https://opennet.dev/openforum/vsluhforumID3/119243.html В обновлении пакетного менеджера NPM 6.13.4, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript, устранены три уязвимости (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), позволяющие модифицировать или перзаписать произвольные системные файлы при установке пакета, подготовленного злоумышленником. В качестве обходного пути защиты может быть установка с опцией "--ignore-scripts", запрещающей выполнение встроенных пакеты обработчиков. Разработчики NPM проанализирвали имеющиеся в репозитории пакеты и не нашли следов использования выявленных проблем для совершения атак...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52043<br> https://opennet.dev/openforum/vsluhforumID3/119243.html#46 Tue, 17 Dec 2019 20:08:39 GMT транспишяция должна быть частью npm, а не говноскриптами. Скажу больше, по-моему node должен уметь в typescript без транспиляции, нативно. Как и JS-движки. Это позволит им лучше оптимизировать код.<br> https://opennet.dev/openforum/vsluhforumID3/119243.html#45 Mon, 16 Dec 2019 20:38:15 GMT Какой jail? Какого перца тащить в систему все говно без разбору, а потом разбирать, что за говно притащили?..<br> https://opennet.dev/openforum/vsluhforumID3/119243.html#44 Mon, 16 Dec 2019 20:35:59 GMT Наверняка кто-то пробовал. И наверняка они разорились на мятно-имбирных таблетках от тошноты для проверяющих...<br> https://opennet.dev/openforum/vsluhforumID3/119243.html#43 Mon, 16 Dec 2019 20:33:54 GMT Проблема ведь не в том, что скрипт пакета может что-то злонамеренно переписать.<br>Проблема в том, что такую возможность рассматривают как вполне вероятную и пытаются от неё защититься!<br>Сравнивая с .rpm, КАК можно пользоваться системой, где вероятность распространения злонамеренного кода _теоретически_ НЕ может быть сведена к нулю?<br> https://opennet.dev/openforum/vsluhforumID3/119243.html#42 Mon, 16 Dec 2019 19:42:38 GMT Шо, опять?!<br><br>// серебряные пули, небитые, некрашеные, пользовалась девушка...<br> https://opennet.dev/openforum/vsluhforumID3/119243.html#41 Mon, 16 Dec 2019 18:29:32 GMT Если проверить нельзя, значит, и доверять такому коду нельзя.<br> https://opennet.dev/openforum/vsluhforumID3/119243.html#40 Mon, 16 Dec 2019 18:27:46 GMT В npm отсутствует вообще какой-либо контроль приходящих людей. В дистрибутивах с этим получше, там доказать квалификацию нужно, и, зачастую, личность подтвердить. Все майнтейнеры Debian, скажем, известны поимённо, а что за васян очередной лефтпад в npm залил &#8212; поди разберись.<br> https://opennet.dev/openforum/vsluhforumID3/119243.html#39 Mon, 16 Dec 2019 18:24:13 GMT Что всё есть guile.<br> https://opennet.dev/openforum/vsluhforumID3/119243.html#37 Mon, 16 Dec 2019 17:22:33 GMT &gt; Ну да, доверяем, а что? Правда, между репозиториями и NPM всё-таки, видать, <br>&gt; есть какое-то различие - что-то я о зловредах в дебиане или <br>&gt; там центоси не слышал.<br><br>если вы не видете суслика, это всего лишь значит, что он хорошо маскируется<br>оглянитесь вокруг - некоторые люди злы и порочны, вам хватит ровно одного<br>такого, который скажет мантейнеру, что он знает где учится его маленькая дочка<br>