The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО"  +/
Сообщение от opennews (ok), 05-Ноя-21, 00:25 
Злоумышленникам удалось получить контроль над NPM-пакетом coa и выпустить обновления  2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3, включающие вредоносные изменения. Пакет coa, предоставляющий функции для разбора аргументов командной строки, насчитывает около 9 млн загрузок в неделю и используется в качестве зависимости у 159 других NPM-пакетов, включая react-scripts и vue/cli-service.  Администрация NPM уже удалила выпуск с вредоносными изменениями и заблокировала публикацию новых версий до возвращения доступа к репозиторию основного разработчика...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56104

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +13 +/
Сообщение от Шарп (ok), 05-Ноя-21, 00:25 
Шо, опять?
Ответить | Правка | Наверх | Cообщить модератору

6. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +10 +/
Сообщение от Анонимemail (6), 05-Ноя-21, 01:17 
Не опять, а снова!
Ответить | Правка | Наверх | Cообщить модератору

8. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +2 +/
Сообщение от tty0 (?), 05-Ноя-21, 03:14 
А зачем так часто качают?
Ответить | Правка | Наверх | Cообщить модератору

13. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +11 +/
Сообщение от ET (?), 05-Ноя-21, 06:41 
в этом вся смакушка современной разработки на жыэс и тд
Ответить | Правка | Наверх | Cообщить модератору

89. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от лютый жабби__ (?), 05-Ноя-21, 17:45 
>в этом вся смакушка современной разработки на жыэс и тд

почему только JS? на всём, что делает в CI CD "clean build"
проблема больше в дурацких дефолтах гитлаба и подобного, могли бы кешировать по умолчанию.

Ответить | Правка | Наверх | Cообщить модератору

61. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +3 +/
Сообщение от OramahMaalhur (ok), 05-Ноя-21, 12:36 
Потому что дево-псята не парятся с настройкой билдов и для них не проблема выкачать пару сот метров пакетов на каждый CI-чих.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

67. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –6 +/
Сообщение от Аноним (67), 05-Ноя-21, 13:34 
Даже макака научилась использовать кэш пакетов (одна строчка конфига).

А ты до сих пор не смог.

Ответить | Правка | Наверх | Cообщить модератору

71. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от ананоша (?), 05-Ноя-21, 14:16 
Какая? Пойду пропишу
Ответить | Правка | Наверх | Cообщить модератору

102. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Ag (ok), 06-Ноя-21, 00:45 
Стабильность - признак качества и зрелости платформы!
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

63. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –2 +/
Сообщение от Dzen Python (ok), 05-Ноя-21, 13:05 
Угу. Никогда такого не было, вот вдруг опять.

Единственное, что радует - платформа уже научилась оперативно шевелиться и откатывать вредоносов. Теперь бы им еще немного над собой подрасти над верификацией владельцев пакетов и обучить пару нейросеток на выявление подозрительных паттернов поведения и диффов...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +3 +/
Сообщение от Аноним (2), 05-Ноя-21, 00:41 
А не думали сделать наконец двухфакторную авторизацию в npm репозитории?
Ответить | Правка | Наверх | Cообщить модератору

4. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –2 +/
Сообщение от OpenEcho (?), 05-Ноя-21, 00:52 
Привет Гугл, и тебе хорошего дня !
Даешь уникальную идентификацию по IMEI
Ответить | Правка | Наверх | Cообщить модератору

51. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +2 +/
Сообщение от Аноним (51), 05-Ноя-21, 12:06 
Зачем IMEI, если есть универсальная двухфакторная аутентификация U2F?
Ответить | Правка | Наверх | Cообщить модератору

85. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от OpenEcho (?), 05-Ноя-21, 17:07 
> Зачем IMEI, если есть универсальная двухфакторная аутентификация U2F?

Ну спросите у Гугла, согласен ли он с вами...
Он готов конечно поиграться с секъюрити ключами, но сперва IMEI (ну чтоб к паспорту/номеру соц.страхования, адресу приваязаться) и самое главное - исключительно в целях заботы о нас, - " тупых и грешных"

Ответить | Правка | Наверх | Cообщить модератору

86. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (86), 05-Ноя-21, 17:21 
Не пользуюсь ничем таким у Гугла, для чего есть двухфакторная аутентификация. По-моему, я вообще Гуглом не пользуюсь.
Ответить | Правка | Наверх | Cообщить модератору

114. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Kuromi (ok), 08-Ноя-21, 01:52 
Обычно сервисы поддерживающие двухфакторку просят указать номер телефона чтобы выслать код восстановления в случае потери доступа к средству духфакторной авторизации. Не все, причем, скажем Namecheap позволяет использовать WebAuthn без номера телефона и смс.

Это в теории.

Тем не менее как человека живущего в стране где любая шарашка узнав твой номере телефона почему-то считает что получила право заваливать тебя рекламой (дикий случай - один раз в жизни пополнял баланс телефона через банкомат Газпромбанка (не клиент), ТОЧНО не давал никаких согласий ни на что - ГПБ теперь валит мне рекламу кредитов; делаешь заказ в 2 Берега через Деливери? Жди вал рекламных СМС от 2 Берега) меня тоже напрягает излишняя тяга всех кому не лень спрашивать номер телефона.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

117. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от OpenEcho (?), 08-Ноя-21, 08:55 
> Обычно сервисы поддерживающие двухфакторку просят указать номер телефона чтобы выслать
> код восстановления в случае потери доступа к средству духфакторной авторизации. Не
> все, причем, скажем Namecheap позволяет использовать WebAuthn без номера телефона и
> смс.
> Это в теории.

namecheap и так уже знает все про клиента, достаточно один раз засветить карту и все, кстатти namecheap один из немногих регистраров у которых апаратные ключи работают как должны.


> меня тоже напрягает излишняя тяга всех кому не лень спрашивать номер
> телефона.

Номер телефона - это почти 100% гарантийная идентификация личности, вот они все и лезут под трусы


Ответить | Правка | Наверх | Cообщить модератору

122. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Kuromi (ok), 08-Ноя-21, 17:57 
>> меня тоже напрягает излишняя тяга всех кому не лень спрашивать номер
>> телефона.
> Номер телефона - это почти 100% гарантийная идентификация личности, вот они все
> и лезут под трусы

Идентификация И Спам. Вот сейчас в одном магазине в котором порой отовариваюсь меняют дисконтные карты. Ну вернее как меняют, сказали пластиковые просто выкинуть, пойти на сайт, зарегистрировать там кабинет. А регистрация, ес-но, по номеру телефона и СМС только.
С учетом обещанных "удобств" как то "история покупок" и условиям на которые ты подписываешься регистрируясь сразу становится понятно что 1) Вероятно будут стучать покупки в ФНС электронными чеками (онлайн покупки уже давно стучатся, а оффлайн когда как. Вот Магнит уже стучит если карту лояльности предьявить) 2) Будут однозначно продавать БигДату с вашими данными 3) Будут спамить СМС и продавать ваши персональные данные всем кому не лень

И вот подобные кульбиты просто выводят из себя.

Ответить | Правка | Наверх | Cообщить модератору

123. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от OpenEcho (?), 08-Ноя-21, 20:05 
> И вот подобные кульбиты просто выводят из себя.

И здесь напрашивается старый как мир вопрос: "Что делать?"
Все идет к тому, что толпе все пофигу, им нечего скрывать, и всех под общий шумок загоняют в одно стойло благодаря безразличности людей.
А тренд однако все больше и больше крепчает, это уже в порядке вещей увидеть круглуе глаза на ответ - "А у меня нет телефона, но банковский экаунт хочу завести...", а тебе в ответ - "Как это нету, не мы тогда не могем, у нас "гениальные" програмисты даже не дадут в програме регистрации завести вам экаунт"

Ответить | Правка | Наверх | Cообщить модератору

5. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (5), 05-Ноя-21, 01:15 
А не пробовали какое-никакое ревью устраивать при публикации?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от Аноним (7), 05-Ноя-21, 02:16 
Ревью нужно делать не при публикации, а при использовании у себя, вы же не запускаете у себя всё подряд скаченное из интернета.
Ответить | Правка | Наверх | Cообщить модератору

9. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +5 +/
Сообщение от tty0 (?), 05-Ноя-21, 03:15 
Он пользуется npm, а значит да, запускает.
Ответить | Правка | Наверх | Cообщить модератору

33. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от Аноним (33), 05-Ноя-21, 11:04 
> запускаете у себя всё подряд скаченное из интернета

Ну как бы вся суть JavaScript в запускании левого кода из интернета. Видимо, многим яваскрипт-кодерам это так въелось в подкорку, что то же отношение они распрстраняют в т.ч. и на десктопное ПО, и на прцесс разработки в целом.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

38. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +13 +/
Сообщение от Аноним (5), 05-Ноя-21, 11:30 
Ух ты, уважаю. Впервые встречаю человека, который ядро линукса каждый раз ревьювает прежде чем обновиться.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

18. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –4 +/
Сообщение от жорик (?), 05-Ноя-21, 08:08 
Да ещё и гугл капчу и паспортные данные, а вдрух
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

75. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от fghj (?), 05-Ноя-21, 14:41 
Открой для себя FreeOTP от redhat. Никаких SIM кард не нужно и тем более
не нужно кому-то сообщать свой номер телефона. Неужели считаете что "SMS от банка" это единственный способ двухфакторной авторизации?
Ответить | Правка | Наверх | Cообщить модератору

90. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –3 +/
Сообщение от пох. (?), 05-Ноя-21, 18:02 
мы считаем что нет никакой проблемы просто не прое..ть свой пароль - если ты не веб-макака.
И что шитotp никак эту несуществующую проблему не решает, и макак продолбает либо все сразу, либо свой доступ и будет его "восстанавливать" - ну разумеется, для этого нужен "только номер телефона".

А, впрочем, все содержимое телефона уже давно досталось гуглю и так. (исключительно на предмет посмотреть, нет ли у тебя там вируса и cp, не извольте волноваться)

А единственный нормальный otp пароль генерируется физическим генератором, умеющим спросить пин, и превращающимся в тыкву при тройном неверном вводе. Причем подглядывать пин тоже бесполезно, пока не украл сам физический объект. Именно по этой причине никто таких генераторов не производит и не продает. (поделки спекулянтов бесполезными криптофантиками за дохрена денег не в счет, ими чудовищно неудобно пользоваться не говоря уже о цене и отсутствии уверенности что завтра оно будет продаваться)

Ответить | Правка | Наверх | Cообщить модератору

95. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +3 +/
Сообщение от Аноним (2), 05-Ноя-21, 20:38 
Это какой-то бред про сферического коня в вакууме. Если вернутся в реальный мир, то в нем доступ к паролям разработчиков npm получают преступники. И в реальном мире взломать одновременно две разные системы одна из которых вообще с интернетом не связана и хранит ключи в секретном месте (freeotp) сложнее чем выманить пароль почты из техподдержки, а потом с помощью почты получить пароль к реестру. Не невозможно, но на порядок сложнее и дороже. А то что google может что-то там это вообще не причём, вряд ли он в npm бэкдоры добавляет.
Ответить | Правка | Наверх | Cообщить модератору

101. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от пох. (?), 05-Ноя-21, 21:58 
> Это какой-то бред про сферического коня в вакууме. Если вернутся в реальный
> мир, то в нем доступ к паролям разработчиков npm получают преступники.

потому что разработчики полные дол...е.ы

> И в реальном мире взломать одновременно две разные системы одна из

совершенно не надо. Надо хакнуть дерьмолинуксный компик горе-разработчика и поправить ему код.
В репо он его и сам зашлет, не будет же проверять, действительно. К тому же там наверняка автоматизированная continious desintegration, вообще без его участия это делает. Все ключи от всего сложенны горкой без паролей в $HOME/.credentials

> которых вообще с интернетом не связана и хранит ключи в секретном

это в твоем маня-мирке. Альтернативно-одаренный npm-разработчик использует sms.
Ну или гуглеанусидентификатор, случайно так получилось - с закрытым кодом. Ну не может же ж корпорация добра нарочно код закрыть чтобы спрятать в нем не добро, действительно?

> месте (freeotp) сложнее чем выманить пароль почты из техподдержки, а потом

вымани мне, пожалуйста, из техподдержки мои пароли от гмэйла и avito? У меня не получилось.
В смысле я их знаю, да. Но пароль не пароль, давай номер телефона. Особенно классно вышло у gmail, который не знает моего номера и согласен на вообще любой (ан нет, не совсем любой - на пробиваемый как выданный на реальный паспорт только)

Ответить | Правка | Наверх | Cообщить модератору

113. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Елпидифор Разумберг (?), 07-Ноя-21, 11:05 
как разработчик - не могу пройти мимо и не заметить: дол..е.ы - одна точка лишняя
Ответить | Правка | Наверх | Cообщить модератору

99. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (86), 05-Ноя-21, 21:35 
И ещё раз про аппаратные ключи GPG за копейки: https://habr.com/en/post/507010/
Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

100. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от пох. (?), 05-Ноя-21, 21:50 
спасибо, конечно, но мне неинтересно читать про страдания и подвиги кр@c...зиков.

У меня на столе лежит хрень, делающая ровно то что нужно - одноразовый неугадываемый пароль без всяких телефонов, синхронного до микросекунд времени и слива инфы гуглю. С пином и блокировкой как положено.

Стоила она, вероятно, ровно копейку, потому что банк обычному, не привеллегированному выпь клиенту ее просто подарил по первой же просьбе. (Ну в общем-то там экран и кнопки, больше ничего нет. Вся остальная фигня внутри смарткарты. Любой, судя по моим экспериментам. Вероятно, где-то все еще лежит стандарт, где это описано.) Имеет размер смарткарты, лишь вдвое толще.

К сожалению, для дома для семьи применить не получится - то что верифицирует эти коды, закрытое.
(насколько я в курсе - могу ошибаться, поскольку я так и не нашел тот стандарт что где-то лежит и времени его читать, и вряд ли уже соберусь).

Что мешает кому-нибудь сделать то же самое открытым и пригодным для массового использования...а, ну вот гугл и мешает.

Ответить | Правка | Наверх | Cообщить модератору

103. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (103), 06-Ноя-21, 00:54 
А я спаял себе эту OpenPGP-карту.

Кстати, ты пользуешься XMPP? Ты интересный, я был бы рад пообщаться с тобой в конференции.

Ответить | Правка | Наверх | Cообщить модератору

115. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Kuromi (ok), 08-Ноя-21, 01:59 
>[оверквотинг удален]
> А, впрочем, все содержимое телефона уже давно досталось гуглю и так. (исключительно
> на предмет посмотреть, нет ли у тебя там вируса и cp,
> не извольте волноваться)
> А единственный нормальный otp пароль генерируется физическим генератором, умеющим спросить
> пин, и превращающимся в тыкву при тройном неверном вводе. Причем подглядывать
> пин тоже бесполезно, пока не украл сам физический объект. Именно по
> этой причине никто таких генераторов не производит и не продает. (поделки
> спекулянтов бесполезными криптофантиками за дохрена денег не в счет, ими чудовищно
> неудобно пользоваться не говоря уже о цене и отсутствии уверенности что
> завтра оно будет продаваться)

Насчет генераторов с ПИН не скажу, а вот WebAuthn токены с биометрической авторизацией (надо пальчик приложить чтобы он сработал) - уже есть.

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

118. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от пох. (?), 08-Ноя-21, 11:02 
Ну то есть опять одна херня.

Я и говорю - тут уже хошь не хошь, поверишь в заговор.
Ну не может же ж людская тупость быть такой всеобъемлющей?

Вон лежит у меня этот генератор на столе. Пользы ровно ноль - те кто его мне выдали, перешли на sms. Хотя уже все работало и люди пользовались (я только ради этого сохранял у них договор).

Ответить | Правка | Наверх | Cообщить модератору

121. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Kuromi (ok), 08-Ноя-21, 17:51 
> Ну то есть опять одна херня.
> Я и говорю - тут уже хошь не хошь, поверишь в заговор.
> Ну не может же ж людская тупость быть такой всеобъемлющей?
> Вон лежит у меня этот генератор на столе. Пользы ровно ноль -
> те кто его мне выдали, перешли на sms. Хотя уже все
> работало и люди пользовались (я только ради этого сохранял у них
> договор).

Да, СМС нынче это "серебрянная пулька" (на самом деле нет). Мне сразу вспоминается Юmoney (бывший Яндекс.Деньги) - стоило им перейти под контроль Сбера, они сразу же 1) заменили TOTP на CМC 2) заменили HTTP2 на HTTP1.1

Вот такой вот даунгрейд.

Ответить | Правка | Наверх | Cообщить модератору

10. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +5 +/
Сообщение от Аноним (10), 05-Ноя-21, 03:16 
Привязка к версии, но не к подписанному верифицируемому хешу определённого пакета? Звучит надёжно.
Ответить | Правка | Наверх | Cообщить модератору

39. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +3 +/
Сообщение от Урри (ok), 05-Ноя-21, 11:35 
Прекрасный совет, гениальный как юзеры опеннета.

Надо привязаться к подписанному верифицируемому хешу версии с троянами и чтобы ни одно обновление безопасности или исправление ошибок ни в коем случае не прилетело.

Ответить | Правка | Наверх | Cообщить модератору

43. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (10), 05-Ноя-21, 11:43 
А теперь подумай. Чем это хуже от привязки к версии? Только защитит от подмены или левого пакета, это не хуже. Расхождение сразу привлечёт внимание опять же. Обновление чекнешь и поменяешь хэш, не сахарный.
Ответить | Правка | Наверх | Cообщить модератору

53. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Урри (ok), 05-Ноя-21, 12:10 
Я об этом и пишу - обновляешься, запускаешь, проверяешь что работает, даже автотесты пробегает, замораживаешь хеши.

А через неделю срабатывает временной триггер, и твоя система начинает майнить. Трояна находят, оперативно исправляют (он в лефтпаде, который твой хелловорлд использует через 50 пакето-зависимостей). Весь мир тут же излечивается, а ты дальше майнишь, ибо ни сном ни ухом, что вот этот вот один из миллиона существующих пакетов у тебя таки используется.

Прекрасный план, мистер Фикс. Так держать.

Ответить | Правка | Наверх | Cообщить модератору

57. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (10), 05-Ноя-21, 12:16 
Почему нельзя весь миллион существующих пакетов зафиксировать? Вроде, все только так и делают. Ну, те, кто не хочет майнеров себе пропускать, во всяком случае. А при первом расхождении всё обнаруживается.
Ответить | Правка | Наверх | Cообщить модератору

64. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –1 +/
Сообщение от Урри (ok), 05-Ноя-21, 13:10 
Какое расхождение, ты о чем?
Автор сам майнер закодил или у автора акк угнали, как в новости - в коде "if date > 1.1.2022 майним" . Никаких расхождений, код не менялся, все прекрасно. И майнер с тобою теперь навсегда.

--
Пример, между прочим, не из головы. В несколько бородатее времена я сам так кодил (молод был, глуп, мне очень были нужны деньги - простите меня пожалуйста): апликуха под айос, чтобы пройти индусоревью, молча ждала две недели и только после этого времени (индусы обычно за неделю справлялись) начинала показывать рекламу.

Ответить | Правка | Наверх | Cообщить модератору

66. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –1 +/
Сообщение от Аноним (10), 05-Ноя-21, 13:25 
Расхождение ожидаемых хэшей с имеющимися, про попытке установить всплывёт. Если удалили, тоже (стоят задаться вопросом конечно, куда дели).
Ответить | Правка | Наверх | Cообщить модератору

68. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (67), 05-Ноя-21, 13:46 
Всё правильно он говорит. Фиксируемая версия. А обновление и так прилетит от DependaBot и Snyk ботов, которые мониторят все уязвимости.

Это на случай "в зафиксированной версии обнаружилась уязвимость".
Или ты как эти уязвимости собираешься обнаруживать? По статьям на opennet?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

11. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –3 +/
Сообщение от Аноним (11), 05-Ноя-21, 05:43 
А люди действительно пользуются пакетами для разборки аргументов командной строки? Что уже циклы написать сложно? Давайте ещё пакет для сортировки чисел использовать. И для простых мат операций. Таких «разработчиков» не жалко, расходный материал, в руки по банану и обратно их на дерево.
Ответить | Правка | Наверх | Cообщить модератору

14. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +4 +/
Сообщение от Аноним (14), 05-Ноя-21, 06:41 
Так это еще по серьезке. Классика npm провалов же leftpad, там весь "пакет" сводился к добавлению к тексту слева 8 пробелов. И тем не менее вагон зависимостей, как налажали - на весь интернет вою было.
Ответить | Правка | Наверх | Cообщить модератору

37. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (11), 05-Ноя-21, 11:19 
Ааааа…. Ооокей… аццкая сотона… ну его нахер, не… ну ты это видел… я пошёл спать… ну это поколение…
Ответить | Правка | Наверх | Cообщить модератору

17. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –2 +/
Сообщение от СССР (?), 05-Ноя-21, 08:04 
а прикинь тебе ктото миус поставил )) и прада ты кого то обидел сильно )))
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

21. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +11 +/
Сообщение от Аноним (10), 05-Ноя-21, 08:58 
Дело не в обиде. Он рассуждает как вредитель и нуб, таких людей с их ручным разбором аргументов и кривыми велосипедами надо держать как можно дальше от разработки. Обычно вендузятники таким балуются, и пользователи их ненавидят. Для остальных ожидаемый уровень намного выше (хотя бы getopt).
Ответить | Правка | Наверх | Cообщить модератору

26. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –4 +/
Сообщение от _hide_ (ok), 05-Ноя-21, 10:06 
Да, да, да, товарищ демагог, а качество Ваших библиотечных разборов, конечно, намного выше, нежели моего или того анонима разбора.
Если в RTL нет разбора аргументов, то тут уже никакие пакетные менеджеры не помогут!
Ответить | Правка | Наверх | Cообщить модератору

27. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +5 +/
Сообщение от Аноним (10), 05-Ноя-21, 10:26 
Именно. Это дорого, это излишне сложно, это подвержено ошибкам, это выглядит не лучшим образом, и это велосипед (вряд ли он хороший). И пользователи вас с анонимом проклинают.
Ответить | Правка | Наверх | Cообщить модератору

28. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –5 +/
Сообщение от Аноним (11), 05-Ноя-21, 10:50 
А вот пакеты с бэкдорами и червями это конечно решение. Умудрится написать корявую разборку аргументов это талант. У нас, на работе, есть стандарт, по которому все программы должны работать. Свои наработки, свои библиотеки. Один раз написали для себя и все отлично работает. Ну ты продолжай своё г кушать большой ложкой, миллионы мух ошибаться не могут.
Ответить | Правка | Наверх | Cообщить модератору

31. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +2 +/
Сообщение от Аноним (10), 05-Ноя-21, 10:59 
У пользователей тоже есть стандарты. Кривые NIH-велосипеды им не отвечают.
Ответить | Правка | Наверх | Cообщить модератору

47. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от макпыф (ok), 05-Ноя-21, 11:52 
меня мало волнует, является ли какая нибудь функция в программе "NIH-велосипедом" или копипастой, в отличие от необходимости ставить зависимость
Ответить | Правка | Наверх | Cообщить модератору

50. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от Аноним (10), 05-Ноя-21, 11:57 
Я не часто встречаю ситуацию "зависимость ради зависимости". Обычно эта зависимость стандарт (или наиболее подходящая альтернатива), и разработать что-нибудь похожее будет очень дорого и долго. И совершенно точно не входит в планы. Это отклонение -- знай принимай свои таблетки, и не будут беспокоить подобные вещи.
Ответить | Правка | Наверх | Cообщить модератору

54. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от макпыф (ok), 05-Ноя-21, 12:14 
> Я не часто встречаю ситуацию "зависимость ради зависимости". Обычно эта зависимость стандарт (или наиболее подходящая альтернатива), и разработать что-нибудь похожее будет очень дорого и долго.

Если вам нужен какой то сложный и серьезный функционал - ок. Если надо пробелы слева добавить - нет.

>  Это отклонение -- знай принимай свои таблетки, и не будут беспокоить подобные вещи.

Когда ты хочешь что то поставить и смотришь на список зависимостей в пол страницы, смотришь на этот список для первой зависимости и видиш тоже самое и так N-ное количество раз - начинается не малый батхерт. Кто му же это в конце часто упирается в какого нибудь монстра, который будет компилится десяток часов

Ответить | Правка | Наверх | Cообщить модератору

112. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от _hide_ (ok), 06-Ноя-21, 23:32 
Столкнулись товарищи "сдал проект и забыл" с теми, кто пишут вещи работающие 20-30 лет. Одни говорят: тяп/ляп и в продавшен, другие отвечают: постойте, а аудит кода в проекте? А обновление и миграции для каждой зависмости, а то, что проект не соберется через 3 года? А им отвечают: я срубил бабла (прямо как ребята по ремонту квартир с Авито) и съыпался, а разбирают мои потуги пусть неудачники!
И судя по минусам, кидал тут намного больше!
Ответить | Правка | Наверх | Cообщить модератору

42. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +2 +/
Сообщение от Урри (ok), 05-Ноя-21, 11:42 
А у вас на работе нету стандарта, что программы должны не просто работать, а работать без ошибок?

> Один раз написали для себя и все отлично работает.

Бекдор из предыдущей новости отлично работал, случайно заметили. У вас там на бекдоры как, есть тоже какой-то стандарт?

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

29. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –3 +/
Сообщение от Аноним (11), 05-Ноя-21, 10:54 
О да. Тебе сложно массив разобрать? Ты хоть hello world без библиотек, туторалов поста на стаковерфлов,  и ста зависимостей могёш?
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

30. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +4 +/
Сообщение от Аноним (10), 05-Ноя-21, 10:57 
Ты либо теоретик, либо я не знаю чем это оправдать.
Ответить | Правка | Наверх | Cообщить модератору

34. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –2 +/
Сообщение от Аноним (11), 05-Ноя-21, 11:14 
Давай ещё  начнём  пипками меряться тут. Ты мне свой код покажи а я тебе свой скину.     Твои велосипеды напоминанию мне the It bike из South Park (s5e11).  Я уж на своих велосипедах кататься буду.
Ответить | Правка | Наверх | Cообщить модератору

55. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Урри (ok), 05-Ноя-21, 12:14 
> Давай ещё  начнём  пипками меряться тут.

https://code.woboq.org/userspace/glibc/posix/getopt.c.html

Моя длиннее, толще, надежнее.

Ответить | Правка | Наверх | Cообщить модератору

69. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от n00by (ok), 05-Ноя-21, 14:04 
>> Давай ещё  начнём  пипками меряться тут.
> https://code.woboq.org/userspace/glibc/posix/getopt.c.html
> Моя длиннее, толще, надежнее.

ambig_set = alloca (n_options);

Хотелось бы уточнить ещё и глубину в байтах.

Ответить | Правка | Наверх | Cообщить модератору

44. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –1 +/
Сообщение от Sw00p aka Jerom (?), 05-Ноя-21, 11:44 
когда количество стороннего кода больше чем собственного - как такую ситуацию обозначить?
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

56. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –1 +/
Сообщение от Урри (ok), 05-Ноя-21, 12:15 
> когда количество стороннего кода больше чем собственного - как такую ситуацию обозначить?

Как нормальное состояние любого программного продукта.

Ответить | Правка | Наверх | Cообщить модератору

45. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от макпыф (ok), 05-Ноя-21, 11:48 
проклинаю как пользователь тебя и таких как ты т.к. из за этого мне приходится собирать на каждую ерунду 100500 зависимостей (правда я не про npm, но это не особо важно)
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

48. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –1 +/
Сообщение от Аноним (10), 05-Ноя-21, 11:53 
Понимаю, удобный и функциональный софт кому-то тоже не нравится, вам подавай спектрумы и убогий максимально никчёмный софт. Это редкое отклонение, уверяю тебя.
Ответить | Правка | Наверх | Cообщить модератору

49. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +2 +/
Сообщение от макпыф (ok), 05-Ноя-21, 11:54 
Мне надо что софт хорошо делал то, для чего я его поставил.
Ответить | Правка | Наверх | Cообщить модератору

91. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –2 +/
Сообщение от пох. (?), 05-Ноя-21, 18:05 
> Да, да, да, товарищ демагог, а качество Ваших библиотечных разборов, конечно, намного выше

конечно, их же тысячегласс проверил!
(вот особенно невменяемую gnu getopt)

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

32. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (11), 05-Ноя-21, 11:01 
Нужно мчс звать у него пригорела… сейчас будет холивару разводить, про велосипеды. Жалко компиляторы раздавать таким.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

40. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +4 +/
Сообщение от Урри (ok), 05-Ноя-21, 11:39 
Функция getopt из <unistd.h> стандартизирована, если не ошибаюсь, где-то в самом конце 90х.
И да, ею пользуются и по хорошему надо бить по рукам тех, кто это не делает.

Ибо ваши велосипеды, как правило, дырявы совсем чуть-чуть менее чем полностью.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

41. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +2 +/
Сообщение от Аноним (41), 05-Ноя-21, 11:41 
Зачем же тогда придумали boost::program_options, gflags, cxxopts, тысячи их?
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

59. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от Аноним (59), 05-Ноя-21, 12:18 
У приплюснутых свой путь.
Ответить | Правка | Наверх | Cообщить модератору

65. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Урри (ok), 05-Ноя-21, 13:14 
Причем правильный.
Думай как плюснутый, делай как плюснутый, будь плюснутым.
Ответить | Правка | Наверх | Cообщить модератору

70. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –1 +/
Сообщение от Аноним (59), 05-Ноя-21, 14:09 
Это вам так кажется. Для коммерческой разработки плюсы выбирают редко.
Ответить | Правка | Наверх | Cообщить модератору

72. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +2 +/
Сообщение от Урри (ok), 05-Ноя-21, 14:18 
> Для коммерческой разработки плюсы выбирают редко.

Толще не могли?

Ответить | Правка | Наверх | Cообщить модератору

97. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –1 +/
Сообщение от Аноним (97), 05-Ноя-21, 20:45 
> Толще не могли?

Отчего же, могу: с++ники суть те же лефтпадщики - на любой чих, например, файл прочитать или сокет открыть - тащат буст или т.п. ненужный винхлам. Таких в ядерщики не берут)

Ответить | Правка | Наверх | Cообщить модератору

106. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от n00by (ok), 06-Ноя-21, 08:09 
>> Толще не могли?
> Отчего же, могу: с++ники суть те же лефтпадщики - на любой чих,
> например, файл прочитать или сокет открыть - тащат буст или т.п.
> ненужный винхлам. Таких в ядерщики не берут)

Фрагмент драйвера, удаляющий тело руткита:


static
bool carantine_file(const const_unicode_string & filename)
{
  file f(filename);
  raw_data filedata(f.get_data());
  f.erase();

  wstring new_name( filename.get_string() );

  // special case for NTFS data streams
  wstring::size_type colon = new_name.rfind(L':');
  if ( colon != wstring::npos ) new_name[colon] = '_';

  ///\todo basic_string::replace
  new_name.erase(0, 1+new_name.rfind(L'\\'));
  new_name.insert(0, L"\\??\\"CARANTINE_FOLDER_NAME L"\\");

  file backup(new_name,
              file::supersede,
              file::write_data | file::write_attributes | synchronize,
              file::share_read);
  return backup && backup.write(filedata.begin(), filedata.size());
}


Правда, как раз вот это - некоммерческое.
Ответить | Правка | Наверх | Cообщить модератору

83. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –1 +/
Сообщение от Romanemail (??), 05-Ноя-21, 16:14 
getootlong тоже не просто так придумали
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

128. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Онаним (?), 10-Ноя-21, 00:49 
Это называется «стандарты». Но вам, с деревьев, не понять, вы выше этого
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

16. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +2 +/
Сообщение от kusb (?), 05-Ноя-21, 08:03 
Опять. Без нарушений традицией. Значит всё как обычно. Радуюсь.
Ответить | Правка | Наверх | Cообщить модератору

19. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от Аноним (19), 05-Ноя-21, 08:36 
Если подобное вытворяют любители, то на что тогда способны профессионалы?🤔
Ответить | Правка | Наверх | Cообщить модератору

73. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +2 +/
Сообщение от ананоша (?), 05-Ноя-21, 14:20 
Профессионалы порядочные люди, сами используют нпм, поэтому и не гадят
Ответить | Правка | Наверх | Cообщить модератору

22. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от Аноним (22), 05-Ноя-21, 09:22 
Получил контроль на пакетом, но не смог опубликовать новую версию. Я думаю, что мы ещё услышим об этом злоумышленнике.
Ответить | Правка | Наверх | Cообщить модератору

23. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от Аноним (-), 05-Ноя-21, 09:51 
никогда такого не было и вот опять, миллионы глаз чуть не ослепли от соринки. хорошо, что в пакетницах питона и раста такого нет
Ответить | Правка | Наверх | Cообщить модератору

77. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  –1 +/
Сообщение от FractaL (ok), 05-Ноя-21, 14:58 
Будет. Просто раст нафик пока не впал.
Ответить | Правка | Наверх | Cообщить модератору

88. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноноша (?), 05-Ноя-21, 17:40 
> что в пакетницах питона и раста такого нет

Откуда такая уверенность?

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

24. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (24), 05-Ноя-21, 10:03 
Автор точно уверен что npm поддерживает опцию "resolutions"?
Ответить | Правка | Наверх | Cообщить модератору

25. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (24), 05-Ноя-21, 10:05 
По первой ссылке человек там говорил только про yarn.
Ответить | Правка | Наверх | Cообщить модератору

35. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от InuYasha (??), 05-Ноя-21, 11:14 
> При формировании пакета с вредоносным кодом была допущена ошибка

mpv Risitas_hysterical_laugh_UHD8K_upscale_120FPS_3D_DolbyAtmos7.1_DBRip_loop.mkv

Ответить | Правка | Наверх | Cообщить модератору

58. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от Урри (ok), 05-Ноя-21, 12:18 
> mpv Risitas_hysterical_laugh_UHD8K_upscale_120FPS_3D_DolbyAtmos7.1_DBRip_loop.mkv

Даже здесь вас учить надо....
mpv --loop-file=inf Risitas_hysterical_laugh_UHD8K_upscale_120FPS_3D_DolbyAtmos7.1_DBRip.mkv

Ответить | Правка | Наверх | Cообщить модератору

107. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от шайтан (?), 06-Ноя-21, 14:59 
Он сейчас Петра смешит.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

111. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от Аноним (51), 06-Ноя-21, 18:52 
28 апреля 2021 года Хохотун скончался в Севилье на 65-м году жизни в результате осложнений после операции.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

119. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +/
Сообщение от InuYasha (??), 08-Ноя-21, 13:26 
Что не мешает ему оставаться нашим добрым мемом )
Ответить | Правка | Наверх | Cообщить модератору

36. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от макпыф (ok), 05-Ноя-21, 11:15 
какие то странные хакеры - то исключение для стран СНГ делают, то криво пакеты собирают.
Ответить | Правка | Наверх | Cообщить модератору

52. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."  +1 +/
Сообщение от Аноним (51), 05-Ноя-21, 12:10 
В первую очередь из-за геополитики. Во-вторых, из-за законов. В-третьих, некоторые избегают из-за патриотизма.
Ответить | Правка | Наверх | Cообщить модератору

46. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +2 +/
Сообщение от Урри (ok), 05-Ноя-21, 11:48 
Уважаемые анонимы, а не подскажет кто такое вот интересное:

Есть ли в npm какой-то флажок, который будучи выставлен на сервере указывает всем обновляющим зависимости в данный момент npm, что вот этот вот пакет плохой, такой плохой что прям вот совсем-совсем и про него надо обязательно большими красными буквами написать в логах и, возможно, даже попищать динамиком?

Ответить | Правка | Наверх | Cообщить модератору

109. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от шайтан (?), 06-Ноя-21, 15:04 
Флажок на сервере раздающем пакеты должен стоять?Если да то тогда зачем раздавать плохие пакеты?
Ответить | Правка | Наверх | Cообщить модератору

126. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от Онаним (?), 10-Ноя-21, 00:41 
Да, есть. Даже 2.
Скомпроментирован и устарел
В данном случае версию пакета нахрен удаляют, потому что скомпроментирована, от беды
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

76. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от Аноним (76), 05-Ноя-21, 14:47 
Что не так с этими разработчиками, что они постоянно теряют контроль над своими репозиториями?
Ответить | Правка | Наверх | Cообщить модератору

92. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +1 +/
Сообщение от Alexey (??), 05-Ноя-21, 18:50 
интеллектуальная импотенция, однако
Ответить | Правка | Наверх | Cообщить модератору

108. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от шайтан (?), 06-Ноя-21, 15:01 
Люди,сэр.
Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

127. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от Онаним (?), 10-Ноя-21, 00:47 
только, аккаунтами
Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

82. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  –2 +/
Сообщение от adolfus (ok), 05-Ноя-21, 15:58 
Это ккой такой rc?
У меня в репозитории есть rc:

$ rpm -qip rc
...
Rc is a command interpreter for Plan 9 that provides similar facilities to UNIX's Bourne shell, with some small additions and less idiosyncratic syntax. This is a re-implementation for Unix, by Byron Rakitzis, of the Plan 9 shell.

Ответить | Правка | Наверх | Cообщить модератору

98. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от Аноним (98), 05-Ноя-21, 21:26 
s/rpm/npm ?
Ответить | Правка | Наверх | Cообщить модератору

87. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от макпыф (ok), 05-Ноя-21, 17:27 
> Злоумышленники выпустили обновления 1.2.9, 1.3.9 и 2.3.9 с тем же вредоносным кодом, а администрация NPM его заблокировала

Тоже кривое?

Ответить | Правка | Наверх | Cообщить модератору

110. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от Аноним12345 (?), 06-Ноя-21, 16:14 
Сто раз подумай, прежде чем пользовать нпм
Ответить | Правка | Наверх | Cообщить модератору

116. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  –1 +/
Сообщение от Аноним (116), 08-Ноя-21, 08:17 
Поэтому я не устанавливаю обычно пакеты с pypi (ну кроме гуглаговскового говна, собираемого базелем), а node.js вообще не пользуюсь.
Ответить | Правка | Наверх | Cообщить модератору

120. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от Рмшъ (?), 08-Ноя-21, 16:22 
То ли этим людям деньги важнее развития человечества, то ли они готовы откатить айти в каменный век и лишить кучу людей работы, чтобы начать всё заново. Зачем они портят то, что не создавали? Лучше бы помогли улучшить.
Ответить | Правка | Наверх | Cообщить модератору

124. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от Аноноша (?), 09-Ноя-21, 04:18 
> То ли этим людям деньги важнее развития человечества, то ли они готовы
> откатить айти в каменный век и лишить кучу людей работы, чтобы
> начать всё заново. Зачем они портят то, что не создавали? Лучше
> бы помогли улучшить.

Они помогают понять недостатки npm.

Ну раз ты так веришь в людей, то в следующий раз не запирай дверь, выходя из дома.

Ответить | Правка | Наверх | Cообщить модератору

125. "В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в н..."  +/
Сообщение от Аноним (-), 09-Ноя-21, 15:14 
> То ли этим людям деньги важнее развития человечества,

npm, google.. о каком еще развитии человечества речь ?

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру