Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Бэкдор в зависимости к event-stream, популярной библиотеке к..., opennews (?), 26-Ноя-18, (0) [смотреть все] НИКОГДА такого не было и вот опять, интеллигентный разработчик (?), 21:55 , 26-Ноя-18, (1) +48 // помнити об npm leftad , пох (?), 22:15 , 26-Ноя-18, (3) +1 // А что такого с left-pad , Аноним (55), 12:12 , 27-Ноя-18, (55) +2 Samba она такая , Ydro (?), 19:03 , 27-Ноя-18, (79) –1 2 миллиона 7 N кхм девопсиков, безоглядно доверяющих мейнтейнить куски, Онаним (?), 21:55 , 26-Ноя-18, (2) +8 // два миллиона - это только у тех кто не очень доверяли и зачем-то проверили стоты, пох (?), 22:17 , 26-Ноя-18, (5) +1 // За них композитор эту зависимость проверил А ревьюить некому, лень, и вообще не, Онаним (?), 22:50 , 26-Ноя-18, (14) +2 Я правильно понимаю, что ты вообще никакой сторонний код не используешь и пишешь, Аноним (94), 18:04 , 28-Ноя-18, (94) –1 Смех смехом, но сильно ли отличаются в этом отношении от ноды другие веб-фреймво, Аноним (4), 22:17 , 26-Ноя-18, (4) +8   // А дело не в ноде Ручки-то - вот они, изящно изогнутые Ревью изменений сторонне, Онаним (?), 22:26 , 26-Ноя-18, (7) +1   // каких таких изменений Оно ж с самого начала там лежало ревью ВСЕГО стороннего, пох (?), 22:37 , 26-Ноя-18, (9) +2   // Как минимум - ревью всех изменений стороннего кода от условно-trusted версии воо, Онаним (?), 22:47 , 26-Ноя-18, (11) +2   ну вы же уже всосали, не глядя, неизвестный код немалого объема - а теперь готов, пох (?), 23:00 , 26-Ноя-18, (17) +3   Дык и я о том Ну на самом деле не совсем так, кроме фич бывают ещё багфиксы Вп, Онаним (?), 23:03 , 26-Ноя-18, (21)   Если я вас правильно понял, то нужно скопировать модуль к себе, жестко заморозит, Василий Топоров (?), 23:33 , 26-Ноя-18, (35)   причем не зная заранее, ни какая версия сегодня модно, ни тем более - что еще он, пох (?), 10:27 , 27-Ноя-18, (49)   Это вы про C boost сейчас , Аноним (36), 23:39 , 26-Ноя-18, (36) +4   который из трех ой, нет, уже четырех установленных справедливости ради - boo, пох (?), 23:00 , 27-Ноя-18, (88) +1   Справедливости ради и leftpad не нужен, т к есть нативный метод String prototyp, Аноним (36), 09:24 , 28-Ноя-18, (91)   а баги в чужих либах вы как фиксите или у вас zip so написан через libgodallkno, J.L. (?), 12:43 , 27-Ноя-18, (59)   никак, если либа принята в продакшн - она прошла тестирование, в том виде, в кот, пох (?), 20:04 , 27-Ноя-18, (80) +1   И нет - юнит-тестами вы все возможные комбинации звездецов в сторонних либах не , Онаним (?), 23:01 , 26-Ноя-18, (18)   конечно нет И потом - нахрена мне юнит-тесты ЧУЖИХ либ Я их не для того подкл, пох (?), 23:04 , 26-Ноя-18, (24)   Угу, я именно про юнит-тесты собственных модулей, завязанных на чужие либы В ли, Онаним (?), 23:08 , 26-Ноя-18, (29)   Да никто не ревьюит второй уровень вложенности То, что непосредственно проект т, Crazy Alex (ok), 23:01 , 26-Ноя-18, (20) +5   Хера себе То есть можно горе-деплоерам rm -rf подтянуть в комплекте, и они не, Онаним (?), 23:03 , 26-Ноя-18, (23)   так вот, только ж что и спалили, правда, но это скорее случайность , пох (?), 23:05 , 26-Ноя-18, (26) +3   Да уж, сколько там ещё такого добра, остаётся только гадать , Онаним (?), 23:09 , 26-Ноя-18, (30)   Но есть ньюанс, хорошее ревью кода обходится дороже написания кода А поверхно, КО (?), 12:16 , 27-Ноя-18, (57) +1   И нет, с самого начала оно там не лежало Why was right9ctrl given access to th, Онаним (?), 22:56 , 26-Ноя-18, (16) +1   а что, не нужно было я -то имел в виду, что в этом самом flatmap оно лежало , пох (?), 23:01 , 26-Ноя-18, (19)   Ну ревью-то в любом случае выявило бы новую зависимость, к которой нужно отнести, Онаним (?), 23:05 , 26-Ноя-18, (27)   В ноде дело В ней невозможно программировать без установки кучи библиотек Да ко, Аноним (41), 05:22 , 27-Ноя-18, (41) +1   а причем тут - веп-фреймворки помимо ноды которая ни разу не веб и не фреймвор, пох (?), 22:33 , 26-Ноя-18, (8) +2   // Да и композерное угрёбище в похе то есть в пыхе - не отстаёт , Онаним (?), 22:49 , 26-Ноя-18, (12) –4   На самом деле он реально хорош тем, что стандартного официального набора либ дос, RomanCh (ok), 13:11 , 27-Ноя-18, (67)   // вопрос тогда, что считать стандартным набором - вот все вот это, что оно понат, пох (?), 20:09 , 27-Ноя-18, (81) +1   Не не, я строго про то что идёт в дефолтном архиве с компилером Т е то что был, RomanCh (ok), 20:26 , 27-Ноя-18, (83) +1   если бы ты хоть немного разбирался в теме, то знал бы, что гитхаб такое не позво, Аноним (87), 22:35 , 27-Ноя-18, (87) –1   Да что там фреймворки - не каждый коммерческий Линукс озаботился доказательной б, КО (?), 11:15 , 29-Ноя-18, (97) –1   Пишите про пакеты, где нет бэкдора, если таковые конечно остались , Аноним (6), 22:25 , 26-Ноя-18, (6) Мне интересно другое, как отстранившийся от дел автор event-stream так наивно пе, Аноним (10), 22:44 , 26-Ноя-18, (10) +5 // Он где-то подписывал юридически значимый договор с обязательствами так не делать, Онаним (?), 22:49 , 26-Ноя-18, (13) Поэтому мне более интересно как кхм неназываемо кхм решились использова, Онаним (?), 22:53 , 26-Ноя-18, (15) +1 // Потому что они уже использовали сотню таких же на этом проекте и тысячу - на прр, Crazy Alex (ok), 23:04 , 26-Ноя-18, (25) +2 // Ну в общем и получили то, что заслужили Ничего сверху интересного нет , Онаним (?), 23:06 , 26-Ноя-18, (28) Другие пакеты добавили библиотеку event-stream от известного автора 100 лет в об, Анонимочкин (?), 23:09 , 26-Ноя-18, (31) // Есть простое правило любой апдейт сорцов сторонней либы, прибитых к собственном, Онаним (?), 23:11 , 26-Ноя-18, (32) Попробуй в одиночку всё отревьювить Мне например вообще проще микро зависимости, Анонимочкин (?), 23:18 , 26-Ноя-18, (33) Ну о чём и речь, если не ревьюить - будет засада Иногда лучше вообще никак, , Онаним (?), 23:22 , 26-Ноя-18, (34) лучше не программировать вы хотели сказать , Аноним (41), 05:36 , 27-Ноя-18, (42) Ну в общем да Не умеешь - не берись , есть такая фраза из старины , Онаним (?), 08:59 , 27-Ноя-18, (45) +1 В старине ещё ездили на телегах, спали на лавках, избы по чёрному топили, а пита, Аноним (94), 18:06 , 28-Ноя-18, (95) –1 Вы в пролете с таким правилом - сорцы были в порядке Минифицированная версия не, КО (?), 11:17 , 29-Ноя-18, (98) +1 вообще это важное замечаниевсё ещё хуже для мантейнеров , J.L. (?), 16:19 , 04-Дек-18, (104) вот вроде бы ответ из первых уст https pbs twimg com media Ds8nulwXgAAd4bv jp, Нанобот (ok), 23:03 , 26-Ноя-18, (22) +1 а что он должен был сделать какой тест профпригодности есть для передачи или до, J.L. (?), 12:57 , 27-Ноя-18, (61) +1 Неплохо Новый вызов опенсурцу как поддерживать базу кода невероятного объёма, , Ordu (ok), 01:06 , 27-Ноя-18, (37) +4 // У нормальных проектов, разрабатываемых по нормальным методикам, а не в виде крау, Онаним (?), 09:00 , 27-Ноя-18, (46) +1 // Если проект разработан нормально он не может тянуть 10 000 зависимостей каждая и, Аноним (53), 11:03 , 27-Ноя-18, (53) –1 Нормальные методики в твоём понимании -- это разработанные дедами Откуда тако, Ordu (ok), 11:26 , 27-Ноя-18, (54) –6 // переложить ответственность на никого, отличный способ не страдать , нах (?), 12:15 , 27-Ноя-18, (56) +1 Для некоторых -- да , Ordu (ok), 16:05 , 27-Ноя-18, (74) Нет, я технократ За такие поделки надо редактор от сети отключать и аффтару, и , Онаним (?), 20:32 , 27-Ноя-18, (84) Ну не малолетками же, которые и впрямь ложку в ухо упорно несут Вы и в этом неко, Michael Shigorin (ok), 20:02 , 07-Дек-18, (105) Сказаал модератор форума школоло-эникеев Очень убедительно вышло , Ordu (ok), 16:33 , 08-Дек-18, (107) Любой действительно мыслящий человек понимает, что 171 новое 187 и 171 луч, КГБ СССР (?), 20:49 , 07-Дек-18, (106) +1 Чёт тебя понесло в тривиальщину Умные мысли кончились Да-да Тут целый форум дe, Ordu (ok), 16:41 , 08-Дек-18, (108) Я ещё не отсмеялся, прочитав пафосные рассусоливания миллениала про индивидуальн, КГБ СССР (?), 17:22 , 08-Дек-18, (109) Слишком сложно Книжки надо читать чаще, тогда проблем с пониманием текстов длин, Ordu (ok), 18:19 , 08-Дек-18, (110) Феерический невежда Ещё и хам и графоман - , КГБ СССР (?), 19:32 , 08-Дек-18, (111) Ты так говоришь, будто только сейчас это понял Тупой что ли , Ordu (ok), 20:07 , 08-Дек-18, (112) Кстати обо всех этих эвристиках и байесах, как всегда как на заказ напоролся тут, Ordu (ok), 20:58 , 08-Дек-18, (113) Как обычно - ревьювить все пул-реквесты, не мержить что попало А комитить в мас, trolleybus (?), 09:31 , 27-Ноя-18, (47) +1 // и что вы сделаете с пулреквестом добавляющим зависимость от либы делающей нужно, J.L. (?), 13:05 , 27-Ноя-18, (63) // Да каждый ответить, что либа которая делает непонятно-что , но у которой есть т, КО (?), 16:59 , 27-Ноя-18, (77) пилите антивирус для сабжа , Аноним (48), 10:05 , 27-Ноя-18, (48) успешный стартап только что намайнил свистнул чужие пару десятков btc, и еще с, пох (?), 10:30 , 27-Ноя-18, (51) +2 https ru wikipedia org wiki Предотвращение_утечек_информации, Аноним (39), 03:56 , 27-Ноя-18, (39) // а в реальности оно работает никакили вы сидите в закрытом ящике и пишете целиком, J.L. (?), 13:07 , 27-Ноя-18, (65) Это мне напомнило старую статейку на хабре https habr com company ruvds blog 3, svsd_val (ok), 05:58 , 27-Ноя-18, (43) +3 // веб уже ничто не спасет, Аноним (48), 10:30 , 27-Ноя-18, (50) +1 как же так видь это же репозиторий у которого есть мантейнеры как же такое м, J.L. (?), 12:29 , 27-Ноя-18, (58) Кто все эти люди , Аноним (71), 13:44 , 27-Ноя-18, (71) // Так это не люди Там зависимость на зависимости с зависимостью Ты мог сделать n, НяшМяш (ok), 14:37 , 27-Ноя-18, (73) На зависимостях из NPM можно классный ботнет соорудить , Аноним (75), 16:49 , 27-Ноя-18, (75) а есть там пакет у которого в зависимостях все , ыы (?), 16:57 , 27-Ноя-18, (76) // его еще не плохо было бы впропихнуть в зависимость ко всему , КО (?), 11:19 , 29-Ноя-18, (99) VSCode зависит от event-stream Если ваш мейнтенер или вы собрал его с заражен, Аноним (78), 17:24 , 27-Ноя-18, (78) // бггг с другой стороны - ну крановщик же не хранит свою заначку от жены в кабине , пох (?), 20:12 , 27-Ноя-18, (82) // А вот тут дедка надвое сказала Которая была бы бабкой при определённых условиях, Онаним (?), 20:34 , 27-Ноя-18, (85) DLL hell, version 2 0 Умные учатся на чужих ошибках, простые люди на своих и тол, OldFart (?), 20:58 , 27-Ноя-18, (86) +1 // Тебе бы не мешало поучиться русскому языку , Ananim (?), 08:54 , 28-Ноя-18, (89) // Так я с ним родился, с русским, куда еще больше учить ну а на счет typos, sor, OldFart (?), 17:02 , 28-Ноя-18, (92) DLL hellэто вообще про конфликт зависимостей, ник не оправдали если даже такое н, Аноним (90), 09:03 , 28-Ноя-18, (90) // Название темы Бэкдор в зависимости , отсюда версия 2 раньше конфликт, тепер, OldFart (?), 17:07 , 28-Ноя-18, (93) Интересный тут ср ч развели, конечно Но речь вот о чем Веб-приложения на Node,, Попугай Кеша (?), 09:44 , 29-Ноя-18, (96) // Корень еще в том, что вендоры библиотек не заботятся о выпуске стабильных релизо, Аноним (100), 11:50 , 29-Ноя-18, (100) // Да, тоже дельный совет Можно лочить версию пакета, чтобы случайно так не обнови, Попугай Кеша (?), 12:04 , 29-Ноя-18, (101) NPM да здравствует YARN https yarnpkg com lang en , Aqueelone (?), 12:57 , 03-Дек-18, (103) 1,2,4,6,10,37,39,43,58,71,75,76,78,86,96,103

Сообщения

[Сортировка по времени | RSS]

4. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+8 +/–
Сообщение от Аноним (4), 26-Ноя-18, 22:17
Смех смехом, но сильно ли отличаются в этом отношении от ноды другие веб-фреймворки? Куча зависимостей, которая при установке без лишних раздумий тянется из репы или с гитхаба - это намного ли безопаснее?
Ответить | Правка | Наверх | Cообщить модератору

	7. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от Онаним (?), 26-Ноя-18, 22:26
	А дело не в ноде. Ручки-то - вот они, изящно изогнутые. Ревью изменений стороннего кода? Не, не слышали.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+2 +/–
	Сообщение от пох (?), 26-Ноя-18, 22:37
	каких таких "изменений"? Оно ж с самого начала там лежало. ревью ВСЕГО стороннего кода? Ну тогда какой вам node, вы и на сях-то сами его ни в жизнь ниасилите (хотя там и не доходит до leftpad)
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+2 +/–
	Сообщение от Онаним (?), 26-Ноя-18, 22:47
	Как минимум - ревью всех изменений стороннего кода от условно-trusted версии вообще обязательно. Или вы предпочитаете вкрячивать не глядя неизвестные изменения, которые сломают неизвестно что в вашем проекте? Если да - примерно об этой категории изящно изогнутых рук я выше и написал. Для реально серьёзных проектов - да, ревью всего стороннего кода уровня проекта (нет, каждую 100 лет известную библиотеку нижнего уровня ревьюить не надо, это уже за 100 лет сделало коммюнити), затянутого в проект. Причём чем меньше стороннего кода, тем лучше, меньше шансов, что придётся переломать весь проект, когда аффтарам удалённой либы придёт в голову изменить её API до неузнаваемости или просто забить на поддержку.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+3 +/–
	Сообщение от пох (?), 26-Ноя-18, 23:00
	> Или вы предпочитаете вкрячивать не глядя неизвестные изменения ну вы же уже всосали, не глядя, неизвестный код немалого объема - а теперь готовы биться за какие-то там "изменения"? > которые сломают неизвестно что в вашем проекте это npm, тут так принято - версия существует самая наираспоследняя, сломалось - срочно переделываем у себя, заодно ломая все что от нас стало зависимым. иначе бы каждый дурак мог просто зафиксировать версию с устраивающим его функционалом и обойденными найденными граблями - зачем вам новая, если ваш код не собирается использовать ее фич? > Причём чем меньше стороннего кода, тем лучше ну см опять leftpad. плата за "простоту" языка - геморрой с элементарнейшими операциями, которые приходится отдельным модулем оформлять. верно, опять же, и для пихона, и для игого, может в чуть менее идиотической степени. P.S. и поэтому пихоновский контейнер у меня - с вручную собраными wheels (бо _egg теперь немодно). Поэтому он будет, сцуко, работать, даже через десять лет (и да, локальное зеркало репо с тем самым пихоном тоже есть). Кто знает как повторить этот фокус с composer? С npm не надо, я не настолько долбанутый.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Онаним (?), 26-Ноя-18, 23:03
	> это npm, тут так принято Дык и я о том ) Ну на самом деле не совсем так, кроме фич бывают ещё багфиксы. Впрочем да, никто не мешает их бэкпортить, это альтернативный вариант селф-сервиса для зафиксированных стабильных веток, но он всё равно ревью подразумевает. По остальному абсолютно согласен )
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Василий Топоров (?), 26-Ноя-18, 23:33
	>Кто знает как повторить этот фокус с composer? Если я вас правильно понял, то нужно скопировать модуль к себе, жестко заморозить зависимость версии и тянуть возможные изменения этого кода только после обновления модуля у себя в репозитории "руками". Если это так, то нужно поднять свой https://getcomposer.org/doc/articles/handling-private-packag... и указать в composer.json конкретные версии оттуда.
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	49. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от пох (?), 27-Ноя-18, 10:27
	> Если я вас правильно понял, то нужно скопировать модуль к себе, жестко заморозить зависимость > версии причем не зная заранее, ни какая версия сегодня модно, ни тем более - что еще он притащит за собой. (а он притащит, раз использует composer - значит можно быть уверенным, что в зависимостях примерно "весь интернет") satis для этого не предназначен, так можно вручную переварить один-два пакета, а если их десяток, каждый со своими цепочками зависимостей - проще расслабиться и плюнуть. сломается - ставим задачу разработчикам "срочно почините". Для того и понабрали...
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+4 +/–
	Сообщение от Аноним (36), 26-Ноя-18, 23:39
	> плата за "простоту" языка - геморрой с элементарнейшими операциями, которые приходится отдельным модулем оформлять. Это вы про C++ boost сейчас?
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	88. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от пох (?), 27-Ноя-18, 23:00
	который из трех...ой, нет, уже четырех установленных? (справедливости ради - boost решает "элементарные" задачи посложнее leftpad. Многим проектам они нафиг не сдались.)
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Аноним (36), 28-Ноя-18, 09:24
	Справедливости ради и leftpad не нужен, т.к. есть нативный метод String.prototype.padStart
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от J.L. (?), 27-Ноя-18, 12:43
	> P.S. и поэтому пихоновский контейнер у меня - с вручную собраными wheels > (бо _egg теперь немодно). Поэтому он будет, сцуко, работать, даже через > десять лет (и да, локальное зеркало репо с тем самым пихоном > тоже есть). Кто знает как повторить этот фокус с composer? С > npm не надо, я не настолько долбанутый. а баги в чужих либах вы как фиксите? или у вас zip.so написан через libgodallknown?
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	80. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от пох (?), 27-Ноя-18, 20:04
	никак, если либа принята в продакшн - она прошла тестирование, в том виде, в котором мы ее используем - значит, скорее всего, если там и есть баги - в сочетании с нашими число их четно, и у нас они не проявляются или костыликом подперты. А когда и если проявятся - значит, переделан прод - значит, смысла в старом контейнере все равно нет, а если при обновлении сломается новая версия - см выше - разработчиков для того и брали, "срочно чините".
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Онаним (?), 26-Ноя-18, 23:01
	И нет - юнит-тестами вы все возможные комбинации звездецов в сторонних либах не покроете. Только комбинация теоретического ревью и актуальных тестов.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	24. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от пох (?), 26-Ноя-18, 23:04
	конечно нет. И потом - нахрена мне юнит-тесты ЧУЖИХ либ ? Я их не для того подключал, чтоб за авторами горшок выносить. В смысле - ну даже написал, потратив больше времени чем всю либу написать с нуля, ну оно сфейлилось, и что делать будим ? Пойдем чинить апстрим? А нам оно вообще надо? Может мы его в этой позе и использовать-то не собираемся. Свои, использующие чужое, могут быть юнит-тестами и покрыты - но заведомую диверсию, как тут, они не выявят.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Онаним (?), 26-Ноя-18, 23:08
	Угу, я именно про юнит-тесты собственных модулей, завязанных на чужие либы. В либе что-то кромсают, и не факт, что это под тесты влетит.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+5 +/–
	Сообщение от Crazy Alex (ok), 26-Ноя-18, 23:01
	Да никто не ревьюит второй уровень вложенности. То, что непосредственно проект тянет - да, но то, что ниже - очень вряд ли. Разница в том, что в "больших" языках эти "ниже" обычно и есть "известные библиотеки нижнего уровня", а в джаваскрипте 100500 уровней, и на каждом - не понять что не понять от кого.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	23. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Онаним (?), 26-Ноя-18, 23:03
	Хера себе. То есть можно горе-деплоерам rm -rf / подтянуть в комплекте, и они не заметят? Красиво )
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+3 +/–
	Сообщение от пох (?), 26-Ноя-18, 23:05
	так вот, только ж что и... (спалили, правда, но это скорее случайность)
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Онаним (?), 26-Ноя-18, 23:09
	Да уж, сколько там ещё такого добра, остаётся только гадать.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от КО (?), 27-Ноя-18, 12:16
	>Как минимум - ревью всех изменений стороннего кода от условно-trusted версии вообще обязательно. Но есть ньюанс, хорошее ревью кода обходится дороже написания кода. :) А поверхностное не заметит, что в зависимости от зависимости в тестовом примере (какой ревьювер за наличие тестов + не поставит? :) ) будет зашит майнер.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	16. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от Онаним (?), 26-Ноя-18, 22:56
	И нет, с самого начала оно там не лежало. "Why was @right9ctrl given access to this repo? He added flatmap-stream" Ключевое слово - added.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	19. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от пох (?), 26-Ноя-18, 23:01
	а что, не нужно было? я -то имел в виду, что в этом самом flatmap оно лежало.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от Онаним (?), 26-Ноя-18, 23:05
	Ну ревью-то в любом случае выявило бы новую зависимость, к которой нужно отнестись с особым пристрастием )
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от Аноним (41), 27-Ноя-18, 05:22
	В ноде дело. В ней невозможно программировать без установки кучи библиотек. >Ревью изменений стороннего кода? Не, не слышали. Да конечно. Только помрешь раньше чем весь код проверишь.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	8. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+2 +/–
	Сообщение от пох (?), 26-Ноя-18, 22:33
	а причем тут - веп-фреймворки? помимо ноды (которая ни разу не веб и не фреймворк) есть еще прекрасный пихон и еще более прекрасный игого, которые к веппу только тем относятся, что современный разработчик жить не может без http(s) протокола где надо и где не надо. > без лишних раздумий тянется из репы или с гитхаба - это намного ли безопаснее? это вообще вчерашний день и эпоха довеба. script src=raw.​githubusercontent.​com/someshit/somemoreshit/shitcode.js  - вот как надо! впрочем, если вы ретро-гад и пишете на пехепе, для вас есть божественный composer, ик...щас он вам накомпозирует!
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	12. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	–4 +/–
	Сообщение от Онаним (?), 26-Ноя-18, 22:49
	Да и композерное угрёбище в похе... то есть в пыхе - не отстаёт.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от RomanCh (ok), 27-Ноя-18, 13:11
	> и еще более прекрасный игого На самом деле он реально хорош тем, что стандартного официального набора либ достаточно что бы без особой боли решить практически любую задачу уровня "мне нужен высокопроизводительный (по нынешним мерка) микронекросервис/http-демон" или чего попроще. Ну и понятно - потребление ресурсов хоть по процу хоть по памяти сильно более хорошее чем у какого-нить пыхтона. Если вы готовы в нём писать вычислительные задачи только лишь стандартными операторами (бинарные сдвиги, И/ИЛИ/НЕ и арифметика) работая над байтиками, то производительность его ровно такая же как у С. Хотя памяти безусловно сожрёт побольше, но далеко не как пыхтон. А ещё в нём можно брать и впиливать вставки кода прямо на С, не применяя какие-то особые костыли. На мой взгляд это прекрасная фича которая позволяет решать вопросы работы с ОС если нужных инструментов не нашлось в стандартных либах. Минус - размер бинаря в который "собрано всё что нужно", это на мой взгляд вообще шаг назад в развитии технологий. И к сожалению выражается он не только в go.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	81. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от пох (?), 27-Ноя-18, 20:09
	> На самом деле он реально хорош тем, что стандартного официального набора либ достаточно вопрос тогда, что считать "стандартным набором" - вот все вот это, что оно понатащило в хомяк, оно ж вполне "официальное", только вот написано хз кем хз как. > Минус - размер бинаря в который "собрано всё что нужно", это на мой взгляд вообще шаг назад > в развитии технологий. хм, учитывая "все что нужно" (и то что там по сути go-версии всего содержимого /usr/lib) - размер как раз весьма небольшой. Но вот про shared libraries да, можно забыть на данном этапе "развития технологий". в принципе, в эпоху горе-контейнеров и недосервисов о них и так уже пора было забыть. Новые модные технологии - mem dedup и прочее, подтянутся.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от RomanCh (ok), 27-Ноя-18, 20:26
	> вопрос тогда, что считать "стандартным набором" - вот все вот это, что оно понатащило в хомяк, оно ж вполне "официальное", только вот написано хз кем хз как. Не не, я строго про то что идёт в дефолтном архиве с компилером. Т.е. то что было до начала всяких там go get ... Ибо последнее - это действительно тот же leftpad можно получить. > Но вот про shared libraries да, можно забыть на данном этапе "развития технологий". И это тоже, хотя они вроде прикрутили что-то уже на эту тему. В общем-то я больше имел ввиду то, что мы теряем общее отображение тех самых либ в память, потому на тыщах контейнеров суммарно мы можем терять уже гигабайты памяти. > в принципе, в эпоху горе-контейнеров и недосервисов о них и так уже пора было забыть. Новые модные технологии - mem dedup и прочее, подтянутся. https://lwn.net/Articles/330589/ Не такие уж и новые :) Уж с десяток лет будет. По нынешним меркам - почти динозавр. И оно как-то даже работает, если ручки подкрутить что бы проц не выжирало. Но конечно то ещё костылище.
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	–1 +/–
	Сообщение от Аноним (87), 27-Ноя-18, 22:35
	>script src=raw.​githubusercontent.​com/someshit/somemoreshit/shitcode.js  - вот как надо!   если бы ты хоть немного разбирался в теме, то знал бы, что гитхаб такое не позволяет. Советую пойти почитать книжку "http-хедеры для чайников"
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	97. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	–1 +/–
	Сообщение от КО (?), 29-Ноя-18, 11:15
	>Смех смехом, но сильно ли отличаются в этом отношении от ноды другие веб-фреймворки? Да что там фреймворки - не каждый коммерческий Линукс озаботился доказательной базой, что бинарный пакет собран именно из сырцов, которые выложены на публику. Что требовать от npm?
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема