AB
leftpad завезли?
Size: a a a
2020 December 11
AK
трояны вычистили?
И
leftpad завезли?
Насколько помню ту историю, его завезли практически моментально. А потом еще завозили какую-то защиту от подобных сценариев. Деталей сказать не могу, просто подписан был на хабы с JS в том числе и что-то такое проскакивало.
В целом команда npm достаточно открыта, много интересного можно найти и про то как они трояны чистят и про то почему node_modules такой большой и как вообще к этому пришли. Интересно почитать бывает.
В целом команда npm достаточно открыта, много интересного можно найти и про то как они трояны чистят и про то почему node_modules такой большой и как вообще к этому пришли. Интересно почитать бывает.
И
трояны вычистили?
Это общая проблема вообще любого менеджера пакетов, если создавать и загружать в каталог их может любой желающий.
Такое не только в npm, но и в pip и даже на cpan))
Например: https://www.opennet.ru/opennews/art.shtml?num=53448
Такое не только в npm, но и в pip и даже на cpan))
Например: https://www.opennet.ru/opennews/art.shtml?num=53448
SZ
Игорь
Это общая проблема вообще любого менеджера пакетов, если создавать и загружать в каталог их может любой желающий.
Такое не только в npm, но и в pip и даже на cpan))
Например: https://www.opennet.ru/opennews/art.shtml?num=53448
Такое не только в npm, но и в pip и даже на cpan))
Например: https://www.opennet.ru/opennews/art.shtml?num=53448
Да епт, вы хоть читали, о чем там проблема и сколько десятков лет назад ее починили..? :)
SZ
Ещё бы rm -rf в драйвере nvida вспомнили
И
Да епт, вы хоть читали, о чем там проблема и сколько десятков лет назад ее починили..? :)
Ну так я это привел к тому, что не проблема вообще где угодно запилить гадость. Если не хочешь гадость - проверяй то, что устанавливаешь.
SZ
Игорь
Ну так я это привел к тому, что не проблема вообще где угодно запилить гадость. Если не хочешь гадость - проверяй то, что устанавливаешь.
Один мой знакомый подозревал гадость в линуксе, в результате он переписывал его на vhdl. Может быть, что-то получилось. Парень он толковый
AK
Ещё бы rm -rf в драйвере nvida вспомнили
РЕШЕТО
AK
Игорь
Ну так я это привел к тому, что не проблема вообще где угодно запилить гадость. Если не хочешь гадость - проверяй то, что устанавливаешь.
и тут мы плавно переходим к вопросу о размере node_modules
И
Один мой знакомый подозревал гадость в линуксе, в результате он переписывал его на vhdl. Может быть, что-то получилось. Парень он толковый
😁👍
Но идея то понятна. Трояны в npm не потому, что он такой плохой и больше нигде нету их. А потому, что оттуда дофига чего ставят и выгодно запилить туда вредоносный код.
Тоже самое если копнуть про pip: https://xakep.ru/2018/10/30/pypi-malware/
Если бы сейчас с cpan было такое-же количество установок, то уверен, то тоже нашлось бы несколько десятков популярных "вредоносных" пакетов.
Но идея то понятна. Трояны в npm не потому, что он такой плохой и больше нигде нету их. А потому, что оттуда дофига чего ставят и выгодно запилить туда вредоносный код.
Тоже самое если копнуть про pip: https://xakep.ru/2018/10/30/pypi-malware/
Если бы сейчас с cpan было такое-же количество установок, то уверен, то тоже нашлось бы несколько десятков популярных "вредоносных" пакетов.
IB
Не исключено что что-то зловредное и живет на cpan, просто еще не нашли
И
и тут мы плавно переходим к вопросу о размере node_modules
Да, мне очень понравилась статья про это. Очень много усилий положено, чтобы ничего не ломалось при очередном npm install.
SZ
Не исключено что что-то зловредное и живет на cpan, просто еще не нашли
Точно! А всё потому, что перл -- мертвый язык программирования! ;)
VG
Ещё бы rm -rf в драйвере nvida вспомнили
а шо было?
IB
а шо было?
И
и тут мы плавно переходим к вопросу о размере node_modules
Вот, по моему оно.
https://habr.com/ru/company/domclick/blog/509440/
Это цикл статей (их 7 штук вроде) про то как работает npm в плане управления зависимостями и как там сделана безопасность.
Узнал для себя много интересного и по многим вещам согласен с решениями принятыми там. По размеру node_modules и по безопасности, на мой взгляд, сделано все правильно учитывая то как им удалось сохранить удобство использования.
Если есть что-то такое систематизированное по тому как внутри работает CPAN, то с радостью почитаю. Я люблю статьи такого формата, где рассказывается как и почему дошли до определенных архитекрутных решений.
https://habr.com/ru/company/domclick/blog/509440/
Это цикл статей (их 7 штук вроде) про то как работает npm в плане управления зависимостями и как там сделана безопасность.
Узнал для себя много интересного и по многим вещам согласен с решениями принятыми там. По размеру node_modules и по безопасности, на мой взгляд, сделано все правильно учитывая то как им удалось сохранить удобство использования.
Если есть что-то такое систематизированное по тому как внутри работает CPAN, то с радостью почитаю. Я люблю статьи такого формата, где рассказывается как и почему дошли до определенных архитекрутных решений.
И
Ну а если порофлить просто, то да, можно просто кидать эту картинку😁
VG
"правильно"... за вычетом того, что сама идея копий зависимостей отстойна