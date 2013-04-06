|
|1.2, Аноним (2), 22:08, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
|+/–
|
В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?
|
|1.3, Аноним (3), 22:11, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
|+4 +/–
|
Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
|
|
|
|2.5, Аноним (5), 22:17, 25/09/2025 [^] [^^] [^^^] [ответить]
|+2 +/–
|
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил
> пакет на вредоносный"? Вот где люди реально проверяют.
Почему "не было"?
https://www.opennet.ru/opennews/art.shtml?num=63677
> Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
> 04.08.2025 22:08
причем, не "перепутал", а включил осознанно.
> Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию.
.
|
|
|
|
|
|4.16, Аноним (5), 23:20, 25/09/2025 [^] [^^] [^^^] [ответить]
|+2 +/–
|
>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn.
> Твой пример под описанную ситуацию совсем не подходит.
Ну да, аутотренинг еще никто не отменял ...
|
|2.9, Аноним (9), 22:38, 25/09/2025 [^] [^^] [^^^] [ответить]
|+1 +/–
|
> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту.
Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.
|
|
|
|3.11, Аноним (3), 22:49, 25/09/2025 [^] [^^] [^^^] [ответить]
|+/–
|
> Нет, не проверяют, и были случаи малвари в дебиане.
Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню.
А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
|
|2.10, Аноним (9), 22:43, 25/09/2025 [^] [^^] [^^^] [ответить]
|+/–
|
> и тд – свалка непроверенных библиотек
И потом, к чему этот негатив если альтернатив нет в принципе никаких?
|
|
|
|3.12, Аноним (3), 22:50, 25/09/2025 [^] [^^] [^^^] [ответить]
|+/–
|
Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.
|
|
|
|4.29, Аноним (25), 00:06, 26/09/2025 [^] [^^] [^^^] [ответить]
|+/–
|
В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.
|
|
|
|5.32, Аноним (3), 00:38, 26/09/2025 [^] [^^] [^^^] [ответить]
|+/–
|
> В каком месте это альтернатива
Пакетов больше, чем в aur.
> и в каком месте это менее помойка?
А я разве говорил обратное?
|
|3.17, Аноним (17), 23:20, 25/09/2025 [^] [^^] [^^^] [ответить]
|+3 +/–
|
NPM - да, помойка!
Aur - да, свалка!
Pypi - да, ещё одна помойка!
Rust-репозиторий - к чему этот негатив?
|
|
|
|4.26, Аноним (25), 00:02, 26/09/2025 [^] [^^] [^^^] [ответить]
|–1 +/–
|
Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.
|
|2.22, Аноним (21), 23:41, 25/09/2025 [^] [^^] [^^^] [ответить]
|+1 +/–
|
Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность
|
|
|
|3.31, Аноним (3), 00:37, 26/09/2025 [^] [^^] [^^^] [ответить]
|+/–
|
> Каждые полгода такие новости появляются.
Назовите, пожалуйста, две за прошедший год?
|
|1.4, Аноним (9), 22:12, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
|+2 +/–
|
Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.
|
|
|
|2.27, Аноним (21), 00:02, 26/09/2025 [^] [^^] [^^^] [ответить]
|+/–
|
От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда
|
|1.15, Аноним (15), 23:17, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
|+3 +/–
|
Как так? Обещали же "на этапе компиляции" безопасно делать... Опять обманули (с)
|
|
|
|2.20, нах. (?), 23:35, 25/09/2025 [^] [^^] [^^^] [ответить]
|+/–
|
Не, ну всего ж два пакетика. В npm вон сотни, а сколько там в пиписке никто не считал, там попробуй сперва найди в той помойке не вредоносный.
Не только лишь каждый убежит от борова так чтоб было что выкладывать в crates!
|
|2.28, Аноним (21), 00:03, 26/09/2025 [^] [^^] [^^^] [ответить]
|+1 +/–
|
Обещали безопасную работу с памятью. Сможешь доказать, что это не так?)
|
|1.23, Аноним (18), 23:52, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
|–1 +/–
|
Для минимизации рисков в Rust рекомендуется:
◇ Использовать только известные и проверенные крейты.
◇ Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit.
◇ Фиксировать версии в Cargo.lock и избегать автоматических обновлений без ревью.
|
|
|
|2.36, Аноним (3), 02:26, 26/09/2025 [^] [^^] [^^^] [ответить]
|–1 +/–
|
Что будете делать, если популярный crate использует такую зависимость?
|
|1.24, Аноним (-), 23:56, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
|+/–
|
> Пакеты были размещены в репозитории 25 мая и
> с тех пор были загружены 8424 раза
Пффф... а разговоров то было...
Зато прям сборище клованов в комментах
|