forum.opennet.ru

"Незащищённость NPM к атакам по внедрению вредоносных модулей..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Незащищённость NPM к атакам по внедрению вредоносных модулей..."	+/–
Сообщение от angra (ok), 27-Мрт-16, 03:10
Любопытно, как при таком подходе решается ситуация конфликта версий. Вот некая программа требует десяток модулей конкретной версии, каждый из этих модулей тоже требует конкретных версий других модулей. И есть какой-нибудь очень часто используемый модуль, ну типа isarray или leftpad из предыдущей новости. И вот у тебя в программе есть пятьдесят модулей, каждый из которых привязан к разной версии некого isarray. Что происходит в таком случае? Вопрос хранения и загрузки с сервера решит какой-нибудь vcs, но что происходит в момент исполнения программы? В память загружается пятьдесят разных версий модуля?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Незащищённость NPM к атакам по внедрению вредоносных модулей..., opennews, 26-Мрт-16, 11:25 [смотреть все]

коммитим репо - обновляемся - проверяем что пришло, Аноним, 26-Мрт-16, 11:25 (1) //
- Тут все проще Дистрибутив жидко обкакался И пытается все свалить на разработ, rshadow, 26-Мрт-16, 18:00 (21) //
  - Какой дистрибутив Вернее дистрибутив чего , Аноним, 27-Мрт-16, 19:40 (40)
Все правильно, проекту пора взрослеть , Аноним, 26-Мрт-16, 12:23 (4) //
- Что уж там , проекту пора умирать , Аноним, 26-Мрт-16, 12:58 (6) //
  - нпму в текущем виде действительно надо умереть как можно скорее, иначе ничего но, Аноним, 26-Мрт-16, 16:33 (16)
- На яваскрипте сложно писать большие проекты, поэтому вместо взрослоты - хипстота, Аноним, 27-Мрт-16, 14:06 (36)
Только JS макаки могли додуматься до такого , Аноним, 26-Мрт-16, 13:40 (7) //
- У них там CouchDB без привилегий, можно заливать все что угодно и любых размеров, Аноним, 26-Мрт-16, 13:48 (8)
- если бы не жил в пещере, знал бы что это, на данный момент, распространенная пра, конь, 26-Мрт-16, 13:49 (9) //
  - Ну не знаю, у нас в Java мире везде надо версии указывать Без них не работает , Аноним, 26-Мрт-16, 14:23 (10) //
    - мда в Java где всё идет через коммерческий mavencentral и где тебе с непонятн, _, 26-Мрт-16, 14:49 (13)
      - Чем это отличается от сабжа , mine, 26-Мрт-16, 17:35 (20)
        
        Я сильно не знаком с NPM, хоть и пользовался им, но непонятна ситуация с владель, _, 26-Мрт-16, 19:27 (22)
        
        Чем это отличается от сабжа 2 Запрещены - и ладно, в NPM подобных запретов нет, Аноним, 27-Мрт-16, 01:59 (30)
        но мнение имею Молодец, настоящий адепт cargo-культа Садись, пять , Аноним, 27-Мрт-16, 14:07 (37)
        Т е владельцам NPM ты не доверяешь, а владельцам Гитхаба -- всем сердцем и душо, anonimous, 28-Мрт-16, 12:15 (45)
        Как и с любым другим онлайн-сервисом Хочешь надежности -- проверяй и держи на с, anonimous, 28-Мрт-16, 12:31 (47)
    - Любопытно, как при таком подходе решается ситуация конфликта версий Вот некая п , angra, 27-Мрт-16, 03:10 (31)
      - Не знаю как в голой яве раньше часто в саму jar-ку приложения сразу библиотек, Очередной аноним, 29-Мрт-16, 08:48 (48)
    - это одна из причин по которой жабасофт считается и является убогим говном , Клыкастый, 31-Мрт-16, 14:54 (50)
- Развитие QA, DevOps, и т д и переход из в JS-разработчики делают своё дело, Аноним, 26-Мрт-16, 14:42 (11)
- О да, прибивать гвоздями к минорной версии - лучше, конечно , Crazy Alex, 26-Мрт-16, 15:57 (14) //
  - Зачем же бросаться в крайности О ранжировании не слышали , Wladmis, 26-Мрт-16, 21:52 (24) //
    - Я просто этот Java мир видел вблизи - там обычно именно миноры гвоздями и прибив, Crazy Alex, 27-Мрт-16, 00:23 (29)
О, ну неужели они всё-таки это заметили , Аноним, 26-Мрт-16, 14:49 (12)
Ну вот обязательно надо было собрать все мыслимые грабли На чужом примере учить, Crazy Alex, 26-Мрт-16, 15:58 (15) //
- И ряд немыслимых типа https www youtube com watch v 1TioQx2jVN0 Это удел му, Michael Shigorin, 27-Мрт-16, 17:27 (39)
Кто то говорил, что на js меньше ошибок на кол-во кода Как может быть меньше тог, Аноним, 26-Мрт-16, 16:41 (19) //
- Выгнали с работы в кризис и отдали набивание иксымелей для жабы индусу-аутсорсер, Аноним, 26-Мрт-16, 22:25 (27)
народ, хорош шлак изливать все такие маркетологи, а кто код писать будет ну хо, kleem_head, 26-Мрт-16, 21:57 (25) //
- проще некуда запилить новый нпм с ссл, гитом, подписями и без шавок у руля , Аноним, 26-Мрт-16, 23:03 (28) //
  - При чем тут SSL Кто будет проверять соответсвие подписи и личности автора , Аноним, 27-Мрт-16, 03:33 (32) //
    - Храните свои подписи в блокчейне и будет вам счастье , Наме, 27-Мрт-16, 10:04 (34)
      - Счастья будет много В биткоине более 30Гб уже , Аноним, 27-Мрт-16, 14:23 (38)
    - Поинтересуйтесь, как этот вопрос решается в различных дистрибутивах Linux Напри, agent_007, 28-Мрт-16, 12:23 (46)
  - на питоне , Аноним, 28-Мрт-16, 10:38 (44) //
    - Который не тормозит еще больше чем js , Аноним, 30-Мрт-16, 09:41 (49)
пора на http jspm io сваливать, Вася, 26-Мрт-16, 22:21 (26) //
- а там копирастический червь скачается , Аноним, 28-Мрт-16, 08:16 (43)
Как они умудрились до сих пор это не включить Я не представляю, как можно вообщ, BlackRaven86, 27-Мрт-16, 13:11 (35) //
- Легко и просто захерачиваешь node_modules в свн гит и никаких тебе ужасов с npm, Anonimous, 27-Мрт-16, 22:01 (41) //
  - независишь от интернета авторов, выпиливающих свои модули политиков, блокирующ, Anonimous, 27-Мрт-16, 22:05 (42)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру