124, Прохожий (??), 00:49, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Держу пари, что если появится компиллятор rust от другого вендора вылезет столько ошибок и в логике программ, и в реализации самого rust, что лучше бы ему не появлятся
Вы его уже проиграли. Опыт фирм-разработчиков ПО с всемирной известностью доказал на практике (а не пустопорожней болтовней), что ошибок в ПО после перехода с Плюсов, Сей на Раст становится гораздо меньше.
| | |
| |
| 6.129, Аноним (129), 01:51, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Вы его уже проиграли. Опыт фирм-разработчиков ПО с всемирной известностью доказал на практике (а не пустопорожней болтовней), что ошибок в ПО после перехода с Плюсов, Сей на Раст становится гораздо меньше.
Вот только это бабушка надвое сказала.
Отчеты о пользе внедрения пишут люди которые сделали карьеру на внедрении. То есть заинтересованные. Причем с оговорками, типа, что понятно, что не все задачи подходят для решения на rust.
Что говорит о части проваленных проектах.
| | |
| |
| 7.140, Прохожий (??), 12:50, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Вот только это бабушка надвое сказала.
Какая ещё бабушка? Что за бред? Есть целый технический директор Microsoft, который это говорит. От его решений напрямую зависит прибыль компании. Примет плохое решение - эффект может оказаться катастрофическим, в том числе для него самого.
Далее. В Гугл, Майкрософт, Клаудфлэр, Дискорде, Дропбокс, судя по вашим словам, сидят одни "бабушки"? Софтом этих фирм пользуются миллиарды людей планеты. Миллиарды!
>Причем с оговорками, типа, что понятно, что не все задачи подходят для решения на rust.
Ссылки будут на такие оговорки, или как обычно?
| | |
| |
| 8.155, Аноним (129), 23:34, 28/09/2025 [^] [^^] [^^^] [ответить] | +/– | Ну ты понял, надеюсь, да Именно Он уже должность занял благодаря внедрению Ес... большой текст свёрнут, показать | | |
|
|
| 6.135, Arleziker (?), 11:24, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Мне вспомнилось, как в одном местном НИИ пытались оптимизировать модель.Ну и в ходе экспериментов перешли с intel овского компиллятора на absoft. Результаты обсчета драматическим образом отличались. Расследование показало, что флаг компиллятора, который указывает подавлять оптимизации ведущие к возможным ошибкам округления, перекрывается другими флагами указывающими оптимизировать агрессивно. В общем, все что они считали последние 6 лет , - они считали неправильно.
Был бы у фортрана один компиллятор как у rust - люди бы травмы не получили, психические . Слава Rust !!
| | |
| |
| 7.141, Прохожий (??), 12:59, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Работоспособность текущего компилятора Rust уже доказана во многих областях его применения. Да, баги тоже находятся. Здесь часто любят приводить один такой в качестве доказательства бага в архитектуре языка, тогда как это всего лишь баг компилятора. Но, как показывает практика внедрения, от этого никто ещё не получил никакой психологической травмы.
По моим наблюдениям такие травмы получают только луддиты, которым или лень, или они просто не могут освоить ещё один язык программирования в силу слабых когнитивных способностей.
| | |
|
|
|
|
| 3.147, Аноним (3), 15:15, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
В третий пункт надо добавить, что по желанию левой пятки могут в стандартную библиотеку перевести в ряд stable функции, а потом передумать и вернуть в unstable. Меняют синтаксис на ходу. Любители раста отвечают на это что рефакторить это каждый раз – благодать, это нормально.
| | |
| 3.153, Аноним (153), 15:03, 28/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Я бы ещё сказал, что системному ЯП не нужна скачивалка зависимостей, но та, что у го, вполне может сгодиться, пока не начнут подменять данные.
Получается, программисты на го всё-таки умнее, они знают, что можно просто пульнуть пакет из гита.
| | |
|
| 2.108, Анонисссм (?), 18:39, 26/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>ментейнер дебиана перепутал и заменил пакет на вредоносный
"ментейнер дебиана перепутал" и свёл до околонуля энтропию в openssl.
но ты тогда ещё в школу ходил, поэтому считай не было )
| | |
| |
| 3.122, Arleziker (?), 23:13, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Энтропию он свел Ради Безопасной Работы С Памятью !(с)
Опередил свое время, так сказать ...
| | |
|
| 2.110, Аноним (110), 18:49, 26/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"?
Конечно репозитории дебиана безопасны, ведь в них почти ничего нет.
| | |
| |
| 3.148, Аноним (3), 15:17, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Потому что современный софт пишут всякие любители модных пакетников и сборочек с подтягиванием из интернета, без возможности собрать разделяемые библиотеки.
Любителям смузи невдомёк что такое побайтные повторяемые сборки и как обеспечиваются обновления безопасности.
| | |
|
|
| 1.4, Аноним (9), 22:12, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.
| | |
| |
| |
| 3.19, нах. (?), 23:33, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
присоединяюсь. Уж у этих-то точно будет БЕЗОПАСТНО!
(тем более их пользуемые от них уж точно никуда не денутся, если тебя нет в crates, тебя вообще нет. Жабаскриптерам-то не привыкать тянуть в рот всякую пакость прямо с шитхаба и шитляпа.)
| | |
| |
| 4.62, Аноним (61), 10:49, 26/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
> 12yoexpert
> нах
> присоединяюсь
Традиционно, перепись экспертов, не пишущих на Расте - но очень обеспокоеных всем, что с ним связано.
| | |
| |
| 5.74, Аноним (72), 12:37, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Традиционно, перепись экспертов, не пишущих на Расте - но очень обеспокоеных всем, что с ним связано.
Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
Некто обнаружил что если наступить, то пахнет плохо.
И теперь они говорят, ну мы же вам говорили, что это очень плохо пахнущее...
| | |
| |
| 6.81, Аноним (-), 13:16, 26/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
Типа ХЗ библиотеки?
Если бы не мелкомягкие, то тысячи глаз так бы и видели фигу.
ps я уже молчу что на сайте кернела 2 года (ДЖВА года, Карл!) был бекдор.
| | |
| |
| 7.82, Аноним (72), 13:19, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Типа ХЗ библиотеки?
Типа использования зависимостей не из системы, а с непойми чего.
Нет ни одной помойки, где это бы не приводило к проблемам. И разработчики rust внедряют архитектуры разработки построенную на помойке.
| | |
|
| 6.99, нах. (?), 16:20, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
> Некто обнаружил что если наступить, то пахнет плохо.
а мы теперь - просто ржем. "Чуть не вляпался", ага-ага.
| | |
| |
| 7.100, Аноним (100), 16:30, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> а мы теперь - просто ржем.
Ну так это единственное что вы можете)
> "Чуть не вляпался", ага-ага.
Ага, сидя по уши в том самом "не вляпался", получая ХЗ библиотеки из такой репо-помойки)
| | |
|
|
|
|
|
| 2.27, Аноним (21), 00:02, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда
| | |
| 2.95, Аноним (94), 15:27, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Надеюсь хоть эти-то не будут вводить ересь
Они раст придумали...
| | |
|
| 1.23, Аноним (18), 23:52, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Для минимизации рисков в Rust рекомендуется:
◇ Использовать только известные и проверенные крейты.
◇ Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit.
◇ Фиксировать версии в Cargo.lock и избегать автоматических обновлений без ревью.
| | |
| |
| 2.36, Аноним (3), 02:26, 26/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Что будете делать, если популярный crate использует такую зависимость?
| | |
| |
| 3.47, Прохожий (??), 07:37, 26/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вам же написали: "Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit
| | |
| |
| |
| 5.125, Прохожий (??), 00:54, 27/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Если проверять тщательно - спасёт. Но справедливости ради - это не так уж просто в мире современного ПО.
| | |
|
|
|
|
| |
| 2.39, Аноним (-), 04:31, 26/09/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
XZ-бэкдор раздавался как раз в тарболе, в самом репозитории всё было чисто.
| | |
| |
| 3.97, Аноним (97), 15:54, 26/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Но тарбол на сайте самого xz был чист. Github - очередной репозиторий.
| | |
|
|
| 1.40, 0xdeadbee (-), 05:06, 26/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> faster_log вместо fast_log
а чего мелочиться. "superfastest_log" и все дела.
практически "ускоритель Интернета", ньюфаги не знают, олдфаги не помнят.
| | |
| |
| |
| 3.133, 0xdeadbee (-), 06:41, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Забыл как эмпэтришки через флешгет качал?
не занимался этой фигней никогда. для винды у меня был teleport копировал
статический сайт целиком. для OS/2 и винды - порты wget.
для FreeBSD - тот же wget и скрипт mirror.pl для перла 4 и перла 5,
кстати должен работать до сих пор (завидуйте молча петухонщики).
| | |
|
|
| 1.45, Аноним (45), 06:22, 26/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Две проблемы у проекта:
1. Уязвимость архитектуры (взято худшее от аналогов).
2. Проблемы с оплатой инфраструктуры - обсуждается введение оплаты.
Выводы каждый может сделать сам - нужно ли вкладывать ресурсы.
| | |
| |
| 2.49, Прохожий (??), 07:42, 26/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
1. Не могли бы вы более детально раскрыть своё утверждение по поводу плохой архитектуры? Заодно приведите, пожалуйста, пример хорошей.
2. Ссылку можете дать на обсуждение (если оно, конечно, не приснилось вам)?
| | |
| |
| 3.55, Аноним (45), 08:13, 26/09/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
1. Все, использующие не контролируемые разработчиком репозитории для сборки проектов.
2. Модератор удалил ссылку на securitylab. Google Вам в помощь.
| | |
| |
| 4.126, Прохожий (??), 01:00, 27/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
1. Это к архитектуре имеет опосредованное отношение. Вас никто не заставляет пользоваться публичными репозитариями, вполне можете создать свой собственный, находящийся только под вашим неусыпным контролем.
Всё-таки, приведите пример хорошей архитектуры. Или вам просто нечего сказать?
2. Я не собираюсь искать вместо вас аргументы, подтверждающие вашу точку зрения. Потому что трудно найти чёрную кошку в тёмной комнате, особенно, когда её там нет.
| | |
| |
| 5.130, Аноним (129), 01:53, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Это к архитектуре имеет опосредованное отношение. Вас никто не заставляет пользоваться публичными репозитариями, вполне можете создать свой собственный, находящийся только под вашим неусыпным контролем.
Возможность не является путем по-умолчанию. То есть в культуру разработки внедрили использование помоек.
| | |
| |
| 6.136, Прохожий (??), 12:24, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Культура разработки - это не сферический конь в вакууме. Поэтому я не стал бы обобщать подобным образом, проецируя ваши представления о реальности на всех программистов.
Далее. Я не вижу большой разницы между каким-то сайтом, который распространяет вредоносный код, и централизованным хранилищем. Не буду настаивать, что разницы нет. Она есть. Но не принципиальная. Зато удобства от возможности сэкономить время на сборке проекта из централизованного хранилища просто огромные.
| | |
| |
| 7.156, Аноним (129), 23:38, 28/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Я не вижу большой разницы
Очевидно когда вы это произносите - то все понимаете, но не хотите принимать во внимание.
Реакция фанатика - на противоречащие убеждению факты.
| | |
|
|
|
|
|
|
| 1.51, Аноним (51), 07:48, 26/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вот потому все тулзы с репозиториями идут лесом. В Hyperbola не зря их запретили на корню.
| | |
| |
| 2.53, Прохожий (??), 07:54, 26/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вам никто не запрещает использовать исключительно локальные репозитарии, закрыв доступ к публичным.
| | |
| |
| 3.60, Аноним (45), 10:21, 26/09/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Даже если сделать так, после развертывания вредоносы прилетят с обновлениями. Вам уже три человека выше помимо самой новости доказали ущербность такой архитектуры, а Вы всё упорствуете, как будто вложились в сабж. Видимо, так и есть.
| | |
| |
| 4.70, Аноним (70), 12:15, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Само ничего никуда не летает. Не хочешь обновляться - не обновляйся. Автоматическое скачивание зависимостей - для тех, кто хочет обновляться, но не хочет руками каждый пакет качать.
| | |
| |
| 5.76, Аноним (72), 12:39, 26/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Автоматическое скачивание зависимостей - для тех, кто хочет обновляться, но не хочет руками каждый пакет качать.
Архитектура задает культуру разработки. И тут она никакая.
| | |
| |
| 6.128, Прохожий (??), 01:06, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Тут у вас есть выбор. Никакая архитектура - когда выбора нет и приходится самому рыться по куче сайтов, чтобы собрать что-то путное.
| | |
| |
| 7.131, Аноним (129), 01:57, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Тут у вас есть выбор. Никакая архитектура - когда выбора нет и приходится самому рыться по куче сайтов, чтобы собрать что-то путное.
А тут ложный выбор.
Его нет. Ты или пользуешься так же как и все или совсем не пользуешься.
И суть тут не в локальном репозитарии, а в том, что не используются репозитарии дистрибутивов linux.
| | |
| |
| |
| 9.157, Аноним (129), 23:44, 28/09/2025 [^] [^^] [^^^] [ответить] | +/– | В самом прямом Когда, практически все, пользуются - ты или все пишешь с нуля ил... большой текст свёрнут, показать | | |
|
|
|
|
|
| 4.127, Прохожий (??), 01:05, 27/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Вам уже три человека выше помимо самой новости доказали ущербность такой архитектуры
Не заметил ни одного доказательства. Ещё раз. Вас никто не заставляет пользоваться публичными источниками. Хотите полный контроль над кодом - создаёте свой репозитарий и вливаете туда код руками после тщательной проверки.
| | |
| |
| 5.158, Аноним (129), 23:46, 28/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Хотите полный контроль над кодом - создаёте свой репозитарий и вливаете туда код руками после тщательной проверки.
Какой свой? Зачем его создавать. Для дистрибутивов уже все есть. Зачем строить свои велосипеды нацеленные на один конкретный язык - а не на все?
| | |
|
|
|
|
| |
| |
| 3.142, Аноним (142), 14:17, 27/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Было придумано как демонстрация того что можно сделать центральное хранилище, а не то что можно доверять каждому встречному поперчному... Паспорт проверить сначала надо, а потом уже и скачивать егоный модуль. А то иш ты повадились на халяву деньги получать...
| | |
|
|
| 1.96, Аноним (96), 15:36, 26/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А чего там за код? Еще код посмотреть можно?
А то вирусы и прочее тоже надо посмотреть как писать на Rust.
Интеерсно же...
| | |
| 1.154, Аноним (153), 15:07, 28/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Пора писать альтернативную систему пакетов для особо одарённых языков. Чтобы хотя бы с указанием полного пути к репо.
Особо одарённых много, работы от забора и до обеда.
| | |
|
