| |
| 1.2, Онаним (?), 21:55, 26/11/2018 [ответить] [показать ветку] [···] [к модератору]
| +8 +/– | |
2 миллиона / 7 / N... кхм... девопсиков, безоглядно доверяющих мейнтейнить куски проектов сторонним репам, кхм... снова (что удивительно же!) попали.
Внезапно.
|  | | |
| |
| 2.94, Аноним (94), 18:04, 28/11/2018 [^] [ответить] [к модератору]
| –1 +/– |
Я правильно понимаю, что ты вообще никакой сторонний код не используешь и пишешь всё своё? NIH-синдром в терминальной стадии.
| | | |
|
| 1.4, Аноним (4), 22:17, 26/11/2018 [ответить] [показать ветку] [···] [к модератору]
| +8 +/– |
Смех смехом, но сильно ли отличаются в этом отношении от ноды другие веб-фреймворки? Куча зависимостей, которая при установке без лишних раздумий тянется из репы или с гитхаба - это намного ли безопаснее?
| | | |
| |
| 2.7, Онаним (?), 22:26, 26/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
А дело не в ноде. Ручки-то - вот они, изящно изогнутые. Ревью изменений стороннего кода? Не, не слышали.
| | | |
| |
| 3.9, пох (?), 22:37, 26/11/2018 [^] [ответить] [к модератору]
| +2 +/– | |
каких таких "изменений"? Оно ж с самого начала там лежало.
ревью ВСЕГО стороннего кода? Ну тогда какой вам node, вы и на сях-то сами его ни в жизнь ниасилите (хотя там и не доходит до leftpad)
| | | |
| |
| |
| |
| 6.36, Аноним (36), 23:39, 26/11/2018 [^] [ответить] [к модератору]
| +4 +/– | |
> плата за "простоту" языка - геморрой с элементарнейшими операциями, которые приходится отдельным модулем оформлять.
Это вы про C++ boost сейчас?
| | | |
| |
| 7.88, пох (?), 23:00, 27/11/2018 [^] [ответить] [к модератору]
| +1 +/– | |
который из трех...ой, нет, уже четырех установленных?
(справедливости ради - boost решает "элементарные" задачи посложнее leftpad. Многим проектам они нафиг не сдались.)
| | | |
|
|
| 5.18, Онаним (?), 23:01, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
И нет - юнит-тестами вы все возможные комбинации звездецов в сторонних либах не покроете. Только комбинация теоретического ревью и актуальных тестов.
| | | |
| |
| |
| 7.29, Онаним (?), 23:08, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
Угу, я именно про юнит-тесты собственных модулей, завязанных на чужие либы.
В либе что-то кромсают, и не факт, что это под тесты влетит.
| | | |
|
|
| |
| 6.23, Онаним (?), 23:03, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
Хера себе. То есть можно горе-деплоерам rm -rf / подтянуть в комплекте, и они не заметят? Красиво )
| | | |
|
|
| 4.16, Онаним (?), 22:56, 26/11/2018 [^] [ответить] [к модератору]
| +1 +/– | |
И нет, с самого начала оно там не лежало.
"Why was @right9ctrl given access to this repo? He added flatmap-stream"
Ключевое слово - added.
| | | |
| |
| |
| 6.27, Онаним (?), 23:05, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
Ну ревью-то в любом случае выявило бы новую зависимость, к которой нужно отнестись с особым пристрастием )
| | | |
|
|
|
| 3.41, Аноним (41), 05:22, 27/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
В ноде дело. В ней невозможно программировать без установки кучи библиотек.
>Ревью изменений стороннего кода? Не, не слышали.
Да конечно. Только помрешь раньше чем весь код проверишь.
| | | |
|
|
| |
| 2.13, Онаним (?), 22:49, 26/11/2018 [^] [ответить] [к модератору]
| +/– | |
> как отстранившийся от дел автор event-stream так наивно передал проект в руки первого встречного
Он где-то подписывал юридически значимый договор с обязательствами так не делать?
| | | |
| 2.15, Онаним (?), 22:53, 26/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
Поэтому мне более интересно как кхм... неназываемо... кхм... решились использовать библиотеку первого встречного неизвестного писателя, даже внутрь не заглядывая.
| | | |
| |
| |
| |
| |
| 6.34, Онаним (?), 23:22, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
> Попробуй в одиночку всё отревьювить
> Из моих зависимостей оказался только nodemon инфицирован
:) Ну о чём и речь, если не ревьюить - будет засада.
Иногда лучше вообще никак, чем так.
| | | |
| |
| |
| |
| 9.95, Аноним (94), 18:06, 28/11/2018 [^] [ответить] [к модератору]
| –1 +/– |
В старине ещё ездили на телегах, спали на лавках, избы по чёрному топили, а питались тем что сами вырастили и тем, что боженька подаст. Сказать-то ты что хотел?
| | | |
|
|
|
|
| 5.98, КО (?), 11:17, 29/11/2018 [^] [ответить] [к модератору]
| +1 +/– | |
>любой апдейт сорцов сторонней либы
Вы в пролете с таким правилом - сорцы были в порядке. Минифицированная версия нет. :)
| | | |
| |
| 6.104, J.L. (?), 16:19, 04/12/2018 [^] [ответить] [к модератору]
| +/– |
>>любой апдейт сорцов сторонней либы
> Вы в пролете с таким правилом - сорцы были в порядке. Минифицированная версия нет. :)
вообще это важное замечание
всё ещё хуже для мантейнеров...
|  | | |
|
|
|
|
|
| 1.37, Ordu (ok), 01:06, 27/11/2018 [ответить] [показать ветку] [···] [к модератору]
| +4 +/– |
Неплохо. Новый вызов опенсурцу: как поддерживать базу кода невероятного объёма, пресекая активность злодеев? Простор для генерации идей, между прочим, а возможно даже для успешных стартапов.
|  | | |
| |
| 2.46, Онаним (?), 09:00, 27/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
У нормальных проектов, разрабатываемых по нормальным методикам, а не в виде краудсорсинга кода неизвестного происхождения, этого вызова нет. Всякие хипстерские поделки - страдают и будут страдать.
| | | |
| |
| |
| 4.56, нах (?), 12:15, 27/11/2018 [^] [ответить] [к модератору]
| +1 +/– | |
> Но так или иначе они будут вынуждены найти способ не страдать.
переложить ответственность на никого, отличный способ не страдать.
| | | |
| |
| 5.74, Ordu (ok), 16:05, 27/11/2018 [^] [ответить] [к модератору]
| +/– |
>> Но так или иначе они будут вынуждены найти способ не страдать.
> переложить ответственность на никого, отличный способ не страдать.
Для некоторых -- да.
| | | |
|
| 4.84, Онаним (?), 20:32, 27/11/2018 [^] [ответить] [к модератору]
| +/– |
Нет, я технократ. За такие поделки надо редактор от сети отключать и аффтару, и всем "писателям", использовавшим это без ревью - пусть в стол пишут сначала, потом в паблик.
| | | |
| 4.105, Michael Shigorin (ok), 20:02, 07/12/2018 [^] [ответить] [к модератору]
| +/– |
>> У нормальных проектов, разрабатываемых по нормальным методикам
> "Нормальные" методики в твоём понимании -- это разработанные дедами?
Ну не малолетками же, которые и впрямь ложку в ухо упорно несут.
> Откуда такое неверие в будущее и преклонение перед прошлым?
> Ты не христианин случаем? У этих всё мировоззрение основано
> на грехопадении и постепенном загнивании человечества,
> типа вчера всегда лучше чем завтра.
Вы и в этом некомпетентны. Озадачились бы уже, что ли, изучением матчасти -- можно и матметодами, между прочим, некоторые метрики вполне исчислимы и сравнимы.
|  | | |
| |
| 5.107, Ordu (ok), 16:33, 08/12/2018 [^] [ответить] [к модератору]
| +/– | |
> Вы и в этом некомпетентны.
Сказаал модератор форума школоло-эникеев. Очень убедительно вышло.
| | | |
|
| 4.106, КГБ СССР (?), 20:49, 07/12/2018 [^] [ответить] [к модератору]
| +1 +/– | |
> Откуда такое неверие в будущее и преклонение перед прошлым?
Любой действительно мыслящий человек понимает, что «новое» и «лучшее» — не синонимы.
Всякое «новое» обязано доказать своё преимущество над уже существующими вещами.
| | | |
| |
| 5.108, Ordu (ok), 16:41, 08/12/2018 [^] [ответить] [к модератору]
| +/– |
>> Откуда такое неверие в будущее и преклонение перед прошлым?
> Любой действительно мыслящий человек понимает, что «новое» и «лучшее» —
> не синонимы.
Чёт тебя понесло в тривиальщину. Умные мысли кончились?
> Всякое «новое» обязано доказать своё преимущество над уже существующими вещами.
Да-да. Тут целый форум дeбилoв, которые сидят и ждут, когда им что-то там докажут. Они искренне уверены, что кто-то обязан им что-то доказать. Я несколько лет наблюдал, думал, может они не столь тупы как кажутся, может дождутся когда-нибудь. Но не, априорные оценки оказались верны, шансов у них ноль.
| | | |
| |
| 6.109, КГБ СССР (?), 17:22, 08/12/2018 [^] [ответить] [к модератору]
| +/– | |
> Чёт тебя понесло в тривиальщину. Умные мысли кончились?
Я ещё не отсмеялся, прочитав пафосные рассусоливания миллениала про индивидуальную мораль и остальную хипсторскую чушь. Ты слишком необразован, дружок, чтобы осознавать свою глупость. Эффект Даннинга—Крюгера во всей красе. :)
| | | |
| |
| |
| |
| 9.112, Ordu (ok), 20:07, 08/12/2018 [^] [ответить] [к модератору]
| +/– | |
> Феерический невежда. Ещё и хам и графоман. :-)
Ты так говоришь, будто только сейчас это понял. Тупой что ли?
| | | |
| 9.113, Ordu (ok), 20:58, 08/12/2018 [^] [ответить] [к модератору]
| +/– | |
> Феерический невежда. Ещё и хам и графоман. :-)
Кстати обо всех этих эвристиках и байесах, как всегда как на заказ напоролся тут на ссылку: https://www.visualcapitalist.com/24-cognitive-biases-warping-reality/
Первая половина из этих 24 байесов -- это сплошные мемы, которые известны любому, кто хоть раз задумался о том, что такое когнитивное искажение и спросил у гугла. Я полагаю, что любой человек, кто провёл в интернете 5+ лет слышал про каждый из них хотя бы раз. Хотя, это моё суждение основано на aviability heuristic, то есть просто я на них натыкаюсь регулярно. Вторая половина, на мой взгляд, менее меметична, но если тебе приходилось читать Thinking, Fast and Slow, то часть из них ты признаешь обязательно, ту же aviability heuristic, например.
То есть, если ты не хочешь выглядеть дилетантом, переоценивающим свои познания, то лучше не ссылаться на мемы из первой половины вообще. А в свете того, что тот же Канеман открыто признал, что порол чушь, поскольку сам оказался жертвой тех эффектов, которые описывал, и половина его эффектов не воспроизводится в экспериментах других людей, то лучше вообще не ссылаться на эти эффекты, если ты не можешь вспомнить, какого размера была выборка у исследователя, зарегистрировавшего данный эффект. Но если тебе плевать, и ты как всегда просто лепишь в кучу все слова, которые можешь вспомнить, лишь бы они при этом увязывались между собой без грубых нарушений правил грамматики и стиля, то конечно можно не париться на этот счёт.
| | | |
|
|
|
|
|
|
|
| 2.47, trolleybus (?), 09:31, 27/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
Как обычно - ревьювить все пул-реквесты, не мержить что попало. А комитить в мастер-ветку разрешить только хозяевам репозитория.
|  | | |
| |
| |
| 4.77, КО (?), 16:59, 27/11/2018 [^] [ответить] [к модератору]
| +/– |
Да каждый ответить, что либа которая делает "непонятно-что", но у которой есть тесты, в разы лучше той, у которой их нет, что уж говорить про велосипед...
| | | |
|
|
| 2.51, пох (?), 10:30, 27/11/2018 [^] [ответить] [к модератору]
| +2 +/– | |
"успешный стартап" только что намайнил/свистнул чужие пару десятков btc, и еще сопрет. Нафига тут что-то строить, когда гораздо проще и интереснее ломать, а прибыль выше?
| | | |
|
| 1.58, J.L. (?), 12:29, 27/11/2018 [ответить] [показать ветку] [···] [к модератору]
| +/– | |
как же так? видь это же репозиторий у которого есть мантейнеры!!! как же такое могло произойти???
хотя ладно, тут либа ломает приложение которое зависит от этой самой либы, я вот не знаю как в лине от такого защищаться и можно ли вообще?
| | | |
| |
| 2.73, НяшМяш (ok), 14:37, 27/11/2018 [^] [ответить] [к модератору]
| +/– |
Так это не люди. Там зависимость на зависимости с зависимостью. Ты мог сделать npm install webfignya, а у тебя один пакет скачался 20 раз, потому что он в зависимостях у 30 пакетов.
|  | | |
|
| |
| 2.82, пох (?), 20:12, 27/11/2018 [^] [ответить] [к модератору]
| +/– | |
> VSCode зависит от event-stream
бггг.
с другой стороны - ну крановщик же не хранит свою заначку от жены в кабине крана на стройке где работает? Вот и вы ховайте под рельсой, там не найдут.
| | | |
| |
| 3.85, Онаним (?), 20:34, 27/11/2018 [^] [ответить] [к модератору]
| +/– | |
> крановщик же не хранит свою заначку от жены в кабине крана на стройке где работает
А вот тут дедка надвое сказала. Которая была бы бабкой при определённых условиях, конечно, но не сложилось.
| | | |
|
|
| |
| |
| 3.93, OldFart (?), 17:07, 28/11/2018 [^] [ответить] [к модератору]
| +/– |
Название темы: "Бэкдор в зависимости", отсюда версия 2 :) раньше конфликт, теперь backdoors. А сарказм от того, что терпеть не могу зависимостей, что в жизни , что в soft-e ...
| | | |
|
|
| 1.96, Попугай Кеша (?), 09:44, 29/11/2018 [ответить] [показать ветку] [···] [к модератору]
| +/– | |
Интересный тут ср@ч развели, конечно. Но речь вот о чем. Веб-приложения на Node, либо на браузере обычно тянут сотни зависимостей.
Если условно выбрать какую-то версию и зафризиться на ней (но все сторонние компоненты проверить), то есть шанс потом вообще никуда не обновиться. Другой вопрос - а надо ли? Иногда проще с нуля все переписать.
Вообще в университете физик говорил: "Парни, запомните! Чем больше зависимостей - тем меньше степеней свободы )".
Вот и получается, что по-хорошему надо этих самых зависимостей делать меньше. Потому что их надо: a) проверять, б) апдейтить, в) следить, чтобы ничего не сломалось. А на поддержку всего этого тратится уйма времени.
Если рассуждать логически, то основная проблема в том, что NPM не следит за тем, что добавляют в их репозиторий и не проверяет на достаточном уровне.
Это как с AppStore от Apple и их системой модерации, или PlayMarket от Google. Где меньше порядка и слабее модерация - больше вирусни.
В общем и целом, да, надо следить за сторонними изменениями, либо же делать свой NPM c блекджеком и репозиториями
| | | |
| |
| |
| 3.101, Попугай Кеша (?), 12:04, 29/11/2018 [^] [ответить] [к модератору]
| +/– |
> Корень еще в том, что вендоры библиотек не заботятся о выпуске стабильных
> релизов, а считают, что все можно поправить, закоммитив в мастер на
> следующий день быстрофикс.
> Просто надо настроить себя не рваться за большим колисчеством и свежестью 3rd-party
> либ для своего проекта. Взял либу - так и сиди на
> ней. Что касается безопасности, то дыр в ней, как мы видим
> наглядно, меньше, если её не обновлять.
Да, тоже дельный совет. Можно лочить версию пакета, чтобы случайно так не обновиться.
Другой момент - юнит тесты же не просто так пишут. Да и вообще тестирование не просто так существует.
| | | |
|
|
|
|
