forum.opennet.ru

"Незащищённость NPM к атакам по внедрению вредоносных модулей..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Незащищённость NPM к атакам по внедрению вредоносных модулей..."	+/–
Сообщение от Очередной аноним (?), 29-Мрт-16, 08:48
Не знаю как в "голой" яве (раньше часто в саму jar-ку приложения сразу библиотеки нужных версий всовывали), а вот в Weblogic'е (наверное и в других серверах приложений тоже) есть старое банальное понятие "разделяемой библиотеки" (shared library). Такая библиотека имеет номер версии. А в приложениях (в дескрипторе развертывания), которые потом деплоятся на сервер приложений и используют эту библиотеку, ты указываешь номер требуемой версии, причем можешь указать "строго этот номер версии" или "начиная с этого номера и выше". На сервере приложений крутится несколько нужных версий одной и той же shared library. При деплое приложения сервер подсовывает нужную версию в зависимости от того что указано в дескрипторе развертывания этого приложения (ну или ошибку, если нет нужной версии)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Незащищённость NPM к атакам по внедрению вредоносных модулей..., opennews, 26-Мрт-16, 11:25 [смотреть все]

коммитим репо - обновляемся - проверяем что пришло, Аноним, 26-Мрт-16, 11:25 (1) //
- Тут все проще Дистрибутив жидко обкакался И пытается все свалить на разработ, rshadow, 26-Мрт-16, 18:00 (21) //
  - Какой дистрибутив Вернее дистрибутив чего , Аноним, 27-Мрт-16, 19:40 (40)
Все правильно, проекту пора взрослеть , Аноним, 26-Мрт-16, 12:23 (4) //
- Что уж там , проекту пора умирать , Аноним, 26-Мрт-16, 12:58 (6) //
  - нпму в текущем виде действительно надо умереть как можно скорее, иначе ничего но, Аноним, 26-Мрт-16, 16:33 (16)
- На яваскрипте сложно писать большие проекты, поэтому вместо взрослоты - хипстота, Аноним, 27-Мрт-16, 14:06 (36)
Только JS макаки могли додуматься до такого , Аноним, 26-Мрт-16, 13:40 (7) //
- У них там CouchDB без привилегий, можно заливать все что угодно и любых размеров, Аноним, 26-Мрт-16, 13:48 (8)
- если бы не жил в пещере, знал бы что это, на данный момент, распространенная пра, конь, 26-Мрт-16, 13:49 (9) //
  - Ну не знаю, у нас в Java мире везде надо версии указывать Без них не работает , Аноним, 26-Мрт-16, 14:23 (10) //
    - мда в Java где всё идет через коммерческий mavencentral и где тебе с непонятн, _, 26-Мрт-16, 14:49 (13)
      - Чем это отличается от сабжа , mine, 26-Мрт-16, 17:35 (20)
        
        Я сильно не знаком с NPM, хоть и пользовался им, но непонятна ситуация с владель, _, 26-Мрт-16, 19:27 (22)
        
        Чем это отличается от сабжа 2 Запрещены - и ладно, в NPM подобных запретов нет, Аноним, 27-Мрт-16, 01:59 (30)
        но мнение имею Молодец, настоящий адепт cargo-культа Садись, пять , Аноним, 27-Мрт-16, 14:07 (37)
        Т е владельцам NPM ты не доверяешь, а владельцам Гитхаба -- всем сердцем и душо, anonimous, 28-Мрт-16, 12:15 (45)
        Как и с любым другим онлайн-сервисом Хочешь надежности -- проверяй и держи на с, anonimous, 28-Мрт-16, 12:31 (47)
    - Любопытно, как при таком подходе решается ситуация конфликта версий Вот некая п, angra, 27-Мрт-16, 03:10 (31)
      - Не знаю как в голой яве раньше часто в саму jar-ку приложения сразу библиотек , Очередной аноним, 29-Мрт-16, 08:48 (48)
    - это одна из причин по которой жабасофт считается и является убогим говном , Клыкастый, 31-Мрт-16, 14:54 (50)
- Развитие QA, DevOps, и т д и переход из в JS-разработчики делают своё дело, Аноним, 26-Мрт-16, 14:42 (11)
- О да, прибивать гвоздями к минорной версии - лучше, конечно , Crazy Alex, 26-Мрт-16, 15:57 (14) //
  - Зачем же бросаться в крайности О ранжировании не слышали , Wladmis, 26-Мрт-16, 21:52 (24) //
    - Я просто этот Java мир видел вблизи - там обычно именно миноры гвоздями и прибив, Crazy Alex, 27-Мрт-16, 00:23 (29)
О, ну неужели они всё-таки это заметили , Аноним, 26-Мрт-16, 14:49 (12)
Ну вот обязательно надо было собрать все мыслимые грабли На чужом примере учить, Crazy Alex, 26-Мрт-16, 15:58 (15) //
- И ряд немыслимых типа https www youtube com watch v 1TioQx2jVN0 Это удел му, Michael Shigorin, 27-Мрт-16, 17:27 (39)
Кто то говорил, что на js меньше ошибок на кол-во кода Как может быть меньше тог, Аноним, 26-Мрт-16, 16:41 (19) //
- Выгнали с работы в кризис и отдали набивание иксымелей для жабы индусу-аутсорсер, Аноним, 26-Мрт-16, 22:25 (27)
народ, хорош шлак изливать все такие маркетологи, а кто код писать будет ну хо, kleem_head, 26-Мрт-16, 21:57 (25) //
- проще некуда запилить новый нпм с ссл, гитом, подписями и без шавок у руля , Аноним, 26-Мрт-16, 23:03 (28) //
  - При чем тут SSL Кто будет проверять соответсвие подписи и личности автора , Аноним, 27-Мрт-16, 03:33 (32) //
    - Храните свои подписи в блокчейне и будет вам счастье , Наме, 27-Мрт-16, 10:04 (34)
      - Счастья будет много В биткоине более 30Гб уже , Аноним, 27-Мрт-16, 14:23 (38)
    - Поинтересуйтесь, как этот вопрос решается в различных дистрибутивах Linux Напри, agent_007, 28-Мрт-16, 12:23 (46)
  - на питоне , Аноним, 28-Мрт-16, 10:38 (44) //
    - Который не тормозит еще больше чем js , Аноним, 30-Мрт-16, 09:41 (49)
пора на http jspm io сваливать, Вася, 26-Мрт-16, 22:21 (26) //
- а там копирастический червь скачается , Аноним, 28-Мрт-16, 08:16 (43)
Как они умудрились до сих пор это не включить Я не представляю, как можно вообщ, BlackRaven86, 27-Мрт-16, 13:11 (35) //
- Легко и просто захерачиваешь node_modules в свн гит и никаких тебе ужасов с npm, Anonimous, 27-Мрт-16, 22:01 (41) //
  - независишь от интернета авторов, выпиливающих свои модули политиков, блокирующ, Anonimous, 27-Мрт-16, 22:05 (42)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру