|
1.2, Онаним (?), 21:55, 26/11/2018 [ответить] [показать ветку] [···] [к модератору]
| +8 +/– |
2 миллиона / 7 / N... кхм... девопсиков, безоглядно доверяющих мейнтейнить куски проектов сторонним репам, кхм... снова (что удивительно же!) попали.
Внезапно.
|  | |
|
2.94, Аноним (94), 18:04, 28/11/2018 [^] [ответить] [к модератору]
| –1 +/– |
Я правильно понимаю, что ты вообще никакой сторонний код не используешь и пишешь всё своё? NIH-синдром в терминальной стадии.
|  | |
|
1.4, Аноним (4), 22:17, 26/11/2018 [ответить] [показать ветку] [···] [к модератору]
| +8 +/– |
Смех смехом, но сильно ли отличаются в этом отношении от ноды другие веб-фреймворки? Куча зависимостей, которая при установке без лишних раздумий тянется из репы или с гитхаба - это намного ли безопаснее?
|  | |
|
2.7, Онаним (?), 22:26, 26/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
А дело не в ноде. Ручки-то - вот они, изящно изогнутые. Ревью изменений стороннего кода? Не, не слышали.
|  | |
|
3.9, пох (?), 22:37, 26/11/2018 [^] [ответить] [к модератору]
| +2 +/– |
каких таких "изменений"? Оно ж с самого начала там лежало.
ревью ВСЕГО стороннего кода? Ну тогда какой вам node, вы и на сях-то сами его ни в жизнь ниасилите (хотя там и не доходит до leftpad)
|  | |
|
|
|
6.36, Аноним (36), 23:39, 26/11/2018 [^] [ответить] [к модератору]
| +4 +/– |
> плата за "простоту" языка - геморрой с элементарнейшими операциями, которые приходится отдельным модулем оформлять.
Это вы про C++ boost сейчас?
|  | |
|
7.88, пох (?), 23:00, 27/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
который из трех...ой, нет, уже четырех установленных?
(справедливости ради - boost решает "элементарные" задачи посложнее leftpad. Многим проектам они нафиг не сдались.)
|  | |
|
|
5.18, Онаним (?), 23:01, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
И нет - юнит-тестами вы все возможные комбинации звездецов в сторонних либах не покроете. Только комбинация теоретического ревью и актуальных тестов.
|  | |
|
|
7.29, Онаним (?), 23:08, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
Угу, я именно про юнит-тесты собственных модулей, завязанных на чужие либы.
В либе что-то кромсают, и не факт, что это под тесты влетит.
|  | |
|
|
|
6.23, Онаним (?), 23:03, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
Хера себе. То есть можно горе-деплоерам rm -rf / подтянуть в комплекте, и они не заметят? Красиво )
|  | |
|
|
4.16, Онаним (?), 22:56, 26/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
И нет, с самого начала оно там не лежало.
"Why was @right9ctrl given access to this repo? He added flatmap-stream"
Ключевое слово - added.
|  | |
|
|
6.27, Онаним (?), 23:05, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
Ну ревью-то в любом случае выявило бы новую зависимость, к которой нужно отнестись с особым пристрастием )
|  | |
|
|
|
3.41, Аноним (41), 05:22, 27/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
В ноде дело. В ней невозможно программировать без установки кучи библиотек.
>Ревью изменений стороннего кода? Не, не слышали.
Да конечно. Только помрешь раньше чем весь код проверишь.
|  | |
|
|
|
2.13, Онаним (?), 22:49, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
> как отстранившийся от дел автор event-stream так наивно передал проект в руки первого встречного
Он где-то подписывал юридически значимый договор с обязательствами так не делать?
|  | |
2.15, Онаним (?), 22:53, 26/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
Поэтому мне более интересно как кхм... неназываемо... кхм... решились использовать библиотеку первого встречного неизвестного писателя, даже внутрь не заглядывая.
|  | |
|
|
|
|
6.34, Онаним (?), 23:22, 26/11/2018 [^] [ответить] [к модератору]
| +/– |
> Попробуй в одиночку всё отревьювить
> Из моих зависимостей оказался только nodemon инфицирован
:) Ну о чём и речь, если не ревьюить - будет засада.
Иногда лучше вообще никак, чем так.
|  | |
|
|
|
9.95, Аноним (94), 18:06, 28/11/2018 [^] [ответить] [к модератору]
| –1 +/– |
В старине ещё ездили на телегах, спали на лавках, избы по чёрному топили, а питались тем что сами вырастили и тем, что боженька подаст. Сказать-то ты что хотел?
|  | |
|
|
|
|
5.98, КО (?), 11:17, 29/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
>любой апдейт сорцов сторонней либы
Вы в пролете с таким правилом - сорцы были в порядке. Минифицированная версия нет. :)
|  | |
|
6.104, J.L. (?), 16:19, 04/12/2018 [^] [ответить] [к модератору]
| +/– |
>>любой апдейт сорцов сторонней либы
> Вы в пролете с таким правилом - сорцы были в порядке. Минифицированная версия нет. :)
вообще это важное замечание
всё ещё хуже для мантейнеров...
|  | |
|
|
|
|
|
1.37, Ordu (ok), 01:06, 27/11/2018 [ответить] [показать ветку] [···] [к модератору]
| +4 +/– |
Неплохо. Новый вызов опенсурцу: как поддерживать базу кода невероятного объёма, пресекая активность злодеев? Простор для генерации идей, между прочим, а возможно даже для успешных стартапов.
|  | |
|
2.46, Онаним (?), 09:00, 27/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
У нормальных проектов, разрабатываемых по нормальным методикам, а не в виде краудсорсинга кода неизвестного происхождения, этого вызова нет. Всякие хипстерские поделки - страдают и будут страдать.
|  | |
|
|
4.56, нах (?), 12:15, 27/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
> Но так или иначе они будут вынуждены найти способ не страдать.
переложить ответственность на никого, отличный способ не страдать.
|  | |
|
5.74, Ordu (ok), 16:05, 27/11/2018 [^] [ответить] [к модератору]
| +/– |
>> Но так или иначе они будут вынуждены найти способ не страдать.
> переложить ответственность на никого, отличный способ не страдать.
Для некоторых -- да.
|  | |
|
4.84, Онаним (?), 20:32, 27/11/2018 [^] [ответить] [к модератору]
| +/– |
Нет, я технократ. За такие поделки надо редактор от сети отключать и аффтару, и всем "писателям", использовавшим это без ревью - пусть в стол пишут сначала, потом в паблик.
|  | |
|
5.107, Ordu (ok), 16:33, 08/12/2018 [^] [ответить] [к модератору]
| +/– |
> Вы и в этом некомпетентны.
Сказаал модератор форума школоло-эникеев. Очень убедительно вышло.
|  | |
|
|
|
|
|
|
9.112, Ordu (ok), 20:07, 08/12/2018 [^] [ответить] [к модератору]
| +/– |
> Феерический невежда. Ещё и хам и графоман. :-)
Ты так говоришь, будто только сейчас это понял. Тупой что ли?
|  | |
|
|
|
|
|
|
|
2.47, trolleybus (?), 09:31, 27/11/2018 [^] [ответить] [к модератору]
| +1 +/– |
Как обычно - ревьювить все пул-реквесты, не мержить что попало. А комитить в мастер-ветку разрешить только хозяевам репозитория.
|  | |
|
|
4.77, КО (?), 16:59, 27/11/2018 [^] [ответить] [к модератору]
| +/– |
Да каждый ответить, что либа которая делает "непонятно-что", но у которой есть тесты, в разы лучше той, у которой их нет, что уж говорить про велосипед...
|  | |
|
|
2.51, пох (?), 10:30, 27/11/2018 [^] [ответить] [к модератору]
| +2 +/– |
"успешный стартап" только что намайнил/свистнул чужие пару десятков btc, и еще сопрет. Нафига тут что-то строить, когда гораздо проще и интереснее ломать, а прибыль выше?
|  | |
|
1.58, J.L. (?), 12:29, 27/11/2018 [ответить] [показать ветку] [···] [к модератору]
| +/– |
как же так? видь это же репозиторий у которого есть мантейнеры!!! как же такое могло произойти???
хотя ладно, тут либа ломает приложение которое зависит от этой самой либы, я вот не знаю как в лине от такого защищаться и можно ли вообще?
|  | |
|
2.73, НяшМяш (ok), 14:37, 27/11/2018 [^] [ответить] [к модератору]
| +/– |
Так это не люди. Там зависимость на зависимости с зависимостью. Ты мог сделать npm install webfignya, а у тебя один пакет скачался 20 раз, потому что он в зависимостях у 30 пакетов.
|  | |
|
|
2.82, пох (?), 20:12, 27/11/2018 [^] [ответить] [к модератору]
| +/– |
> VSCode зависит от event-stream
бггг.
с другой стороны - ну крановщик же не хранит свою заначку от жены в кабине крана на стройке где работает? Вот и вы ховайте под рельсой, там не найдут.
|  | |
|
3.85, Онаним (?), 20:34, 27/11/2018 [^] [ответить] [к модератору]
| +/– |
> крановщик же не хранит свою заначку от жены в кабине крана на стройке где работает
А вот тут дедка надвое сказала. Которая была бы бабкой при определённых условиях, конечно, но не сложилось.
|  | |
|
|
|
|
3.93, OldFart (?), 17:07, 28/11/2018 [^] [ответить] [к модератору]
| +/– |
Название темы: "Бэкдор в зависимости", отсюда версия 2 :) раньше конфликт, теперь backdoors. А сарказм от того, что терпеть не могу зависимостей, что в жизни , что в soft-e ...
|  | |
|
|
1.96, Попугай Кеша (?), 09:44, 29/11/2018 [ответить] [показать ветку] [···] [к модератору]
| +/– |
Интересный тут ср@ч развели, конечно. Но речь вот о чем. Веб-приложения на Node, либо на браузере обычно тянут сотни зависимостей.
Если условно выбрать какую-то версию и зафризиться на ней (но все сторонние компоненты проверить), то есть шанс потом вообще никуда не обновиться. Другой вопрос - а надо ли? Иногда проще с нуля все переписать.
Вообще в университете физик говорил: "Парни, запомните! Чем больше зависимостей - тем меньше степеней свободы )".
Вот и получается, что по-хорошему надо этих самых зависимостей делать меньше. Потому что их надо: a) проверять, б) апдейтить, в) следить, чтобы ничего не сломалось. А на поддержку всего этого тратится уйма времени.
Если рассуждать логически, то основная проблема в том, что NPM не следит за тем, что добавляют в их репозиторий и не проверяет на достаточном уровне.
Это как с AppStore от Apple и их системой модерации, или PlayMarket от Google. Где меньше порядка и слабее модерация - больше вирусни.
В общем и целом, да, надо следить за сторонними изменениями, либо же делать свой NPM c блекджеком и репозиториями
|  | |
|
|
3.101, Попугай Кеша (?), 12:04, 29/11/2018 [^] [ответить] [к модератору]
| +/– |
> Корень еще в том, что вендоры библиотек не заботятся о выпуске стабильных
> релизов, а считают, что все можно поправить, закоммитив в мастер на
> следующий день быстрофикс.
> Просто надо настроить себя не рваться за большим колисчеством и свежестью 3rd-party
> либ для своего проекта. Взял либу - так и сиди на
> ней. Что касается безопасности, то дыр в ней, как мы видим
> наглядно, меньше, если её не обновлять.
Да, тоже дельный совет. Можно лочить версию пакета, чтобы случайно так не обновиться.
Другой момент - юнит тесты же не просто так пишут. Да и вообще тестирование не просто так существует.
|  | |
|
|
|
|