OpenForum RSS: В NPM планируют использовать Sigstore для подтверждения подлинности пакетов https://ns.opennet.dev/openforum/vsluhforumID3/128171.html GitHub выставил на обсуждение предложение по внедрению сервиса Sigstore для верификации пакетов по цифровым подписям и ведения публичного лога для подтверждения подлинности при распространении релизов. Применение Sigstore позволит реализовать дополнительный уровень защиты от атак, нацеленных на подмену программных компонентов и зависимостей (supply chain). Например, внедряемое изменение защитит исходные тексты проектов в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57614<br> В NPM планируют использовать Sigstore для подтверждения подл... (Ааантоним) https://ns.opennet.dev/openforum/vsluhforumID3/128171.html#135 Mon, 15 Aug 2022 15:25:16 GMT И при этом когда из содержимого бака что-либо обязательно неотъемлемая часть обеда у джентельмена. <br><br>Примечательно, для Питона есть Conda репозиторий. Была догадка - там отфильтрованы более менее нетухлые кусочки из бака. Не проверял.<br><br> В NPM планируют использовать Sigstore для подтверждения подл... (Аноним) https://ns.opennet.dev/openforum/vsluhforumID3/128171.html#134 Mon, 15 Aug 2022 10:53:52 GMT Проблема мусорного бака в том что его нужно периодически вывозить. <br>Что npm, что pypi, что crates как раз такие бездонные баки, содержимое которых нужно в вулканической лаве растворять. <br>Причем "неймсквоттинг" там во все поля: условный белый джентльмен создаёт тысячу модулей на популярные названия и везде лепит одну и ту же фразу: "я создал этот проект чтобы не хорошие люди не могли напакостить, напишите мне туда-то если вы заинтересованы в проекте".<br><br>&#129313;<br> В NPM планируют использовать Sigstore для подтверждения подл... (A) https://ns.opennet.dev/openforum/vsluhforumID3/128171.html#132 Mon, 15 Aug 2022 07:19:53 GMT &gt; почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm?<br><br>Потому, что можно без знаний и без душнилова писать от души слабо продуманный код как стихи. Хорошие стихи написать трудно. Ну и хороший код - тоже.<br><br>А упаковать в Deb и пройти проверки на косолапость в Дебиан - трудно, нужно много выучить.<br><br>Короче - так было проще сделать обыкновенный тяп ляп.<br> В NPM планируют использовать Sigstore для подтверждения подл... (Аноним) https://ns.opennet.dev/openforum/vsluhforumID3/128171.html#131 Sat, 13 Aug 2022 11:53:17 GMT К сожалению, "персональная репутация" становится пустым звуком во время войны, поскольку любой из цепочки доверия может оказаться отмороженным русофобом, мечтающим нагадить русским любой ценой, и в честь этого помещающим "приветик" в свой же собственный код. А самое печальное, что стоит ему слегка не рассчитать, и этот "приветик" пойдет вместо русских, всем подряд без особых различий в нации, расе или гражданстве. Классика терроризма, епта.<br><br>Кстати, если кому-то важно, то можете, в честь толерантности, заменить "русофоба" на "исламского террориста" или типа того... вот только что это меняет? Все фанатики, по определению, слегка неадекватны (некоторые даже и не слегка!), а спусковым крючком для такого урода может стать любая мелочь... не говоря уж о серьезных поворотных событиях.<br><br>Лично я думаю, что скоро появятся этакие гейты безопасности, которые будут анализировать исходный код и предоставлять его конечному потребителю только если он пройдет все проверки. Собственно у банков и крупных компаний давным-да В NPM планируют использовать Sigstore для подтверждения подл... (BorichL) https://ns.opennet.dev/openforum/vsluhforumID3/128171.html#130 Fri, 12 Aug 2022 11:58:18 GMT Дык до сих пор так делают, ну может в код особо не лезут, но желающие - могут :-)<br> В NPM планируют использовать Sigstore для подтверждения подл... (Аноним) https://ns.opennet.dev/openforum/vsluhforumID3/128171.html#129 Fri, 12 Aug 2022 05:46:19 GMT эхъ, а когда-то kde собирали в freebsd из сорцов, а чтоб все собиралось и работало комментили непонятные куски кода (! безопасность еще тогда).<br> В NPM планируют использовать Sigstore для подтверждения подл... (Ляля) https://ns.opennet.dev/openforum/vsluhforumID3/128171.html#128 Thu, 11 Aug 2022 21:05:34 GMT Иди в другом месте поиграй, сорванец.<br> В NPM планируют использовать Sigstore для подтверждения подл... (darkshvein) https://ns.opennet.dev/openforum/vsluhforumID3/128171.html#127 Thu, 11 Aug 2022 18:23:36 GMT &gt; А какое отношение экономика имеет к ослиному мышлению?<br><br>киса, ты обиделсо?<br>тебе пояснить, что проще и главное дешевле тебя по статье натянуть, нежели доплачивать тебе за написание кода, который ты толком и не умеешь писать? <br>что ты потом блеять будет про какие то модули от врагов россии уже заказчика и суд волновать будет мало, ибо ответственным зицпредседателем будешь ты.<br> В NPM планируют использовать Sigstore для подтверждения подл... (Аноним) https://ns.opennet.dev/openforum/vsluhforumID3/128171.html#125 Thu, 11 Aug 2022 16:11:45 GMT &gt; доверять ей проще<br><br>А можешь тезисно пояснить как ты пришёл к такому выводу? Какие-то объективные критерии привести, определение простоты дать, разъяснить в общем для менее осведомленной публики.<br>