Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В NPM планируют использовать Sigstore для подтверждения подлинности пакетов"	+/–
Сообщение от opennews (??), 09-Авг-22, 15:44
GitHub выставил на обсуждение предложение по внедрению сервиса Sigstore для верификации пакетов по цифровым подписям и ведения публичного лога для подтверждения подлинности при распространении релизов. Применение  Sigstore позволит  реализовать дополнительный уровень защиты от атак, нацеленных на подмену программных компонентов и зависимостей (supply chain). Например, внедряемое изменение защитит исходные тексты проектов в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57614
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

7. Сообщение от Аноним (7), 09-Авг-22, 15:50	+13 +/–
Как, друзья, вы не садитесь, ... (И.А. Крылов)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #91

8. Сообщение от pashev.ru (?), 09-Авг-22, 15:52	+11 +/–
Npm не спасти.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #48

10. Сообщение от Аноним (10), 09-Авг-22, 16:15	+8 +/–
Зато можно добавить ещё одну подпорочку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

25. Сообщение от Аноним (25), 09-Авг-22, 18:41	+/–
Хорошее предложение, было бы интересно посмотреть на реализацию, особенно если она позволит пользоваться любой DVCS-платформой, а не только гитхабом. Атаки на supply chain актуальная угроза.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

27. Сообщение от Аноним (27), 09-Авг-22, 19:18	+3 +/–
Скоро все разработчики убегут куда-нибудь (на ржавчину)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #34, #56

28. Сообщение от Аноним (28), 09-Авг-22, 20:10	+4 +/–
Не на пики приземлитесь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

29. Сообщение от Аноним (29), 09-Авг-22, 20:16	+/–
> в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию? От этого есть защита?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #41, #50

31. Сообщение от Аноним (31), 09-Авг-22, 20:46	+1 +/–
На карбонщину.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

34. Сообщение от аноним228 (?), 09-Авг-22, 21:18	+1 +/–
Не все захотят убегать в эту эзотерику.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

35. Сообщение от Аноним (25), 09-Авг-22, 21:26	–1 +/–
Конечно. Персональная репутация. Кроме того, в случае реального урона, на такого разработчика можно подать в суд. Вполне возможно, что иск будет коллективный, а это неиллюзорная возможность сесть лет на десять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #36, #42, #82, #131

36. Сообщение от Аноним (29), 09-Авг-22, 22:22	+1 +/–
какая репутация, какой суд? там при установке чего угодно через npm обычно 100500 пакетов тянется в зависимостях и зависимостях зависимостей. бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #39

39. Сообщение от Аноним (25), 10-Авг-22, 00:52	+/–
> бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале. Я сплю и вижу, как анонимные кодеры на js пушат на гитхаб свои нетленки через тор. Это именно тот опенсорс, о котором я так мечтал. Но в реальности большая часть авторов подписывается своим именем и делает это с домашнего компьютера, регистрируя гитхаб на свой ящик на gmail, который, в свою очередь, привязан к телефонному номеру. Ну и на всякий случай авторам популярных пакетов пришлют хардварный токен на домашний адрес.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #44

41. Сообщение от Аноним (48), 10-Авг-22, 01:32	+2 +/–
Конечно есть. Отслюнявливаешь баксы юридическому лицу, с регистрацией, адресом, фамилиями, ответственностью. Подписываешь контракт на разработку с гарантиями и ответственностью. Наслаждаешься результатом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

42. Сообщение от YetAnotherOnanym (ok), 10-Авг-22, 01:58	+1 +/–
Репутация? Вот, например, лично ты что знаешь о тех людях, чьи исходники используешь? А в суде, даже если ты сможешь его туда притащить, он ткнёт тебя носом в лицензию, где прописан отказ от ответственности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #43, #99

43. Сообщение от Аноним (48), 10-Авг-22, 04:03	+1 +/–
Тоже самое сделает и Microsoft. А, нет, ещё 5$ ущерба заплатит. Пиши этот код сам, кто мешает? Или заказывай разработку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (48), 10-Авг-22, 04:05	+2 +/–
Всё верно. Только с точки зрения ответственности, разницы никакой нет. Максимум авторам аккаунт заблокируют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #64

45. Сообщение от Аноним (-), 10-Авг-22, 04:41	+/–
> разработчики смогут привязать сформированный пакет к > использованному исходному коду и сборочному окружению, Круто, они придумали прибить сборочную конфигурацию на гвозди. И удачи пересобрать как-то иначе, да... они там еще не забыли что это как минимум формально опенсорс? Зачем он ТАКОЙ нужен? :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #68, #101

46. Сообщение от Аноним (111), 10-Авг-22, 05:36	+1 +/–
А просто запретить выполнять произвольный скрипт при установке пакета до сих пор не могут.
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (111), 10-Авг-22, 05:40	+1 +/–
Большинство NPM пакетов не лезут на левые сайты (ajax всякий). Если ввести просто правило: всё новое не должно лезть или проходить отдельную верификацию (аккаунты фирм или ещё как - свод правил)? Это же на порядок быстрее и сильнее поднимет безопасность пакетов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

48. Сообщение от Аноним (48), 10-Авг-22, 05:58	–2 +/–
Что сделано лучше чем npm и почему? Хотелось бы от вас получить технический анализ как от эксперта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #72, #111

50. Сообщение от Аноним (105), 10-Авг-22, 06:42	+2 +/–
Никакой защиты нет. Теоретически можно было бы защититься если устанавливать только пакеты программы, от Фейсбук, Гугл, мс, ещё babel и core-js. А практически react-script от лицо книги это несколько тысяч пакетов. Storybook ещё столько же. В webpack добавить несколько плагинов, ещё тысяча однострочников вида isArray
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #67

51. Сообщение от Аноним (105), 10-Авг-22, 06:45	+/–
Опеннет экспертам незачем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #54

54. Сообщение от Аноним (-), 10-Авг-22, 07:31	+/–
Так я сабжем и не пользуюсь, к счастью, так что вон то будет не моими проблемами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #62

56. Сообщение от Аноним774 (?), 10-Авг-22, 07:42	+/–
На кристальщину https://opennet.ru/57549/ там одной командой можно сервер поднять
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #71, #76, #88, #89

58. Сообщение от yet another anonymous (?), 10-Авг-22, 08:09	–3 +/–
> Большинство NPM пакетов не лезут на левые сайты Да ладно! Или вы имели ввиду, что они таки лезут, но на "совершенно не левые"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

59. Сообщение от Аноним (-), 10-Авг-22, 09:51	+1 +/–
Есть простое правило: посылать нах все платформы и языки, которым из коробки нужно чего-то откуда-то грузить, и требуются особые усилия заставить это работать строго оффлайн.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61, #70, #77

60. Сообщение от Аноним (-), 10-Авг-22, 09:54	+2 +/–
В песочницу их, с запросом на доступ на каждый чих!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63

61. Сообщение от Аноним (62), 10-Авг-22, 10:21	+1 +/–
Ты только что изобрел С стандарта С99. А примеры кода вообще надо брать  из книжек и лучше из умных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от Аноним (62), 10-Авг-22, 10:23	+/–
Нода она до всех доберется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #110

63. Сообщение от Аноним (64), 10-Авг-22, 11:17	+1 +/–
Ты все пропустил это называется докер и его все используют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #78

64. Сообщение от Аноним (64), 10-Авг-22, 11:18	+2 +/–
Максимум найдут и на швабру насадят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

67. Сообщение от вебмакак (?), 10-Авг-22, 11:39	+1 +/–
> core-js это тот неадекват, что рекламу пихает на компьютеры без разрешения? что ему помешает в целях рекламной акции зловред запихать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #96

68. Сообщение от вебмакак (?), 10-Авг-22, 11:41	+/–
Github CI должен себя окупать.. естественно, ради безопасности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

70. Сообщение от Ляля (??), 10-Авг-22, 12:05	+/–
Чтобы чего-то откуда-то не грузить, оно уже должно быть на компукторе, что порождает следующий вопрос: как помещать это чего-то на компуктор?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #74, #94

71. Сообщение от Аноним (71), 10-Авг-22, 12:39	+1 +/–
А уронить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

72. Сообщение от Аноним (72), 10-Авг-22, 12:40	+6 +/–
apt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #105

74. Сообщение от Аноним (74), 10-Авг-22, 13:09	+2 +/–
Ты только что открыл дистрибутив линукс с пакетным менеджером.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #83

75. Сообщение от Аноним (75), 10-Авг-22, 13:39	+/–
>DVCS-платформой, а не только гитхабом Я всегда думал, что distributed - это где угодно, а не на гитпуке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #98, #109

76. Сообщение от Аноним (75), 10-Авг-22, 13:41	+/–
На лиспе этой одной командой можно его не то, что поднять, но и залезть ему в кишки и так далее. И эту одну команду с собой на флешке таскать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

77. Сообщение от Аноним (75), 10-Авг-22, 13:43	+1 +/–
Собственно, почему всякие удобные язычки с удобненькими пакетными менеджерами не нужны. Нужен только один пакетный менеджер - это apt. Или что у вас там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #93, #102

78. Сообщение от Аноним (75), 10-Авг-22, 13:45	+2 +/–
Но докер - это не про песочницу. Докер - это про "я забыл ключи от apt-get".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #85, #103

79. Сообщение от darkshvein (ok), 10-Авг-22, 13:54	+3 +/–
а поясните за npm. почему нельзя ставить те же rpm, deb? на худой конец src почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm? разработчики nodejs знают толк в извращениях?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #86, #97, #132

82. Сообщение от darkshvein (ok), 10-Авг-22, 14:26	+/–
>Кроме того, в случае реального урона, на такого разработчика можно подать в суд. есть прецеденты? даже ослу же ясно, что npm создан для того, чтобы приманивать лохов, которые не осилят написать даже убогий скрипт для сайта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #100, #104

83. Сообщение от Ляля (??), 10-Авг-22, 14:29	+1 +/–
Это же буквально то же самое: чего-то откуда-то грузить. Чем репозитории дистрибутива в этом смысле принципиально отличаются от NPM? Ничем, особенно если это AUR или «добавьте наш ppa».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #92, #95

84. Сообщение от Аноним (84), 10-Авг-22, 14:32	+/–
Либо ты используешь докер или он начнет использовать тебя!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

85. Сообщение от Аноним (84), 10-Авг-22, 14:33	+/–
В интерактивном режиме команды набирай и будет тебе apt-get. А если ты еще пользователя с рутового переключишь, то вообще будешь в полной безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

86. Сообщение от Аноним (111), 10-Авг-22, 15:04	+3 +/–
NPN это сплошной facepalm: можно исполнить любой скрипт на стороне разработчика (то есть - без разницы что там сам js норм, можно встретится в систему сборки), политика разбиения на микропакеты (и использования этих васяновских микропакетов в продакшнне уровня react/angular), отсутствие нормальных правил публикации, ползновения многофакторной авторизации...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

88. Сообщение от истина в последней инстанции (?), 10-Авг-22, 15:23	–1 +/–
Прикинь, на шеле тоже
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

89. Сообщение от истина в последней инстанции (?), 10-Авг-22, 15:24	+1 +/–
Более того. И на C можно и на C++ можно. Одной командой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

91. Сообщение от Аноним (91), 10-Авг-22, 15:46	+1 +/–
Правильный путь подписи OpenPGP, лучше с аппаратной защитой секретного ключа: https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f... https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-... https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

92. Сообщение от none7 (ok), 10-Авг-22, 17:04	+1 +/–
Степенью проверенности ментейнеров пакетов. Содержимое, а тем более обновления этого содержимого в NPN НИКТО не проверяет. Это помойка. Вы если виндой пользуетесь и хотите чего либо, то просто гуглите и запускаете первый попавшийся бинарник с варезника? А вот пользователи ПО из NPM так делают. PPA это конечно зло и их можно ставить только на свой страх и риск, думая насколько автору PPA можно доверять. По хорошему их стоит ставить только в песочницу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #116

93. Сообщение от Аноним (95), 10-Авг-22, 17:30	+/–
portage
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

94. Сообщение от Аноним (95), 10-Авг-22, 17:32	+/–
Если ничего умного не приходит, можно вспомнить про дискетки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

95. Сообщение от Аноним (95), 10-Авг-22, 17:35	+/–
Тем, что репозитории дистров ОС поддерживаются слаженной командой дистростроителей. Они знают друг друга. Есть взаимное доверие, есть моральная ответственность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #118

96. Сообщение от Аноним (105), 10-Авг-22, 19:35	+/–
Рекламу чего?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

97. Сообщение от Аноним (105), 10-Авг-22, 19:42	+/–
Поставь react из Deb. А потом из rpm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

98. Сообщение от Аноним (25), 10-Авг-22, 19:55	+/–
Значит ты всегда думал неправильно. Передумывай заново всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

99. Сообщение от Аноним (25), 10-Авг-22, 20:41	+/–
Напомню вопрос, на который я отвечал, раз уж чукча не читатель: > А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию? Ключевые слова: автор, решит, вредонос. Это намеренное (слово «решит» нам недвусмысленно говорит об этом) вредительство. Практически в любой стране мира, где есть IT, есть законы, явно запрещающие подобное поведение. Никакая лицензия не поможет, это преднамеренный взлом и за это сажают в тюрьму. В случае большого урона, даже необязательно тащиться к чёрту на рога, можно подать в суд в своей стране и затребовать экстрадицию. Или, как штаты, взять под белы рученьки в любой стране через которую автор будет проезжать транзитом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #114

100. Сообщение от Аноним (25), 10-Авг-22, 20:47	+/–
> есть прецеденты? Есть. И как арестовывают в транзитных аэропортах тоже есть. Почитай хоть у того же Кребса на сайте. > даже ослу же ясно, что npm создан для того, чтобы приманивать лохов, которые не осилят написать даже убогий скрипт для сайта. Ослу может и понятно, но я не осёл. Можешь объяснить, раз уж ты такой специалист по ослиному мышлению, как же так вышло, что практически весь веб так или иначе оказался завязан на npm, включая огромные корпорации, которые уж точно могут себе позволить нанять хотя бы средненьких девелоперов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #106

101. Сообщение от Аноним (25), 10-Авг-22, 20:54	+/–
> они придумали прибить сборочную конфигурацию на гвозди Ну ты попробуй пописать что-то сложнее hello world и накопленных скриптов, поймёшь зачем это и почему так делают дольше, чем ты на свете живёшь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #112

102. Сообщение от Аноним (105), 10-Авг-22, 23:28	+/–
Так называемые "Фронтэнд разработчики" не могут в apt. Все что они могут это прозонтированный трехфакторной авторизацией каталог вредоносных пакетов npm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #107, #113, #84

103. Сообщение от Аноним (105), 10-Авг-22, 23:35	+/–
Вы имеете в виду что современные разработчики не могут понять apt и поэтому изобрели докер? Но ведь докер гораздо сложнее apt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

104. Сообщение от Аноним (105), 10-Авг-22, 23:40	+/–
Разверните подробнее вашу мысль, на каком основании вы считаете что npm для тех кто не осилит написать скрипт на сайт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

105. Сообщение от Аноним (105), 10-Авг-22, 23:44	–3 +/–
Уважаемый анонимный эксперт, вы забыли добавить технический анализ почему apt лучше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

106. Сообщение от darkshvein (ok), 10-Авг-22, 23:46	+/–
>практически весь веб так или иначе оказался завязан на npm это называется экономика
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #123

107. Сообщение от Аноним (48), 11-Авг-22, 00:00	+/–
Это тупые обезьянки дистростроители не могут в npmи не научились собирать пакеты. Какая попоболь. Ведь макакам не объяснили разницу между кодом, для чего используется npm, и готовым продуктом. Который должны собирать apt макаки. Но они не осилили. Печаль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

109. Сообщение от Аноним (-), 11-Авг-22, 01:02	–1 +/–
Let's encrypt так то тоже ни разу не децентрализованый. Как может быть распределенным его аналог?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

110. Сообщение от Аноним (-), 11-Авг-22, 01:03	+/–
Я не все, это их проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

111. Сообщение от Аноним (111), 11-Авг-22, 01:04	+/–
Раньше CDN был популярен. Там нельзя как в NPM выполнить любой скрипт при установке пакета (а без этого про безопасность вообще бессмысленно говорить - пакет может быть супер, а всё вредоносное можно добавить тихо при установке).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

112. Сообщение от Аноним (-), 11-Авг-22, 01:04	+/–
Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась. Более того при разработке хорошая практика это девелопать под самые новые версии компонентов, чтобы быть готовым к будущему сразу а не когда уже поздняк метаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #124

113. Сообщение от Аноним (-), 11-Авг-22, 01:06	+1 +/–
> Так называемые "Фронтэнд разработчики" не могут в apt. Так это не баг а фича: сразу видно кто в вольере гадит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

114. Сообщение от YetAnotherOnanym (ok), 11-Авг-22, 09:51	+/–
Ну так тем более не будет дорожить своей репутацией тот, кто делает что-то, за что можно сесть. Кроме того, никто не застрахован от булочки с крысиным ядом, если какой-нибудь Аксель Джордах решит сделать прощальный сюрприз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #115

115. Сообщение от Аноним (29), 11-Авг-22, 14:29	+/–
Вы точно уверены, что сможете установить личность любого из авторов 100500 пакетов npm (бОльшая часть из которых - анонимы на github)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #121, #122

116. Сообщение от Ляля (??), 11-Авг-22, 14:50	+/–
То есть принципиально ничем, только в деталях: репозиторий дистра наполняют более симпатичные люди, и попадает в туда не всё, а что эти люди посчитали нужным добавить. С репой дистра мы полагаемся на неких абстрактных ментейнеров, изначально и безусловно доверяя им, хотя причин для этого просто нет. «У них подписанные ключи» и «они знают друг друга» это причина для доверия между ментейнерами, но не для юзера, юзеру остаётся только верить, что репа беды не принесёт, верить, что ментейнеры хорошие парни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #119

118. Сообщение от Ляля (??), 11-Авг-22, 14:58	+/–
>Они знают друг друга. А я их не знаю, для меня они какие-то люди в интернете. Как их знакомство друг с другом делает пакет безопаснее для меня? >есть моральная ответственность Тоже наверно перед друг другом, не передо мной же или другим админом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

119. Сообщение от Аноним (119), 11-Авг-22, 15:10	+/–
Если не хочешь весь необходимый софт писать с нуля включая компиляторы, то необходимо кому-то доверять. И так уж сложилось, что бомж Вася, который свой аккаунт сольёт за бутылку водки любому прохожему, заслуживает меньшего доверия чем Линус Торвальдс. Если доверять всем, то можете с тем же успехом оставить свой бумажник с кредитными картами в кафе, все же честные люди. А если не доверять не никому, то нужно собственный процессор печатать на собственном станке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #120

120. Сообщение от Ляля (??), 11-Авг-22, 15:17	+/–
Спасибо, я об этом как раз и говорю! Репа дистра не безопаснее NPM, но доверять ей проще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #125

121. Сообщение от YetAnotherOnanym (ok), 11-Авг-22, 18:54	+/–
Кстати, да, очень хорошее наблюдение. Что там насчёт репутации этих авторов, бОльшпая часть из которых анонимы? У всех проверили? Удостоверились, что они ею дорожат?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

122. Сообщение от Аноним (122), 11-Авг-22, 19:04	+/–
> анонимы на github Оксюморон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

123. Сообщение от Аноним (122), 11-Авг-22, 19:05	+/–
А какое отношение экономика имеет к ослиному мышлению?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #127

124. Сообщение от Аноним (122), 11-Авг-22, 19:08	+/–
> Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась. Если только во сне. > Более того при разработке хорошая практика это девелопать под самые новые версии компонентов, чтобы быть готовым к будущему сразу а не когда уже поздняк метаться. Это ужасная практика, которая приводит к несуразным тратам времени на ремонт того, что не сломано. Погоня за циферками — удел админов локалхостов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

125. Сообщение от Аноним (122), 11-Авг-22, 19:11	+/–
> доверять ей проще А можешь тезисно пояснить как ты пришёл к такому выводу? Какие-то объективные критерии привести, определение простоты дать, разъяснить в общем для менее осведомленной публики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #128

127. Сообщение от darkshvein (ok), 11-Авг-22, 21:23	+/–
> А какое отношение экономика имеет к ослиному мышлению? киса, ты обиделсо? тебе пояснить, что проще и главное  дешевле тебя по статье натянуть, нежели доплачивать тебе за написание кода, который ты толком и не умеешь писать? что ты потом блеять будет про какие то модули от врагов россии уже заказчика и суд волновать будет мало, ибо ответственным зицпредседателем будешь ты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

128. Сообщение от Ляля (??), 12-Авг-22, 00:05	+/–
Иди в другом месте поиграй, сорванец.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

129. Сообщение от Аноним (129), 12-Авг-22, 08:46	+/–
эхъ, а когда-то kde собирали в freebsd из сорцов, а чтоб все собиралось и работало комментили непонятные куски кода (! безопасность еще тогда).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #130

130. Сообщение от BorichL (ok), 12-Авг-22, 14:58	+/–
Дык до сих пор так делают, ну может в код особо не лезут, но желающие - могут   :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

131. Сообщение от Аноним (131), 13-Авг-22, 14:53	+1 +/–
К сожалению, "персональная репутация" становится пустым звуком во время войны, поскольку любой из цепочки доверия может оказаться отмороженным русофобом, мечтающим нагадить русским любой ценой, и в честь этого помещающим "приветик" в свой же собственный код. А самое печальное, что стоит ему слегка не рассчитать, и этот "приветик" пойдет вместо русских, всем подряд без особых различий в нации, расе или гражданстве. Классика терроризма, епта. Кстати, если кому-то важно, то можете, в честь толерантности, заменить "русофоба" на "исламского террориста" или типа того... вот только что это меняет? Все фанатики, по определению, слегка неадекватны (некоторые даже и не слегка!), а спусковым крючком для такого урода может стать любая мелочь... не говоря уж о серьезных поворотных событиях. Лично я думаю, что скоро появятся этакие гейты безопасности, которые будут анализировать исходный код и предоставлять его конечному потребителю только если он пройдет все проверки. Собственно у банков и крупных компаний давным-давно подобный механизм имеется. Ну, а для персональных потребителей появятся коммерческие аналоги, которые за платную подписку будут делать тоже самое. Печально звучит конечно же... ну, а что поделаешь? Такова реальность, - шкатулка Пандоры открыта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

132. Сообщение от A (?), 15-Авг-22, 10:19	+/–
> почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm? Потому, что можно без знаний и без душнилова писать от души слабо продуманный код как стихи. Хорошие стихи написать трудно. Ну и хороший код - тоже. А упаковать в Deb и пройти проверки на косолапость в Дебиан - трудно, нужно много выучить. Короче - так было проще сделать обыкновенный тяп ляп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

134. Сообщение от Аноним (134), 15-Авг-22, 13:53	+/–
Проблема мусорного бака в том что его нужно периодически вывозить. Что npm, что pypi, что crates как раз такие бездонные баки, содержимое которых нужно в вулканической лаве растворять. Причем "неймсквоттинг" там во все поля: условный белый джентльмен создаёт тысячу модулей на популярные названия и везде лепит одну и ту же фразу: "я создал этот проект чтобы не хорошие люди не могли напакостить, напишите мне туда-то если вы заинтересованы в проекте". 🤡
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #135

135. Сообщение от Ааантоним (?), 15-Авг-22, 18:25	+/–
И при этом когда из содержимого бака что-либо обязательно неотъемлемая часть обеда у джентельмена. Примечательно, для Питона есть Conda репозиторий. Была догадка - там отфильтрованы более менее нетухлые кусочки из бака. Не проверял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема