Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Бэкдор в зависимости к event-stream, популярной библиотеке к..., opennews (?), 26-Ноя-18, (0) [смотреть все] НИКОГДА такого не было и вот опять, интеллигентный разработчик (?), 21:55 , 26-Ноя-18, (1) +48 // помнити об npm leftad , пох (?), 22:15 , 26-Ноя-18, (3) +1 // А что такого с left-pad , Аноним (55), 12:12 , 27-Ноя-18, (55) +2 Samba она такая , Ydro (?), 19:03 , 27-Ноя-18, (79) –1 2 миллиона 7 N кхм девопсиков, безоглядно доверяющих мейнтейнить куски, Онаним (?), 21:55 , 26-Ноя-18, (2) +8 // два миллиона - это только у тех кто не очень доверяли и зачем-то проверили стоты, пох (?), 22:17 , 26-Ноя-18, (5) +1 // За них композитор эту зависимость проверил А ревьюить некому, лень, и вообще не, Онаним (?), 22:50 , 26-Ноя-18, (14) +2 Я правильно понимаю, что ты вообще никакой сторонний код не используешь и пишешь, Аноним (94), 18:04 , 28-Ноя-18, (94) –1 Смех смехом, но сильно ли отличаются в этом отношении от ноды другие веб-фреймво, Аноним (4), 22:17 , 26-Ноя-18, (4) +8 // А дело не в ноде Ручки-то - вот они, изящно изогнутые Ревью изменений сторонне, Онаним (?), 22:26 , 26-Ноя-18, (7) +1 // каких таких изменений Оно ж с самого начала там лежало ревью ВСЕГО стороннего, пох (?), 22:37 , 26-Ноя-18, (9) +2 // Как минимум - ревью всех изменений стороннего кода от условно-trusted версии воо, Онаним (?), 22:47 , 26-Ноя-18, (11) +2 ну вы же уже всосали, не глядя, неизвестный код немалого объема - а теперь готов, пох (?), 23:00 , 26-Ноя-18, (17) +3 Дык и я о том Ну на самом деле не совсем так, кроме фич бывают ещё багфиксы Вп, Онаним (?), 23:03 , 26-Ноя-18, (21) Если я вас правильно понял, то нужно скопировать модуль к себе, жестко заморозит, Василий Топоров (?), 23:33 , 26-Ноя-18, (35) причем не зная заранее, ни какая версия сегодня модно, ни тем более - что еще он, пох (?), 10:27 , 27-Ноя-18, (49) Это вы про C boost сейчас , Аноним (36), 23:39 , 26-Ноя-18, (36) +4 который из трех ой, нет, уже четырех установленных справедливости ради - boo, пох (?), 23:00 , 27-Ноя-18, (88) +1 Справедливости ради и leftpad не нужен, т к есть нативный метод String prototyp, Аноним (36), 09:24 , 28-Ноя-18, (91) а баги в чужих либах вы как фиксите или у вас zip so написан через libgodallkno, J.L. (?), 12:43 , 27-Ноя-18, (59) никак, если либа принята в продакшн - она прошла тестирование, в том виде, в кот, пох (?), 20:04 , 27-Ноя-18, (80) +1 И нет - юнит-тестами вы все возможные комбинации звездецов в сторонних либах не , Онаним (?), 23:01 , 26-Ноя-18, (18) конечно нет И потом - нахрена мне юнит-тесты ЧУЖИХ либ Я их не для того подкл, пох (?), 23:04 , 26-Ноя-18, (24) Угу, я именно про юнит-тесты собственных модулей, завязанных на чужие либы В ли, Онаним (?), 23:08 , 26-Ноя-18, (29) Да никто не ревьюит второй уровень вложенности То, что непосредственно проект т, Crazy Alex (ok), 23:01 , 26-Ноя-18, (20) +5 Хера себе То есть можно горе-деплоерам rm -rf подтянуть в комплекте, и они не, Онаним (?), 23:03 , 26-Ноя-18, (23) так вот, только ж что и спалили, правда, но это скорее случайность , пох (?), 23:05 , 26-Ноя-18, (26) +3 Да уж, сколько там ещё такого добра, остаётся только гадать , Онаним (?), 23:09 , 26-Ноя-18, (30) Но есть ньюанс, хорошее ревью кода обходится дороже написания кода А поверхно, КО (?), 12:16 , 27-Ноя-18, (57) +1 И нет, с самого начала оно там не лежало Why was right9ctrl given access to th, Онаним (?), 22:56 , 26-Ноя-18, (16) +1 а что, не нужно было я -то имел в виду, что в этом самом flatmap оно лежало , пох (?), 23:01 , 26-Ноя-18, (19) Ну ревью-то в любом случае выявило бы новую зависимость, к которой нужно отнести, Онаним (?), 23:05 , 26-Ноя-18, (27) В ноде дело В ней невозможно программировать без установки кучи библиотек Да ко, Аноним (41), 05:22 , 27-Ноя-18, (41) +1 а причем тут - веп-фреймворки помимо ноды которая ни разу не веб и не фреймвор, пох (?), 22:33 , 26-Ноя-18, (8) +2 // Да и композерное угрёбище в похе то есть в пыхе - не отстаёт , Онаним (?), 22:49 , 26-Ноя-18, (12) –4 На самом деле он реально хорош тем, что стандартного официального набора либ дос, RomanCh (ok), 13:11 , 27-Ноя-18, (67) // вопрос тогда, что считать стандартным набором - вот все вот это, что оно понат, пох (?), 20:09 , 27-Ноя-18, (81) +1 Не не, я строго про то что идёт в дефолтном архиве с компилером Т е то что был, RomanCh (ok), 20:26 , 27-Ноя-18, (83) +1 если бы ты хоть немного разбирался в теме, то знал бы, что гитхаб такое не позво, Аноним (87), 22:35 , 27-Ноя-18, (87) –1 Да что там фреймворки - не каждый коммерческий Линукс озаботился доказательной б, КО (?), 11:15 , 29-Ноя-18, (97) –1 Пишите про пакеты, где нет бэкдора, если таковые конечно остались , Аноним (6), 22:25 , 26-Ноя-18, (6) Мне интересно другое, как отстранившийся от дел автор event-stream так наивно пе, Аноним (10), 22:44 , 26-Ноя-18, (10) +5 // Он где-то подписывал юридически значимый договор с обязательствами так не делать, Онаним (?), 22:49 , 26-Ноя-18, (13) Поэтому мне более интересно как кхм неназываемо кхм решились использова, Онаним (?), 22:53 , 26-Ноя-18, (15) +1   // Потому что они уже использовали сотню таких же на этом проекте и тысячу - на прр, Crazy Alex (ok), 23:04 , 26-Ноя-18, (25) +2   // Ну в общем и получили то, что заслужили Ничего сверху интересного нет , Онаним (?), 23:06 , 26-Ноя-18, (28)   Другие пакеты добавили библиотеку event-stream от известного автора 100 лет в об, Анонимочкин (?), 23:09 , 26-Ноя-18, (31)   // Есть простое правило любой апдейт сорцов сторонней либы, прибитых к собственном, Онаним (?), 23:11 , 26-Ноя-18, (32)   Попробуй в одиночку всё отревьювить Мне например вообще проще микро зависимости, Анонимочкин (?), 23:18 , 26-Ноя-18, (33)   Ну о чём и речь, если не ревьюить - будет засада Иногда лучше вообще никак, , Онаним (?), 23:22 , 26-Ноя-18, (34)   лучше не программировать вы хотели сказать , Аноним (41), 05:36 , 27-Ноя-18, (42)   Ну в общем да Не умеешь - не берись , есть такая фраза из старины , Онаним (?), 08:59 , 27-Ноя-18, (45) +1   В старине ещё ездили на телегах, спали на лавках, избы по чёрному топили, а пита, Аноним (94), 18:06 , 28-Ноя-18, (95) –1   Вы в пролете с таким правилом - сорцы были в порядке Минифицированная версия не, КО (?), 11:17 , 29-Ноя-18, (98) +1   вообще это важное замечаниевсё ещё хуже для мантейнеров , J.L. (?), 16:19 , 04-Дек-18, (104)   вот вроде бы ответ из первых уст https pbs twimg com media Ds8nulwXgAAd4bv jp, Нанобот (ok), 23:03 , 26-Ноя-18, (22) +1 а что он должен был сделать какой тест профпригодности есть для передачи или до, J.L. (?), 12:57 , 27-Ноя-18, (61) +1 Неплохо Новый вызов опенсурцу как поддерживать базу кода невероятного объёма, , Ordu (ok), 01:06 , 27-Ноя-18, (37) +4 // У нормальных проектов, разрабатываемых по нормальным методикам, а не в виде крау, Онаним (?), 09:00 , 27-Ноя-18, (46) +1 // Если проект разработан нормально он не может тянуть 10 000 зависимостей каждая и, Аноним (53), 11:03 , 27-Ноя-18, (53) –1 Нормальные методики в твоём понимании -- это разработанные дедами Откуда тако, Ordu (ok), 11:26 , 27-Ноя-18, (54) –6 // переложить ответственность на никого, отличный способ не страдать , нах (?), 12:15 , 27-Ноя-18, (56) +1 Для некоторых -- да , Ordu (ok), 16:05 , 27-Ноя-18, (74) Нет, я технократ За такие поделки надо редактор от сети отключать и аффтару, и , Онаним (?), 20:32 , 27-Ноя-18, (84) Ну не малолетками же, которые и впрямь ложку в ухо упорно несут Вы и в этом неко, Michael Shigorin (ok), 20:02 , 07-Дек-18, (105) Сказаал модератор форума школоло-эникеев Очень убедительно вышло , Ordu (ok), 16:33 , 08-Дек-18, (107) Любой действительно мыслящий человек понимает, что 171 новое 187 и 171 луч, КГБ СССР (?), 20:49 , 07-Дек-18, (106) +1 Чёт тебя понесло в тривиальщину Умные мысли кончились Да-да Тут целый форум дe, Ordu (ok), 16:41 , 08-Дек-18, (108) Я ещё не отсмеялся, прочитав пафосные рассусоливания миллениала про индивидуальн, КГБ СССР (?), 17:22 , 08-Дек-18, (109) Слишком сложно Книжки надо читать чаще, тогда проблем с пониманием текстов длин, Ordu (ok), 18:19 , 08-Дек-18, (110) Феерический невежда Ещё и хам и графоман - , КГБ СССР (?), 19:32 , 08-Дек-18, (111) Ты так говоришь, будто только сейчас это понял Тупой что ли , Ordu (ok), 20:07 , 08-Дек-18, (112) Кстати обо всех этих эвристиках и байесах, как всегда как на заказ напоролся тут, Ordu (ok), 20:58 , 08-Дек-18, (113) Как обычно - ревьювить все пул-реквесты, не мержить что попало А комитить в мас, trolleybus (?), 09:31 , 27-Ноя-18, (47) +1 // и что вы сделаете с пулреквестом добавляющим зависимость от либы делающей нужно, J.L. (?), 13:05 , 27-Ноя-18, (63) // Да каждый ответить, что либа которая делает непонятно-что , но у которой есть т, КО (?), 16:59 , 27-Ноя-18, (77) пилите антивирус для сабжа , Аноним (48), 10:05 , 27-Ноя-18, (48) успешный стартап только что намайнил свистнул чужие пару десятков btc, и еще с, пох (?), 10:30 , 27-Ноя-18, (51) +2 https ru wikipedia org wiki Предотвращение_утечек_информации, Аноним (39), 03:56 , 27-Ноя-18, (39) // а в реальности оно работает никакили вы сидите в закрытом ящике и пишете целиком, J.L. (?), 13:07 , 27-Ноя-18, (65) Это мне напомнило старую статейку на хабре https habr com company ruvds blog 3, svsd_val (ok), 05:58 , 27-Ноя-18, (43) +3 // веб уже ничто не спасет, Аноним (48), 10:30 , 27-Ноя-18, (50) +1 как же так видь это же репозиторий у которого есть мантейнеры как же такое м, J.L. (?), 12:29 , 27-Ноя-18, (58) Кто все эти люди , Аноним (71), 13:44 , 27-Ноя-18, (71) // Так это не люди Там зависимость на зависимости с зависимостью Ты мог сделать n, НяшМяш (ok), 14:37 , 27-Ноя-18, (73) На зависимостях из NPM можно классный ботнет соорудить , Аноним (75), 16:49 , 27-Ноя-18, (75) а есть там пакет у которого в зависимостях все , ыы (?), 16:57 , 27-Ноя-18, (76) // его еще не плохо было бы впропихнуть в зависимость ко всему , КО (?), 11:19 , 29-Ноя-18, (99) VSCode зависит от event-stream Если ваш мейнтенер или вы собрал его с заражен, Аноним (78), 17:24 , 27-Ноя-18, (78) // бггг с другой стороны - ну крановщик же не хранит свою заначку от жены в кабине , пох (?), 20:12 , 27-Ноя-18, (82) // А вот тут дедка надвое сказала Которая была бы бабкой при определённых условиях, Онаним (?), 20:34 , 27-Ноя-18, (85) DLL hell, version 2 0 Умные учатся на чужих ошибках, простые люди на своих и тол, OldFart (?), 20:58 , 27-Ноя-18, (86) +1 // Тебе бы не мешало поучиться русскому языку , Ananim (?), 08:54 , 28-Ноя-18, (89) // Так я с ним родился, с русским, куда еще больше учить ну а на счет typos, sor, OldFart (?), 17:02 , 28-Ноя-18, (92) DLL hellэто вообще про конфликт зависимостей, ник не оправдали если даже такое н, Аноним (90), 09:03 , 28-Ноя-18, (90) // Название темы Бэкдор в зависимости , отсюда версия 2 раньше конфликт, тепер, OldFart (?), 17:07 , 28-Ноя-18, (93) Интересный тут ср ч развели, конечно Но речь вот о чем Веб-приложения на Node,, Попугай Кеша (?), 09:44 , 29-Ноя-18, (96) // Корень еще в том, что вендоры библиотек не заботятся о выпуске стабильных релизо, Аноним (100), 11:50 , 29-Ноя-18, (100) // Да, тоже дельный совет Можно лочить версию пакета, чтобы случайно так не обнови, Попугай Кеша (?), 12:04 , 29-Ноя-18, (101) NPM да здравствует YARN https yarnpkg com lang en , Aqueelone (?), 12:57 , 03-Дек-18, (103) 1,2,4,6,10,37,39,43,58,71,75,76,78,86,96,103

Сообщения

[Сортировка по времени | RSS]

	15. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от Онаним (?), 26-Ноя-18, 22:53
	Поэтому мне более интересно как кхм... неназываемо... кхм... решились использовать библиотеку первого встречного неизвестного писателя, даже внутрь не заглядывая.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	25. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+2 +/–
	Сообщение от Crazy Alex (ok), 26-Ноя-18, 23:04
	Потому что они уже использовали сотню таких же на этом проекте и тысячу - на прредыдущих. И сходило, потому что на JS по-другому и не выйдет - на любой чих отдельная либа от кого-то нового и незивестного, все ревьюить - времени свой код писать не будет. Бороться с существующими, а не гипотетическими угрозами - это как бы коммерчески оправданный подход, пусть и далёкий от идеализма.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Онаним (?), 26-Ноя-18, 23:06
	Ну в общем и получили то, что заслужили. Ничего сверху интересного нет )
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Анонимочкин (?), 26-Ноя-18, 23:09
	Другие пакеты добавили библиотеку event-stream от известного автора 100 лет в обед. Недавно автор библиотеки передал её на поддержание первому встречному, а тот добавил вредоносный код в качестве новой зависимости. Но в репозитории на github этого нельзя заметить, плохой код находится только в минифицированной версии устанавливаемой из npm.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	32. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Онаним (?), 26-Ноя-18, 23:11
	Есть простое правило: любой апдейт сорцов сторонней либы, прибитых к собственному проекту, должен ревьюится. Если это правило не соблюдать - в следующий раз например все номера кредитных карт ваших клиентов будут у разных людей.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Анонимочкин (?), 26-Ноя-18, 23:18
	Попробуй в одиночку всё отревьювить. Мне например вообще проще микро зависимости вроде всяких лефтпадов не подключать, а добавить пару лишних строк код. Из моих зависимостей оказался только nodemon инфицирован. Но всё проверить не реально.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Онаним (?), 26-Ноя-18, 23:22
	> Попробуй в одиночку всё отревьювить > Из моих зависимостей оказался только nodemon инфицирован :) Ну о чём и речь, если не ревьюить - будет засада. Иногда лучше вообще никак, чем так.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Аноним (41), 27-Ноя-18, 05:36
	лучше не программировать вы хотели сказать?
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от Онаним (?), 27-Ноя-18, 08:59
	Ну в общем да. "Не умеешь - не берись", есть такая фраза из старины.
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	–1 +/–
	Сообщение от Аноним (94), 28-Ноя-18, 18:06
	В старине ещё ездили на телегах, спали на лавках, избы по чёрному топили, а питались тем что сами вырастили и тем, что боженька подаст. Сказать-то ты что хотел?
	Ответить | Правка | Наверх | Cообщить модератору

	98. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от КО (?), 29-Ноя-18, 11:17
	>любой апдейт сорцов сторонней либы Вы в пролете с таким правилом - сорцы были в порядке. Минифицированная версия нет. :)
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	104. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от J.L. (?), 04-Дек-18, 16:19
	>>любой апдейт сорцов сторонней либы > Вы в пролете с таким правилом - сорцы были в порядке. Минифицированная версия нет. :) вообще это важное замечание всё ещё хуже для мантейнеров...
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема