https://www.opennet.ru/openforum/vsluhforumID3/114823.html Администраторы репозитория NPM уведомили (https://blog.npmjs.org/post/175824896885/incident-report-npm-inc-operations-incident-of) пользователей о компрометации (https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes) пакетов eslint-scope (https://www.npmjs.com/package/eslint-scope) и eslint-config-eslint (https://www.npmjs.com/package/eslint-config-eslint), в которых поставлялся популярный анализатор JavaScript-кода, насчитывающий более 2 млн загрузок в неделю. <br><br><br><br>В результате получения контроля за учётными данными мэйнтейнера eslint-scope злоумышленникам удалось (https://github.com/eslint/eslint-scope/issues/39) опубликовать обновление, содержащее троянский код. В процессе установки пакета с сайта pastebin.com загружался и запускался (https://gist.github.com/hzoo/51cb84afdc50b14bffa6c6dc49826b3e) скрипт (https://github.com/eslint/eslint-scope/issues/39#issuecomment-404495923), который отправлял на внешний сервер содержимое файла ~/.npmrc, включающего токен для аутентификации в NPM. https://www.opennet.ru/openforum/vsluhforumID3/114823.html#64 Sat, 11 Aug 2018 22:31:31 GMT Тем не менее, "поимка на почте" - очень маловероятна. Причина - визуально устройство не отличается от USB флешки.<br><br>Что же до госпаранойи...тут даже и не знаю что сказать. "Мы рождены чтоб Кафку сделать былью".<br> https://www.opennet.ru/openforum/vsluhforumID3/114823.html#63 Sat, 11 Aug 2018 22:23:11 GMT А ничего что российский Аладдин выпускаеть Jacarta U2f? Боитесь покупать с Амазона - ну пожалуйста, покупайте здесь.<br> https://www.opennet.ru/openforum/vsluhforumID3/114823.html#62 Sun, 05 Aug 2018 10:40:12 GMT &gt;и трибуналом по результатам действия пользователей после аутентификакации<br><br>зачем результаты? Просто расстреливать всех погромистов на ноде как врагов народа<br> https://www.opennet.ru/openforum/vsluhforumID3/114823.html#60 Fri, 20 Jul 2018 10:19:31 GMT &gt; Ты путаешь системный пакетный менагер и пакетный менагер для девелопера.<br><br>познакомьтесь с nix<br> https://www.opennet.ru/openforum/vsluhforumID3/114823.html#59 Mon, 16 Jul 2018 22:46:32 GMT &gt; When checking out or updating a package, get looks for a branch or tag that matches the locally installed version of Go. The most important rule is that if the local installation is running version "go1", get searches for a branch or tag named "go1". If no such version exists it retrieves the default branch of the package. <br><br>Матчасть, не?<br> https://www.opennet.ru/openforum/vsluhforumID3/114823.html#58 Mon, 16 Jul 2018 17:43:58 GMT а что, разве не так? O_O<br> https://www.opennet.ru/openforum/vsluhforumID3/114823.html#57 Mon, 16 Jul 2018 07:52:45 GMT Завязка на HEAD - это как раз одна из основных проблем управления зависимостями в Go.<br>(Я знаю, что уже есть несколько решений).<br> https://www.opennet.ru/openforum/vsluhforumID3/114823.html#56 Mon, 16 Jul 2018 07:48:32 GMT PHP без composer уже не живет. Ну, то есть можно, но бессмысленно. Но это так, между прочим.<br><br>В npm, помимо большего на порядки количества модулей (и микромодулей), есть еще одна специфика - каждый пакет тянет свои зависимости рекурсивно, независимо от остальных. И в одном проекте запросто может быть 10 разных невосместимых версий какого-нибудь leftpad-а. (Оставим в стороне дискуссии о разумности такого подхода). Мейнтенить такое принципиально невозможно - никаких разумных ресурсов не хватит. <br><br>Но, поскольку проблема актуальна, там придумали своего рода "постмодерацию" - npm audit.<br> https://www.opennet.ru/openforum/vsluhforumID3/114823.html#55 Mon, 16 Jul 2018 04:06:24 GMT угу - например, этих юзеров больше одного. Ну надо же!<br><br>