forum.opennet.ru

"Бэкдор в зависимости к event-stream, популярной библиотеке к..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

"Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
Сообщение от opennews (?), 26-Ноя-18, 21:55
Разработчики библиотеки event-stream (https://github.com/dominictarr/event-stream/), около 2 миллионов копий которой еженедельно загружается (https://www.npmjs.com/package/event-stream) из репозитория NPM и которая используется во многих крупных проектах, предупредили (https://github.com/dominictarr/event-stream/issues/116) разработчиков о выявлении бэкдора в одной из своих зависимостей. Проблема выявлена в пакете flatmap-stream, в котором под видом тестового набора данных в одной из переменных передавался вредоносный код (https://github.com/dominictarr/event-stream/issues/116#issue...), предназначенный для кражи крипотвалюты и проведения целевой атаки на один из связанных с криптовалютой сервисов. В частности, вредоносный код мог использоваться (https://github.com/bitpay/copay/issues/9346) для кражи криптовалюты из кошельков на базе платформы Copay (https://github.com/bitpay/copay). Во вредоносном коде также выполнялись манипуляции с файлами, используемыми в библиотеке bitcore-wallet-client (https://github.com/bitpay/bitcore-wallet-client). Не исключено, что атака может охватывать и другие связанные с криптовалютой приложения на Node.js, которые так или иначе связаны зависимостями с event-stream. URL: https://news.ycombinator.com/item?id=18534392 Новость: https://www.opennet.ru/opennews/art.shtml?num=49665
Ответить \| Правка \| Cообщить модератору

Оглавление

Бэкдор в зависимости к event-stream, популярной библиотеке к..., opennews, 26-Ноя-18, 21:55 [смотреть все]

НИКОГДА такого не было и вот опять, интеллигентный разработчик, 26-Ноя-18, 21:55 (1) //
- помнити об npm leftad , пох, 26-Ноя-18, 22:15 (3) //
  - А что такого с left-pad , Аноним, 27-Ноя-18, 12:12 (55)
- Samba она такая , Ydro, 27-Ноя-18, 19:03 (79)
2 миллиона 7 N кхм девопсиков, безоглядно доверяющих мейнтейнить куски, Онаним, 26-Ноя-18, 21:55 (2) //
- два миллиона - это только у тех кто не очень доверяли и зачем-то проверили стоты, пох, 26-Ноя-18, 22:17 (5) //
  - За них композитор эту зависимость проверил А ревьюить некому, лень, и вообще не, Онаним, 26-Ноя-18, 22:50 (14)
- Я правильно понимаю, что ты вообще никакой сторонний код не используешь и пишешь, Аноним, 28-Ноя-18, 18:04 (94)
Смех смехом, но сильно ли отличаются в этом отношении от ноды другие веб-фреймво, Аноним, 26-Ноя-18, 22:17 (4) //
- А дело не в ноде Ручки-то - вот они, изящно изогнутые Ревью изменений сторонне, Онаним, 26-Ноя-18, 22:26 (7) //
  - каких таких изменений Оно ж с самого начала там лежало ревью ВСЕГО стороннего, пох, 26-Ноя-18, 22:37 (9) //
    - Как минимум - ревью всех изменений стороннего кода от условно-trusted версии воо, Онаним, 26-Ноя-18, 22:47 (11)
      - ну вы же уже всосали, не глядя, неизвестный код немалого объема - а теперь готов, пох, 26-Ноя-18, 23:00 (17)
        
        Дык и я о том Ну на самом деле не совсем так, кроме фич бывают ещё багфиксы Вп, Онаним, 26-Ноя-18, 23:03 (21)
        Если я вас правильно понял, то нужно скопировать модуль к себе, жестко заморозит, Василий Топоров, 26-Ноя-18, 23:33 (35)
        
        причем не зная заранее, ни какая версия сегодня модно, ни тем более - что еще он, пох, 27-Ноя-18, 10:27 (49)
        
        Это вы про C boost сейчас , Аноним, 26-Ноя-18, 23:39 (36)
        
        который из трех ой, нет, уже четырех установленных справедливости ради - boo, пох, 27-Ноя-18, 23:00 (88)
        
        Справедливости ради и leftpad не нужен, т к есть нативный метод String prototyp, Аноним, 28-Ноя-18, 09:24 (91)
        
        а баги в чужих либах вы как фиксите или у вас zip so написан через libgodallkno, J.L., 27-Ноя-18, 12:43 (59)
        
        никак, если либа принята в продакшн - она прошла тестирование, в том виде, в кот, пох, 27-Ноя-18, 20:04 (80)
      - И нет - юнит-тестами вы все возможные комбинации звездецов в сторонних либах не , Онаним, 26-Ноя-18, 23:01 (18)
        
        конечно нет И потом - нахрена мне юнит-тесты ЧУЖИХ либ Я их не для того подкл, пох, 26-Ноя-18, 23:04 (24)
        
        Угу, я именно про юнит-тесты собственных модулей, завязанных на чужие либы В ли, Онаним, 26-Ноя-18, 23:08 (29)
      - Да никто не ревьюит второй уровень вложенности То, что непосредственно проект т, Crazy Alex, 26-Ноя-18, 23:01 (20)
        
        Хера себе То есть можно горе-деплоерам rm -rf подтянуть в комплекте, и они не, Онаним, 26-Ноя-18, 23:03 (23)
        
        так вот, только ж что и спалили, правда, но это скорее случайность , пох, 26-Ноя-18, 23:05 (26)
        
        Да уж, сколько там ещё такого добра, остаётся только гадать , Онаним, 26-Ноя-18, 23:09 (30)
      - Но есть ньюанс, хорошее ревью кода обходится дороже написания кода А поверхно, КО, 27-Ноя-18, 12:16 (57)
    - И нет, с самого начала оно там не лежало Why was right9ctrl given access to th, Онаним, 26-Ноя-18, 22:56 (16)
      - а что, не нужно было я -то имел в виду, что в этом самом flatmap оно лежало , пох, 26-Ноя-18, 23:01 (19)
        
        Ну ревью-то в любом случае выявило бы новую зависимость, к которой нужно отнести, Онаним, 26-Ноя-18, 23:05 (27)
  - В ноде дело В ней невозможно программировать без установки кучи библиотек Да ко, Аноним, 27-Ноя-18, 05:22 (41)
- а причем тут - веп-фреймворки помимо ноды которая ни разу не веб и не фреймвор, пох, 26-Ноя-18, 22:33 (8) //
  - Да и композерное угрёбище в похе то есть в пыхе - не отстаёт , Онаним, 26-Ноя-18, 22:49 (12)
  - На самом деле он реально хорош тем, что стандартного официального набора либ дос, RomanCh, 27-Ноя-18, 13:11 (67) //
    - вопрос тогда, что считать стандартным набором - вот все вот это, что оно понат, пох, 27-Ноя-18, 20:09 (81)
      - Не не, я строго про то что идёт в дефолтном архиве с компилером Т е то что был, RomanCh, 27-Ноя-18, 20:26 (83)
  - если бы ты хоть немного разбирался в теме, то знал бы, что гитхаб такое не позво, Аноним, 27-Ноя-18, 22:35 (87)
- Да что там фреймворки - не каждый коммерческий Линукс озаботился доказательной б, КО, 29-Ноя-18, 11:15 (97)
Пишите про пакеты, где нет бэкдора, если таковые конечно остались , Аноним, 26-Ноя-18, 22:25 (6)
Мне интересно другое, как отстранившийся от дел автор event-stream так наивно пе, Аноним, 26-Ноя-18, 22:44 (10) //
- Он где-то подписывал юридически значимый договор с обязательствами так не делать, Онаним, 26-Ноя-18, 22:49 (13)
- Поэтому мне более интересно как кхм неназываемо кхм решились использова, Онаним, 26-Ноя-18, 22:53 (15) //
  - Потому что они уже использовали сотню таких же на этом проекте и тысячу - на прр, Crazy Alex, 26-Ноя-18, 23:04 (25) //
    - Ну в общем и получили то, что заслужили Ничего сверху интересного нет , Онаним, 26-Ноя-18, 23:06 (28)
  - Другие пакеты добавили библиотеку event-stream от известного автора 100 лет в об, Анонимочкин, 26-Ноя-18, 23:09 (31) //
    - Есть простое правило любой апдейт сорцов сторонней либы, прибитых к собственном, Онаним, 26-Ноя-18, 23:11 (32)
      - Попробуй в одиночку всё отревьювить Мне например вообще проще микро зависимости, Анонимочкин, 26-Ноя-18, 23:18 (33)
        
        Ну о чём и речь, если не ревьюить - будет засада Иногда лучше вообще никак, , Онаним, 26-Ноя-18, 23:22 (34)
        
        лучше не программировать вы хотели сказать , Аноним, 27-Ноя-18, 05:36 (42)
        
        Ну в общем да Не умеешь - не берись , есть такая фраза из старины , Онаним, 27-Ноя-18, 08:59 (45)
        
        В старине ещё ездили на телегах, спали на лавках, избы по чёрному топили, а пита, Аноним, 28-Ноя-18, 18:06 (95)
      - Вы в пролете с таким правилом - сорцы были в порядке Минифицированная версия не, КО, 29-Ноя-18, 11:17 (98)
        
        вообще это важное замечаниевсё ещё хуже для мантейнеров , J.L., 04-Дек-18, 16:19 (104)
- вот вроде бы ответ из первых уст https pbs twimg com media Ds8nulwXgAAd4bv jp, Нанобот, 26-Ноя-18, 23:03 (22)
- а что он должен был сделать какой тест профпригодности есть для передачи или до, J.L., 27-Ноя-18, 12:57 (61)
Неплохо Новый вызов опенсурцу как поддерживать базу кода невероятного объёма, , Ordu, 27-Ноя-18, 01:06 (37) //
- У нормальных проектов, разрабатываемых по нормальным методикам, а не в виде крау, Онаним, 27-Ноя-18, 09:00 (46) //
  - Если проект разработан нормально он не может тянуть 10 000 зависимостей каждая и, Аноним, 27-Ноя-18, 11:03 (53)
  - Нормальные методики в твоём понимании -- это разработанные дедами Откуда тако, Ordu, 27-Ноя-18, 11:26 (54) //
    - переложить ответственность на никого, отличный способ не страдать , нах, 27-Ноя-18, 12:15 (56)
      - Для некоторых -- да , Ordu, 27-Ноя-18, 16:05 (74)
    - Нет, я технократ За такие поделки надо редактор от сети отключать и аффтару, и , Онаним, 27-Ноя-18, 20:32 (84)
    - Ну не малолетками же, которые и впрямь ложку в ухо упорно несут Вы и в этом неко, Michael Shigorin, 07-Дек-18, 20:02 (105)
      - Сказаал модератор форума школоло-эникеев Очень убедительно вышло , Ordu, 08-Дек-18, 16:33 (107)
    - Любой действительно мыслящий человек понимает, что 171 новое 187 и 171 луч, КГБ СССР, 07-Дек-18, 20:49 (106)
      - Чёт тебя понесло в тривиальщину Умные мысли кончились Да-да Тут целый форум дe, Ordu, 08-Дек-18, 16:41 (108)
        
        Я ещё не отсмеялся, прочитав пафосные рассусоливания миллениала про индивидуальн, КГБ СССР, 08-Дек-18, 17:22 (109)
        
        Слишком сложно Книжки надо читать чаще, тогда проблем с пониманием текстов длин, Ordu, 08-Дек-18, 18:19 (110)
        
        Феерический невежда Ещё и хам и графоман - , КГБ СССР, 08-Дек-18, 19:32 (111)
        
        Ты так говоришь, будто только сейчас это понял Тупой что ли , Ordu, 08-Дек-18, 20:07 (112)
        Кстати обо всех этих эвристиках и байесах, как всегда как на заказ напоролся тут, Ordu, 08-Дек-18, 20:58 (113)
- Как обычно - ревьювить все пул-реквесты, не мержить что попало А комитить в мас, trolleybus, 27-Ноя-18, 09:31 (47) //
  - и что вы сделаете с пулреквестом добавляющим зависимость от либы делающей нужно, J.L., 27-Ноя-18, 13:05 (63) //
    - Да каждый ответить, что либа которая делает непонятно-что , но у которой есть т, КО, 27-Ноя-18, 16:59 (77)
- пилите антивирус для сабжа , Аноним, 27-Ноя-18, 10:05 (48)
- успешный стартап только что намайнил свистнул чужие пару десятков btc, и еще с, пох, 27-Ноя-18, 10:30 (51)
https ru wikipedia org wiki Предотвращение_утечек_информации, Аноним, 27-Ноя-18, 03:56 (39) //
- а в реальности оно работает никакили вы сидите в закрытом ящике и пишете целиком, J.L., 27-Ноя-18, 13:07 (65)
Это мне напомнило старую статейку на хабре https habr com company ruvds blog 3, svsd_val, 27-Ноя-18, 05:58 (43) //
- веб уже ничто не спасет, Аноним, 27-Ноя-18, 10:30 (50)
как же так видь это же репозиторий у которого есть мантейнеры как же такое м, J.L., 27-Ноя-18, 12:29 (58)
Кто все эти люди , Аноним, 27-Ноя-18, 13:44 (71) //
- Так это не люди Там зависимость на зависимости с зависимостью Ты мог сделать n, НяшМяш, 27-Ноя-18, 14:37 (73)
На зависимостях из NPM можно классный ботнет соорудить , Аноним, 27-Ноя-18, 16:49 (75)
а есть там пакет у которого в зависимостях все , ыы, 27-Ноя-18, 16:57 (76) //
- его еще не плохо было бы впропихнуть в зависимость ко всему , КО, 29-Ноя-18, 11:19 (99)
VSCode зависит от event-stream Если ваш мейнтенер или вы собрал его с заражен, Аноним, 27-Ноя-18, 17:24 (78) //
- бггг с другой стороны - ну крановщик же не хранит свою заначку от жены в кабине , пох, 27-Ноя-18, 20:12 (82) //
  - А вот тут дедка надвое сказала Которая была бы бабкой при определённых условиях, Онаним, 27-Ноя-18, 20:34 (85)
DLL hell, version 2 0 Умные учатся на чужих ошибках, простые люди на своих и тол, OldFart, 27-Ноя-18, 20:58 (86) //
- Тебе бы не мешало поучиться русскому языку , Ananim, 28-Ноя-18, 08:54 (89) //
  - Так я с ним родился, с русским, куда еще больше учить ну а на счет typos, sor, OldFart, 28-Ноя-18, 17:02 (92)
- DLL hellэто вообще про конфликт зависимостей, ник не оправдали если даже такое н, Аноним, 28-Ноя-18, 09:03 (90) //
  - Название темы Бэкдор в зависимости , отсюда версия 2 раньше конфликт, тепер, OldFart, 28-Ноя-18, 17:07 (93)
Интересный тут ср ч развели, конечно Но речь вот о чем Веб-приложения на Node,, Попугай Кеша, 29-Ноя-18, 09:44 (96) //
- Корень еще в том, что вендоры библиотек не заботятся о выпуске стабильных релизо, Аноним, 29-Ноя-18, 11:50 (100) //
  - Да, тоже дельный совет Можно лочить версию пакета, чтобы случайно так не обнови, Попугай Кеша, 29-Ноя-18, 12:04 (101)
NPM да здравствует YARN https yarnpkg com lang en , Aqueelone, 03-Дек-18, 12:57 (103)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру