Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Бэкдор в зависимости к event-stream, популярной библиотеке к..., opennews (?), 26-Ноя-18, (0) [смотреть все] НИКОГДА такого не было и вот опять, интеллигентный разработчик (?), 21:55 , 26-Ноя-18, (1) +48 // помнити об npm leftad , пох (?), 22:15 , 26-Ноя-18, (3) +1 // А что такого с left-pad , Аноним (55), 12:12 , 27-Ноя-18, (55) +2 Samba она такая , Ydro (?), 19:03 , 27-Ноя-18, (79) –1 2 миллиона 7 N кхм девопсиков, безоглядно доверяющих мейнтейнить куски, Онаним (?), 21:55 , 26-Ноя-18, (2) +8 // два миллиона - это только у тех кто не очень доверяли и зачем-то проверили стоты, пох (?), 22:17 , 26-Ноя-18, (5) +1 // За них композитор эту зависимость проверил А ревьюить некому, лень, и вообще не, Онаним (?), 22:50 , 26-Ноя-18, (14) +2 Я правильно понимаю, что ты вообще никакой сторонний код не используешь и пишешь, Аноним (94), 18:04 , 28-Ноя-18, (94) –1 Смех смехом, но сильно ли отличаются в этом отношении от ноды другие веб-фреймво, Аноним (4), 22:17 , 26-Ноя-18, (4) +8 // А дело не в ноде Ручки-то - вот они, изящно изогнутые Ревью изменений сторонне, Онаним (?), 22:26 , 26-Ноя-18, (7) +1 // каких таких изменений Оно ж с самого начала там лежало ревью ВСЕГО стороннего, пох (?), 22:37 , 26-Ноя-18, (9) +2 // Как минимум - ревью всех изменений стороннего кода от условно-trusted версии воо, Онаним (?), 22:47 , 26-Ноя-18, (11) +2 ну вы же уже всосали, не глядя, неизвестный код немалого объема - а теперь готов, пох (?), 23:00 , 26-Ноя-18, (17) +3 Дык и я о том Ну на самом деле не совсем так, кроме фич бывают ещё багфиксы Вп, Онаним (?), 23:03 , 26-Ноя-18, (21) Если я вас правильно понял, то нужно скопировать модуль к себе, жестко заморозит, Василий Топоров (?), 23:33 , 26-Ноя-18, (35) причем не зная заранее, ни какая версия сегодня модно, ни тем более - что еще он, пох (?), 10:27 , 27-Ноя-18, (49) Это вы про C boost сейчас , Аноним (36), 23:39 , 26-Ноя-18, (36) +4 который из трех ой, нет, уже четырех установленных справедливости ради - boo, пох (?), 23:00 , 27-Ноя-18, (88) +1 Справедливости ради и leftpad не нужен, т к есть нативный метод String prototyp, Аноним (36), 09:24 , 28-Ноя-18, (91) а баги в чужих либах вы как фиксите или у вас zip so написан через libgodallkno, J.L. (?), 12:43 , 27-Ноя-18, (59) никак, если либа принята в продакшн - она прошла тестирование, в том виде, в кот, пох (?), 20:04 , 27-Ноя-18, (80) +1 И нет - юнит-тестами вы все возможные комбинации звездецов в сторонних либах не , Онаним (?), 23:01 , 26-Ноя-18, (18) конечно нет И потом - нахрена мне юнит-тесты ЧУЖИХ либ Я их не для того подкл, пох (?), 23:04 , 26-Ноя-18, (24) Угу, я именно про юнит-тесты собственных модулей, завязанных на чужие либы В ли, Онаним (?), 23:08 , 26-Ноя-18, (29) Да никто не ревьюит второй уровень вложенности То, что непосредственно проект т, Crazy Alex (ok), 23:01 , 26-Ноя-18, (20) +5 Хера себе То есть можно горе-деплоерам rm -rf подтянуть в комплекте, и они не, Онаним (?), 23:03 , 26-Ноя-18, (23) так вот, только ж что и спалили, правда, но это скорее случайность , пох (?), 23:05 , 26-Ноя-18, (26) +3 Да уж, сколько там ещё такого добра, остаётся только гадать , Онаним (?), 23:09 , 26-Ноя-18, (30) Но есть ньюанс, хорошее ревью кода обходится дороже написания кода А поверхно, КО (?), 12:16 , 27-Ноя-18, (57) +1 И нет, с самого начала оно там не лежало Why was right9ctrl given access to th, Онаним (?), 22:56 , 26-Ноя-18, (16) +1 а что, не нужно было я -то имел в виду, что в этом самом flatmap оно лежало , пох (?), 23:01 , 26-Ноя-18, (19) Ну ревью-то в любом случае выявило бы новую зависимость, к которой нужно отнести, Онаним (?), 23:05 , 26-Ноя-18, (27) В ноде дело В ней невозможно программировать без установки кучи библиотек Да ко, Аноним (41), 05:22 , 27-Ноя-18, (41) +1 а причем тут - веп-фреймворки помимо ноды которая ни разу не веб и не фреймвор, пох (?), 22:33 , 26-Ноя-18, (8) +2   // Да и композерное угрёбище в похе то есть в пыхе - не отстаёт , Онаним (?), 22:49 , 26-Ноя-18, (12) –4   На самом деле он реально хорош тем, что стандартного официального набора либ дос, RomanCh (ok), 13:11 , 27-Ноя-18, (67)   // вопрос тогда, что считать стандартным набором - вот все вот это, что оно понат, пох (?), 20:09 , 27-Ноя-18, (81) +1   Не не, я строго про то что идёт в дефолтном архиве с компилером Т е то что был, RomanCh (ok), 20:26 , 27-Ноя-18, (83) +1   если бы ты хоть немного разбирался в теме, то знал бы, что гитхаб такое не позво, Аноним (87), 22:35 , 27-Ноя-18, (87) –1   Да что там фреймворки - не каждый коммерческий Линукс озаботился доказательной б, КО (?), 11:15 , 29-Ноя-18, (97) –1 Пишите про пакеты, где нет бэкдора, если таковые конечно остались , Аноним (6), 22:25 , 26-Ноя-18, (6) Мне интересно другое, как отстранившийся от дел автор event-stream так наивно пе, Аноним (10), 22:44 , 26-Ноя-18, (10) +5 // Он где-то подписывал юридически значимый договор с обязательствами так не делать, Онаним (?), 22:49 , 26-Ноя-18, (13) Поэтому мне более интересно как кхм неназываемо кхм решились использова, Онаним (?), 22:53 , 26-Ноя-18, (15) +1 // Потому что они уже использовали сотню таких же на этом проекте и тысячу - на прр, Crazy Alex (ok), 23:04 , 26-Ноя-18, (25) +2 // Ну в общем и получили то, что заслужили Ничего сверху интересного нет , Онаним (?), 23:06 , 26-Ноя-18, (28) Другие пакеты добавили библиотеку event-stream от известного автора 100 лет в об, Анонимочкин (?), 23:09 , 26-Ноя-18, (31) // Есть простое правило любой апдейт сорцов сторонней либы, прибитых к собственном, Онаним (?), 23:11 , 26-Ноя-18, (32) Попробуй в одиночку всё отревьювить Мне например вообще проще микро зависимости, Анонимочкин (?), 23:18 , 26-Ноя-18, (33) Ну о чём и речь, если не ревьюить - будет засада Иногда лучше вообще никак, , Онаним (?), 23:22 , 26-Ноя-18, (34) лучше не программировать вы хотели сказать , Аноним (41), 05:36 , 27-Ноя-18, (42) Ну в общем да Не умеешь - не берись , есть такая фраза из старины , Онаним (?), 08:59 , 27-Ноя-18, (45) +1 В старине ещё ездили на телегах, спали на лавках, избы по чёрному топили, а пита, Аноним (94), 18:06 , 28-Ноя-18, (95) –1 Вы в пролете с таким правилом - сорцы были в порядке Минифицированная версия не, КО (?), 11:17 , 29-Ноя-18, (98) +1 вообще это важное замечаниевсё ещё хуже для мантейнеров , J.L. (?), 16:19 , 04-Дек-18, (104) вот вроде бы ответ из первых уст https pbs twimg com media Ds8nulwXgAAd4bv jp, Нанобот (ok), 23:03 , 26-Ноя-18, (22) +1 а что он должен был сделать какой тест профпригодности есть для передачи или до, J.L. (?), 12:57 , 27-Ноя-18, (61) +1 Неплохо Новый вызов опенсурцу как поддерживать базу кода невероятного объёма, , Ordu (ok), 01:06 , 27-Ноя-18, (37) +4 // У нормальных проектов, разрабатываемых по нормальным методикам, а не в виде крау, Онаним (?), 09:00 , 27-Ноя-18, (46) +1 // Если проект разработан нормально он не может тянуть 10 000 зависимостей каждая и, Аноним (53), 11:03 , 27-Ноя-18, (53) –1 Нормальные методики в твоём понимании -- это разработанные дедами Откуда тако, Ordu (ok), 11:26 , 27-Ноя-18, (54) –6 // переложить ответственность на никого, отличный способ не страдать , нах (?), 12:15 , 27-Ноя-18, (56) +1 Для некоторых -- да , Ordu (ok), 16:05 , 27-Ноя-18, (74) Нет, я технократ За такие поделки надо редактор от сети отключать и аффтару, и , Онаним (?), 20:32 , 27-Ноя-18, (84) Ну не малолетками же, которые и впрямь ложку в ухо упорно несут Вы и в этом неко, Michael Shigorin (ok), 20:02 , 07-Дек-18, (105) Сказаал модератор форума школоло-эникеев Очень убедительно вышло , Ordu (ok), 16:33 , 08-Дек-18, (107) Любой действительно мыслящий человек понимает, что 171 новое 187 и 171 луч, КГБ СССР (?), 20:49 , 07-Дек-18, (106) +1 Чёт тебя понесло в тривиальщину Умные мысли кончились Да-да Тут целый форум дe, Ordu (ok), 16:41 , 08-Дек-18, (108) Я ещё не отсмеялся, прочитав пафосные рассусоливания миллениала про индивидуальн, КГБ СССР (?), 17:22 , 08-Дек-18, (109) Слишком сложно Книжки надо читать чаще, тогда проблем с пониманием текстов длин, Ordu (ok), 18:19 , 08-Дек-18, (110) Феерический невежда Ещё и хам и графоман - , КГБ СССР (?), 19:32 , 08-Дек-18, (111) Ты так говоришь, будто только сейчас это понял Тупой что ли , Ordu (ok), 20:07 , 08-Дек-18, (112) Кстати обо всех этих эвристиках и байесах, как всегда как на заказ напоролся тут, Ordu (ok), 20:58 , 08-Дек-18, (113) Как обычно - ревьювить все пул-реквесты, не мержить что попало А комитить в мас, trolleybus (?), 09:31 , 27-Ноя-18, (47) +1 // и что вы сделаете с пулреквестом добавляющим зависимость от либы делающей нужно, J.L. (?), 13:05 , 27-Ноя-18, (63) // Да каждый ответить, что либа которая делает непонятно-что , но у которой есть т, КО (?), 16:59 , 27-Ноя-18, (77) пилите антивирус для сабжа , Аноним (48), 10:05 , 27-Ноя-18, (48) успешный стартап только что намайнил свистнул чужие пару десятков btc, и еще с, пох (?), 10:30 , 27-Ноя-18, (51) +2 https ru wikipedia org wiki Предотвращение_утечек_информации, Аноним (39), 03:56 , 27-Ноя-18, (39) // а в реальности оно работает никакили вы сидите в закрытом ящике и пишете целиком, J.L. (?), 13:07 , 27-Ноя-18, (65) Это мне напомнило старую статейку на хабре https habr com company ruvds blog 3, svsd_val (ok), 05:58 , 27-Ноя-18, (43) +3 // веб уже ничто не спасет, Аноним (48), 10:30 , 27-Ноя-18, (50) +1 как же так видь это же репозиторий у которого есть мантейнеры как же такое м, J.L. (?), 12:29 , 27-Ноя-18, (58) Кто все эти люди , Аноним (71), 13:44 , 27-Ноя-18, (71) // Так это не люди Там зависимость на зависимости с зависимостью Ты мог сделать n, НяшМяш (ok), 14:37 , 27-Ноя-18, (73) На зависимостях из NPM можно классный ботнет соорудить , Аноним (75), 16:49 , 27-Ноя-18, (75) а есть там пакет у которого в зависимостях все , ыы (?), 16:57 , 27-Ноя-18, (76) // его еще не плохо было бы впропихнуть в зависимость ко всему , КО (?), 11:19 , 29-Ноя-18, (99) VSCode зависит от event-stream Если ваш мейнтенер или вы собрал его с заражен, Аноним (78), 17:24 , 27-Ноя-18, (78) // бггг с другой стороны - ну крановщик же не хранит свою заначку от жены в кабине , пох (?), 20:12 , 27-Ноя-18, (82) // А вот тут дедка надвое сказала Которая была бы бабкой при определённых условиях, Онаним (?), 20:34 , 27-Ноя-18, (85) DLL hell, version 2 0 Умные учатся на чужих ошибках, простые люди на своих и тол, OldFart (?), 20:58 , 27-Ноя-18, (86) +1 // Тебе бы не мешало поучиться русскому языку , Ananim (?), 08:54 , 28-Ноя-18, (89) // Так я с ним родился, с русским, куда еще больше учить ну а на счет typos, sor, OldFart (?), 17:02 , 28-Ноя-18, (92) DLL hellэто вообще про конфликт зависимостей, ник не оправдали если даже такое н, Аноним (90), 09:03 , 28-Ноя-18, (90) // Название темы Бэкдор в зависимости , отсюда версия 2 раньше конфликт, тепер, OldFart (?), 17:07 , 28-Ноя-18, (93) Интересный тут ср ч развели, конечно Но речь вот о чем Веб-приложения на Node,, Попугай Кеша (?), 09:44 , 29-Ноя-18, (96) // Корень еще в том, что вендоры библиотек не заботятся о выпуске стабильных релизо, Аноним (100), 11:50 , 29-Ноя-18, (100) // Да, тоже дельный совет Можно лочить версию пакета, чтобы случайно так не обнови, Попугай Кеша (?), 12:04 , 29-Ноя-18, (101) NPM да здравствует YARN https yarnpkg com lang en , Aqueelone (?), 12:57 , 03-Дек-18, (103) 1,2,4,6,10,37,39,43,58,71,75,76,78,86,96,103

Сообщения

[Сортировка по времени | RSS]

	8. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+2 +/–
	Сообщение от пох (?), 26-Ноя-18, 22:33
	а причем тут - веп-фреймворки? помимо ноды (которая ни разу не веб и не фреймворк) есть еще прекрасный пихон и еще более прекрасный игого, которые к веппу только тем относятся, что современный разработчик жить не может без http(s) протокола где надо и где не надо. > без лишних раздумий тянется из репы или с гитхаба - это намного ли безопаснее? это вообще вчерашний день и эпоха довеба. script src=raw.​githubusercontent.​com/someshit/somemoreshit/shitcode.js  - вот как надо! впрочем, если вы ретро-гад и пишете на пехепе, для вас есть божественный composer, ик...щас он вам накомпозирует!
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	12. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	–4 +/–
	Сообщение от Онаним (?), 26-Ноя-18, 22:49
	Да и композерное угрёбище в похе... то есть в пыхе - не отстаёт.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+/–
	Сообщение от RomanCh (ok), 27-Ноя-18, 13:11
	> и еще более прекрасный игого На самом деле он реально хорош тем, что стандартного официального набора либ достаточно что бы без особой боли решить практически любую задачу уровня "мне нужен высокопроизводительный (по нынешним мерка) микронекросервис/http-демон" или чего попроще. Ну и понятно - потребление ресурсов хоть по процу хоть по памяти сильно более хорошее чем у какого-нить пыхтона. Если вы готовы в нём писать вычислительные задачи только лишь стандартными операторами (бинарные сдвиги, И/ИЛИ/НЕ и арифметика) работая над байтиками, то производительность его ровно такая же как у С. Хотя памяти безусловно сожрёт побольше, но далеко не как пыхтон. А ещё в нём можно брать и впиливать вставки кода прямо на С, не применяя какие-то особые костыли. На мой взгляд это прекрасная фича которая позволяет решать вопросы работы с ОС если нужных инструментов не нашлось в стандартных либах. Минус - размер бинаря в который "собрано всё что нужно", это на мой взгляд вообще шаг назад в развитии технологий. И к сожалению выражается он не только в go.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	81. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от пох (?), 27-Ноя-18, 20:09
	> На самом деле он реально хорош тем, что стандартного официального набора либ достаточно вопрос тогда, что считать "стандартным набором" - вот все вот это, что оно понатащило в хомяк, оно ж вполне "официальное", только вот написано хз кем хз как. > Минус - размер бинаря в который "собрано всё что нужно", это на мой взгляд вообще шаг назад > в развитии технологий. хм, учитывая "все что нужно" (и то что там по сути go-версии всего содержимого /usr/lib) - размер как раз весьма небольшой. Но вот про shared libraries да, можно забыть на данном этапе "развития технологий". в принципе, в эпоху горе-контейнеров и недосервисов о них и так уже пора было забыть. Новые модные технологии - mem dedup и прочее, подтянутся.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	+1 +/–
	Сообщение от RomanCh (ok), 27-Ноя-18, 20:26
	> вопрос тогда, что считать "стандартным набором" - вот все вот это, что оно понатащило в хомяк, оно ж вполне "официальное", только вот написано хз кем хз как. Не не, я строго про то что идёт в дефолтном архиве с компилером. Т.е. то что было до начала всяких там go get ... Ибо последнее - это действительно тот же leftpad можно получить. > Но вот про shared libraries да, можно забыть на данном этапе "развития технологий". И это тоже, хотя они вроде прикрутили что-то уже на эту тему. В общем-то я больше имел ввиду то, что мы теряем общее отображение тех самых либ в память, потому на тыщах контейнеров суммарно мы можем терять уже гигабайты памяти. > в принципе, в эпоху горе-контейнеров и недосервисов о них и так уже пора было забыть. Новые модные технологии - mem dedup и прочее, подтянутся. https://lwn.net/Articles/330589/ Не такие уж и новые :) Уж с десяток лет будет. По нынешним меркам - почти динозавр. И оно как-то даже работает, если ручки подкрутить что бы проц не выжирало. Но конечно то ещё костылище.
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Бэкдор в зависимости к event-stream, популярной библиотеке к..."	–1 +/–
	Сообщение от Аноним (87), 27-Ноя-18, 22:35
	>script src=raw.​githubusercontent.​com/someshit/somemoreshit/shitcode.js  - вот как надо!   если бы ты хоть немного разбирался в теме, то знал бы, что гитхаб такое не позволяет. Советую пойти почитать книжку "http-хедеры для чайников"
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема