The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]



"Сбой антиспам-системы привёл к коллапсу в репозитории NPM"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от opennews (??) on 12-Янв-18, 10:54 
В репозитории NPM произошёл (http://blog.npmjs.org/post/169582189317/incident-report-npm-...) инцидент, напоминающий произошедшую в 2016 году историю (https://www.opennet.ru/opennews/art.shtml?num=44104) с модулем left-pad, удаление которого привело к неработоспособности многих проектов из-за потери зависимости. На этот раз причиной проблем стала система автоматизированной борьбы со спамом, из-за которой по ошибке были удалены пользователь floatdrop (https://www.npmjs.com/~floatdrop) и 102 разработанных им модуля.


Многие из заблокированных модулей пользовались популярностью и использовались в качестве зависимостей в других модулях и приложениях. Недоступность данных модулей привела к каскадному обрушению зависимостей и невозможности (https://github.com/npm/registry/issues/255) установить или обновить тысячи пакетов в NPM. Например, модуль require-from-string (https://www.npmjs.com/package/require-from-string), содержащий всего 25 строк кода (https://github.com/floatdrop/require-from-string/blob/master...), насчитывает более 4.5 млн загрузок в месяц.

Разбор причин ложного срабатывания антиспам-системы показал, что незадолго до инцидента один из спамеров разместил вредоносный модуль, в который для прикрытия скопировал файл README  из легитимного пакета timed-out, принадлежащего пользователю floatdrop. Система распознала вредоносный модуль, но из-за совпадения файлов README посчитала пользователя floatdrop причастным к спаму. Отвечающий за разбор спама персонал халатно отнёсся к своим обязанностям и не разобравшись в сути предупреждения от антиспам-системы подтвердил блокировку учётной записи floatdrop и удалил все его модули из репозитория.


Проблема сразу дала о себе знать и персонал оперативно приступил к устранению неполадок. В течение трёх часов удалось полностью восстановить состояние репозитория. Для предотвращения подобных ситуаций в будущем была введена 24-часовая задержка републикации удалённых пакетов (для защиты от незаметного размещения вредоносных пакетов вместо удалённых), выработаны новые рекомендации и правила по реагированию на проблемы, улучшен инструментарий для борьбы со спамом и добавлены средства для оперативного восстановления ошибочно удалённых пакетов.


URL: http://blog.npmjs.org/post/169582189317/incident-report-npm-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=47891

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +5 +/
Сообщение от Аноним (??) on 12-Янв-18, 10:54 
> напоминающий произошедшую в 2016 году историю с модулем left-pad

Наконец то ходь кто-то спомнил про npm leftpad...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +6 +/
Сообщение от Zenitur (ok) on 12-Янв-18, 10:57 
Подскажите живущему в 2005, какие интересные проги есть на node.js?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +7 +/
Сообщение от Аноним (??) on 12-Янв-18, 11:35 
http://left-pad.io/
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от IB on 12-Янв-18, 11:42 
peerflix
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

22. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 12-Янв-18, 12:15 
https://github.com/icefapper/offdroid
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

26. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +33 +/
Сообщение от Филимон Опрометчивый on 12-Янв-18, 12:25 
Чувак, покупай биткойны!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

37. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –3 +/
Сообщение от Аноним (??) on 12-Янв-18, 14:06 
Да. Верно!
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

63. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –2 +/
Сообщение от Дегенератор on 12-Янв-18, 16:38 
Хоть один адекватный комментарий!
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

69. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +2 +/
Сообщение от ползкрокодил on 12-Янв-18, 17:21 
У кого покупать? Майнить надо! А лучше выложить реализацию раньше Накамото.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +14 +/
Сообщение от Аноним (??) on 12-Янв-18, 12:48 
> Подскажите живущему в 2005, какие интересные проги есть на node.js?

Чувак, прочитай это и сделай как я написал, обогатишься и прославишься:
1. скоро (или уже) у вас появится браузер гуглохром. выковыряй их него потроха, ответственные за clients-side (js, css, html). на это уйдёт наверное несколько месяцев, но время у тебя есть. автоматизируй этот процесс, чтобы при выходе новой версии хрома не тратить на это много времени (так как версии клепаться со временем будут всё чаще).
2. запакуй их в один архив с последней версией nodejs.
3. назови это Electron, объяви это проектом для создания десктоп-приложений. сделай демку, какой-нибудь helloworld. Будет тормозить и жрать память как не в себя, но не переживай: в наше время все уже привыкли к тормозам и ничего не заметят, а памяти если что ещё докупят.
4. сделай для него сайт. основными особенностями должны быть: на сайте должна быть только одна страница (главная), размер шрифта не меньше 18 (можешь просто сделать такой размер, чтобы было комфортно читать, потом нажать три раза Ctrl-+ и захардкодить в css получившийся размер).
5. создай на гитхабе аккаунт electron, в нём - репозиторий electron (если будут заняты, используй electronjs). а чтобы защититься от киберсквоттеров, зарегай домен electron.org (если уже занят, подойдёт electroljs.org, также популярны домены в зоне io, можешь попробовать какой-нибудь electron.io).
6. в начале 2013 года убирай с сайта robots.txt и готовься к наплыву посетителей и пользователей этой штуки.

P.S. Должен предостеречь, что с самого начала технически подкованные люди будут тебя ненавидеть за это, так что решай сам, стоит ли оно того: стоит ли ненависть тысяч восхищения миллионов.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

34. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +30 +/
Сообщение от anonymous_coprophagus on 12-Янв-18, 13:28 
Предупреди всех, чтобы не брали интел!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

57. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +6 +/
Сообщение от Аноним (??) on 12-Янв-18, 15:53 
ЫЫЫ!!! Коммент года! :D
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

96. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 12-Янв-18, 22:27 
353 дня впереди - то ли ещё будет!
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

60. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +2 +/
Сообщение от Виталик (??) on 12-Янв-18, 16:26 
Если речь про десктоп проги она всего 1: визуал студия код от майкрософт (хейтеры будут хейтить, но  это не поменяет факт что редактор получился хорошим).
Остальные проги на электроне глючные и неудачные, но стоит отметить брейв (браузер от основателя мозилы и создателя жаваскрипт которого оттудавыгнали за то что он голосовал против гей браков) и  дискорд (по странное причине популярный крайне глючный мессенджер и войс чат).
Так же много всяких консольных утилит для разработки сайтов написано на ноде.
Но вообще стоит так же отметить что хейтеры ноды правы в одном: большинство нодежс разработчиков пофиг на секурность, соблюдение приватности пользователей их приложений, включение проприетарных модулей и пр. В той же визуал студии телеметрия слалась даже будучи отключенной и так бы дальше и слалась бы если бы какой-то параноик не просканировал трафик и не поднял шум.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

62. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +3 +/
Сообщение от arisu (ok) on 12-Янв-18, 16:38 
визуал студия. хороший редактор. дальше можно не читать, всё равно чушь написана.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

64. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Виталик (??) on 12-Янв-18, 16:41 
Речь не про их ИДЕ которой нет на линукс, а про https://github.com/Microsoft/vscode
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

67. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от arisu (ok) on 12-Янв-18, 16:50 
то есть, ты решил вообще себя зарыть. воистину: не надо мешать людям говорить, и они сами себя спустят под днище.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

79. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 12-Янв-18, 19:12 
Ну там реально всего одна известная проблема, реализация мигания курсора потребляла 70% CPU, а в остальном — хороший редактор же.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

82. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +2 +/
Сообщение от arisu (ok) on 12-Янв-18, 19:18 
> Ну там реально всего одна известная проблема

…двигатель браузера под капотом.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

83. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от arisu (ok) on 12-Янв-18, 19:25 
p.s.: когда мне надоел тот прискорбный катаклизм, который я наблюдаю в редакторах, я таки сделал себе свой. который жуёт sql-дамп на 200 мегабайт и полностью его расцвечивает за ~300 миллисекунд, сжирая при этом около 500 мб памяти. обновлённая версия, которая в процессе, будет делать это за примерно 500 миллисекунд, но жрать примерно 250 мб памяти, и будет полностью лишена проблемы фрагментации блоков. вот это -- хороший редактор.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

87. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от и полностью его расцвечивает on 12-Янв-18, 20:00 
> который жуёт sql-дамп на 200 мегабайт и полностью его расцвечивает

*, ты читать его собрался? используй grep и не и*и себе и другим моск

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

88. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –1 +/
Сообщение от arisu (ok) on 12-Янв-18, 20:05 
а вот это у нас поколение младое прорезалось. думать не умеет, код делать не умеет, но — орёл!
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

89. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +1 +/
Сообщение от Гроздь on 12-Янв-18, 20:25 
> p.s.: когда мне надоел тот прискорбный катаклизм, который я наблюдаю в редакторах,
> я таки сделал себе свой. который жуёт sql-дамп на 200 мегабайт

попробуй вкурить acme из plan9port - весчь! https://github.com/evbogdanov/acme быстрый старт, http://www.mostlymaths.net/2013/03/extensibility-programming...
размер файлов неважен

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

90. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +1 +/
Сообщение от arisu (ok) on 12-Янв-18, 20:35 
мне он идеологически не нравится.
Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

91. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Гроздь on 12-Янв-18, 20:41 
> мне он идеологически не нравится.

есть клоны с текстовым режимом и емаксовыми кейбиндингами

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

92. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +1 +/
Сообщение от arisu (ok) on 12-Янв-18, 20:46 
>> мне он идеологически не нравится.
> есть клоны с текстовым режимом и емаксовыми кейбиндингами

но зачем это, если у меня уже есть свой редактор, который работает именно так, как мне удобно? к тому же я привык к хоткеям из mcedit. ;-)

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

93. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Гроздь on 12-Янв-18, 20:55 
> но зачем это, если у меня уже есть свой редактор, который работает
> именно так, как мне удобно? к тому же я привык к
> хоткеям из mcedit. ;-)

потому что  это довольно накладно
>сжирая при этом около 500 мб памяти

однако, если тебя все устраивает, то меня и тем более :-)

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

94. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +2 +/
Сообщение от arisu (ok) on 12-Янв-18, 21:06 
> потому что  это довольно накладно
>>сжирая при этом около 500 мб памяти

~x2.5 памяти на файл, с полным кэшированием раскраски? да нет, не накладно — плата за скорость. очевидно, что это не штатный режим работы, а тест на жирном файле. запихни туда 100 кб файла -- будет примерно 300 кб памяти съедено. вполне приемлемо. хотя и я сделаю меньше, потому что мне такая скорость оказалась не нужна.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

99. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 13-Янв-18, 00:03 
Зачем тебе полностью читать файл в память? Или у тебя такой большой экран, что целиком весь дамп вмещает?
Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

100. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от arisu (ok) on 13-Янв-18, 00:05 
затем, что если я захочу медленный редактор, то я знаю, где скачать какое‐нибудь хипсторское гуано.
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

109. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 13-Янв-18, 14:17 
> затем, что если я захочу медленный редактор, то я знаю, где скачать
> какое‐нибудь хипсторское гуано.

Медленный, как vim?

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

110. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –1 +/
Сообщение от arisu (ok) on 13-Янв-18, 14:56 
> Медленный, как vim?

это ты сейчас решил пошутить на тему скорости вима? грешно убогих пинать: как может — так и работает.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

115. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 13-Янв-18, 20:52 
> это ты сейчас решил пошутить на тему скорости вима?

Не угадал. Вторая попытка.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

116. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от arisu (ok) on 13-Янв-18, 20:54 
а, ты не шутил, ты просто не видел быстрых редакторов. ну, бывает. не отчаивайся: может, тебе ещё повезёт.
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

102. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от XoRe (ok) on 13-Янв-18, 02:19 
> Зачем тебе полностью читать файл в память?

Ctrl+F и слушаешь, как винт поскрипывает.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

108. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 13-Янв-18, 14:10 
Чтобы винт не поскрипывал, есть дисковый кеш.
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

111. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –1 +/
Сообщение от arisu (ok) on 13-Янв-18, 14:57 
> Чтобы винт не поскрипывал, есть дисковый кеш.

как хорошо, что когда вы войдёте в полную силу — я уже сдохну.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

122. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от XoRe (ok) on 15-Янв-18, 18:18 
> Чтобы винт не поскрипывал, есть дисковый кеш.

Если вы про кеш самого диска на X мб, то файл туда как попадет, так и выпадет (если ещё уместится).
А если вы про VFS, то пока файл попадет туда полностью, винт будет поскрипывать, а приложение ждать.
И потом оно оттуда может выпасть, если на компьютере что-то ещё делается.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

112. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 13-Янв-18, 16:50 
так это надо тоже суметь ;)
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

4. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +5 +/
Сообщение от Аноним (??) on 12-Янв-18, 11:00 
И никто в сообществе жепоскриптеров так и не подумал за всё это время плюнуть на криворуких даунов из npmjs.org? Это печально.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +6 +/
Сообщение от A.Stahl (ok) on 12-Янв-18, 11:07 
Видимо удобство перевешивает периодические проблемы.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +2 +/
Сообщение от Аноним (??) on 12-Янв-18, 11:08 
Криворукий скорее тот, кто вместо вставки 30 строк кода цепляет отдельный модуль. Самое интересное, жизнь таких модулей в несколько строк кипит https://github.com/floatdrop/require-from-string/releases, выходят новые версии и т.п. хотя в код изменения не вносятся,  а так сопутствующие файлы правят.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +1 +/
Сообщение от mrd (??) on 12-Янв-18, 11:26 
Та страница показывает последний коммит, а не разницу между релизами.
Вот например https://github.com/floatdrop/require-from-string/compare/v2....
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

40. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 12-Янв-18, 14:15 
Да пофиг сколько там строчек кода. Плохо - что даже эти пару строчек кода никем не валидируются, да и подвержены поломке по вине пакетного менеджера.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

105. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 13-Янв-18, 11:14 
> жепоскриптеров
> подумал

/0

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +5 +/
Сообщение от X4asd (ok) on 12-Янв-18, 11:19 
> была введена 24-часовая задержка републикации удалённых пакетов (для защиты от незаметного размещения вредоносных пакетов вместо удалённых)

они там реально идиоты?

почему 24 часа, а не скажем 365 дней?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +6 +/
Сообщение от Аноним (??) on 12-Янв-18, 11:56 
>они там реально идиоты?

с точки зрения обычного человека, идиоты. С точки зрения современного человека, альтернативные гении.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

39. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 12-Янв-18, 14:10 
Нужно блочить навсегда.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

42. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +1 +/
Сообщение от Аноним (??) on 12-Янв-18, 14:23 
Меня больше интересует, почему этого не сделали два года назад.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

71. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 12-Янв-18, 17:29 
npm это сброище модулей для node.js, >>> ,js <<<
собственно потому они и в этот раз сделали всего 24 часа, вместо вечной блокировки имени.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

113. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 13-Янв-18, 16:51 
>> была введена 24-часовая задержка републикации удалённых пакетов (для защиты от незаметного размещения вредоносных пакетов вместо удалённых)
> они там реально идиоты?
> почему 24 часа, а не скажем 365 дней?

просто от них ничего не зависит ;) поэтому они должны страдать ;)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +1 +/
Сообщение от Аноним (??) on 12-Янв-18, 11:21 
При удалении gmail логин в системе деактивируется навсегда и никогда не будет свободным.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

80. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +4 +/
Сообщение от Аноним (??) on 12-Янв-18, 19:15 
> При удалении gmail логин в системе деактивируется навсегда и никогда не будет
> свободным.

А номер телефона через полгода выдадут другому человеку.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +21 +/
Сообщение от Аноним (??) on 12-Янв-18, 11:27 
Полон опасностей NPM-мирок
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –1 +/
Сообщение от Аноним (??) on 12-Янв-18, 12:03 
обиженные похапешники теперь будут совать это под каждой новостью о любом языке?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

27. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +1 +/
Сообщение от анонимус (??) on 12-Янв-18, 12:31 
А похапешники тут при чем? У них с композером такого не происходит. И lock файлы там были с самого начала, а не с 5 версии, и название вендора в имени пакетов тоже, а не как в npm кто-то с вендором в префиксе, кто-то без.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от vitalif (ok) on 12-Янв-18, 13:21 
...и композер нафек не нужен, т.к а) в пхп почти все и так встроено б) если такое количество зависимостей, как обычно в node проектах, засунуть в пхп, оно какнет.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

16. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +4 +/
Сообщение от анон on 12-Янв-18, 11:39 
хех, недавно на медиуме была статья на эту тема, эпичное чтиво, рекомендую:

https://hackernoon.com/im-harvesting-credit-card-numbers-and...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +1 +/
Сообщение от Crazy Alex (ok) on 12-Янв-18, 15:22 
да, достойно
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

114. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 13-Янв-18, 17:52 
> хех, недавно на медиуме была статья на эту тема, эпичное чтиво, рекомендую:
> https://hackernoon.com/im-harvesting-credit-card-numbers-and...

da zabavno :D


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

118. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от User (??) on 14-Янв-18, 10:42 
Перевод на хабре
https://m.habrahabr.ru/company/ruvds/blog/346442/
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

24. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +1 +/
Сообщение от anomymous on 12-Янв-18, 12:20 
Ещё раз: бездумный депенденс на хипстерские репы - зло. Только статическая сборка, причём каждое обновление библиотек должно проходить ревью.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от anomymous on 12-Янв-18, 12:21 
И regression testing, да.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

97. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –5 +/
Сообщение от Michael Shigorin email(ok) on 12-Янв-18, 23:27 
> И regression testing, да.

Прочитал сперва как "aggression testing" -- задумался про defensive programming...

Но вообще да, агрессия в виде халатности с правильным битиком (или сколько там у них занимает отметка о правах) -- это поди ж ещё предусмотри.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +2 +/
Сообщение от RobotsCantPoop on 12-Янв-18, 12:34 
Ага, а потом начнут орать про бюрократию, "совок" и про то что "инноватора" ни за что завернули эти "закостенелые политруки".
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

55. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 12-Янв-18, 15:43 
Сплю и вижу статически собранный дистрибутив ГНУ+Линукс с ревью и тестами на регрессии. И обновления системы потому, что в glibc пропатчили какой-то незначительный минорный баг, проявляющийся на архитектуре с 3,5 пользователей.

Хейтеры такие хейтеры. Не нравится nodejs/C/Rust/мамка анона — не пользуйся, делов-то? Вот уж воистину, нет большего гадюшника, чем околоайтишный форум.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

65. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –1 +/
Сообщение от amonymous on 12-Янв-18, 16:44 
RHEL так и собирается, а что? Да и почти любой бинарный дистр GNU/Linux. Под статической сборкой имеется в виду не статическая линковка, а именно что сборка проекта вместе с библиотеками, которая по желанию левой задней ноги третьих лиц не изменяется.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

75. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –2 +/
Сообщение от Аноним (??) on 12-Янв-18, 18:05 
Начинаются манёвры. Под статической сборкой что-то внезапно понимается что-то совершенно не то, что принято понимать.

RHEL является RHEL'ом потому, что там есть (достаточно) чёткий процесс, которого придерживаются при разработке. Но изначально код они берут в точно таких же публичных репозиториях, что и все. Ты же не думаешь, что они там свой собственный nodejs командой секретных клонов Поттеринга пишут?

Как бы то ни было, ошибки случаются. Где-то чаще, где-то реже, но они неизбежны. Перефразируя Жеглова, качество сервиса определяется не отсутствием багов, а умением администрации их обезвреживать.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

98. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –3 +/
Сообщение от Michael Shigorin email(ok) on 12-Янв-18, 23:50 
> Сплю и вижу статически собранный дистрибутив ГНУ+Линукс

Ммм... была ведь такая попытка, какие-то детишки-слакваристы вроде с полотна "Утомлённые зависимостями".

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

45. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +2 +/
Сообщение от Аноним (??) on 12-Янв-18, 15:01 
>Примечательно, что быстрому восстановлению помешало то, что некоторые предприимчивые пользователи сразу зарегистрировали новые модули с теми же именами

надеюсь, имена этих "героев" известны и все они уже забанены просто так?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  –2 +/
Сообщение от Аноним (??) on 12-Янв-18, 15:47 
> надеюсь, имена этих "героев" известны и все они уже забанены просто так?

Стоят в очереди на получение бана сразу после «тупых инженеров из Интела» и «тех дeбилов, которые в OpenSSL Heartbleed проморгали».

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

123. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 16-Янв-18, 09:47 
Сравнение неуместно. Joyent - коммерческая компания, на своём сайте кого хочет - того и банит. Почему бы ей просто так не захотеть забанить этих пакетосквоттеров?
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

84. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 12-Янв-18, 19:29 
> надеюсь, имена этих "героев" известны и все они уже забанены просто так?

Да вас же, вэб-макак, всех не перебанишь. Тут только дустом можно попробовать справиться...

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

119. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 14-Янв-18, 12:28 
хорошо, что немакаки-хеловорлдщики только в комментах гядят, а то хана вообще всем инфраструктурам
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

46. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 12-Янв-18, 15:03 
>незадолго до инцидента один из спамеров разместил вредоносный модуль

а вот в pipa почему-то такого нет. Потому что модерации нет совсем?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +2 +/
Сообщение от name (??) on 12-Янв-18, 15:12 
>персонал

очень пафосное название для чувака сидящего дома с бутылкой пива в одной руке, и клавиатурой в другой :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

95. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +1 +/
Сообщение от копипастер on 12-Янв-18, 22:26 
> с бутылкой пива

с кружкой смузи // fixed

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

121. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от user455 on 15-Янв-18, 16:29 
а какая разница в 21 веке где сидит сотрудник и что он держит в руке?
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

101. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +3 +/
Сообщение от smile (??) on 13-Янв-18, 01:04 
npm-экосистема конечно впечатляет своей убогостью, но заголовок не соответсвует, ведь

> и не разобравшись в сути предупреждения от антиспам-системы подтвердил блокировку

результат рукожопов, а не тупенького спам-фильтра, который, как никак, расстарался и предупредил.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

103. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от dasrfatwet on 13-Янв-18, 03:40 
Не удивлюсь если уже существуют или в будущем появятся стартапы про безопасность npmjs репозиториев по типа как с докером было.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

104. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от dasrfatwet on 13-Янв-18, 03:40 
Естественно за деньги.
Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

120. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от Аноним (??) on 15-Янв-18, 04:52 
И за деньги есть, и бесплатно, но с é́́блей. Артифактори, например. И множество других аналогов и более узкоспециализированных решений.
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

124. "Сбой антиспам-системы привёл к коллапсу в репозитории NPM"  +/
Сообщение от fantom (??) on 16-Янв-18, 18:58 
Народная мудрость последнего абзаца:

Решительный шаг вперед есть результат хорошего пинка взад!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor