The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные пакеты в репозитории NPM"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные пакеты в репозитории NPM"  +/
Сообщение от opennews (?), 05-Дек-20, 11:23 
Опубликован выпуск пакетного менеджера NPM 7.1, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.1, не дожидаясь новой версии Node.js, можно выполнить команду "npm i -g npm@7"...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54198

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +/
Сообщение от Иваня (?), 05-Дек-20, 11:23 
Haha classic, интересно, когда же начнут бороться с вредоносными пакетами в NPM, проверять их какимнить антивирусом🤔
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +16 +/
Сообщение от Тест (?), 05-Дек-20, 11:25 
Интересно, когда же перестанут бездумно подключать пакеты фронтендщики?🤔
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +7 +/
Сообщение от Аноним (6), 05-Дек-20, 11:35 
Эти пакеты, скорее всего, никто и не подключал. 100 скачиваний - это разнообразные роботы, которые скачивают все заливаемые тарболлы автоматически
Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +3 +/
Сообщение от Галустян (?), 05-Дек-20, 14:46 
Когда изучат администрирование своей операционной системы. Но тогда они перестанут быть фронтэндщиками.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

30. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  –2 +/
Сообщение от Антоон (?), 05-Дек-20, 15:05 
Зачем? Это оплачивается лучше?
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +2 +/
Сообщение от Michael Shigorinemail (ok), 05-Дек-20, 15:27 
По этой логике в наркодилеры идти самое то.  Или органами барыжить.

Вот только... в деньгах ли смысл жизни?  Это цель или средства?

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +/
Сообщение от пох. (?), 05-Дек-20, 15:50 
> По этой логике в наркодилеры идти самое то.

Эх... чего ж в дилеры... в производители. Но ты бы знал, какой тогда был конкурс в Губкина :-(
Вот и остается только работа по специальности - кюветы в принципе, норм входят на стоечные полки, лампочки можно прям сразу специальные брать, те что для внутристоечного освещения вполне годятся.
С климатом в приличном ДЦ можно особо не мудрить, влажность внутри стойки сама поднимется.
Но разьве ж этим заработаешь... так, на хлеб с пивасом :-(

> Вот только... в деньгах ли смысл жизни?  Это цель или средства?

Пока не заработаешь или украдешь - цель. Как образуются - средства.

Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +1 +/
Сообщение от Аноним (55), 06-Дек-20, 18:32 
Возможно выскажу непопулярное мнение, но вы, знаете ли, недалеки от истины. Потому что если не ваш начальник, то начальник начальника вашего начальника... В общем, вы так или иначе на этих людей работаете, но они ещё и имеют наглость вам недоплачивать и делать много других абсолютно недопустимых вещей. Так что им должна быть составлена конкуренция. Другое дело, что это мероприятие рисковое. А покупатели на этот товар всегда будут, как они существуют и на любой другой. Проблема в том, что наше общество инфантильно и живёт бредовыми мечтами о идеальных философских системах, скатываясь при этом и из-за этого в том числе в феодализм. Пишу из загнивающей Америки про загнивающий капитализм если что, доллар вот вот рухнет, госдолг ужасен.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

56. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +/
Сообщение от Аноним (56), 06-Дек-20, 19:02 
> Пишу из загнивающей Америки

Так США же флагман перестройки. Ну и феодализма, чего уж )

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +/
Сообщение от _hide_ (ok), 07-Дек-20, 12:58 
>>> Пишу из загнивающей Америки про загнивающий капитализм если что, доллар вот вот рухнет, госдолг ужасен.

Да не переживайте Вы так. Долларов в США намного меньше, чем в других странах и пострадают от кризиса США куда как меньше. Более того, внутри США можно будет легко провести операцию "деноминация" или "свой доллар", в любом случае граждане это страны потеряют часть сбережений, но не уровень доходов и жизни.
Поэтому проблемы с долларом начнутся не скоро -- власть имущие очень заинтересованы в сохранении этой финансовой пирамиды как можно дольше (и никого не волнует, что в будущем это означает конец цивилизации: после нас хоть потоп).
А пока так будет, считать деньги при найме специалистов будут "особенным способом" и ставильщики из NPM-а будут в тренде.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

62. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +/
Сообщение от Аноним (62), 08-Дек-20, 10:41 
Нарко и т.п. барыжничество некорректно сравненивать, т.к. опасность для жизни в разы выше.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

47. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +1 +/
Сообщение от Аноним (47), 05-Дек-20, 22:41 
а кем же они тогда будут?
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

4. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +1 +/
Сообщение от Lex (??), 05-Дек-20, 11:31 
>> В месяц фиксируется около 75 миллиардов загрузок
>> jdb.js, который успели загрузить около 100 раз
> Haha classic, интересно, когда же начнут бороться с вредоносными пакетами в NPM

Haha classic, интересно, когда же ноны начнут сопоставлять порядки величин

п.с: вредоносные пакеты, кстати, вполне неплохо подчищаются

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

20. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  –2 +/
Сообщение от Аноним (20), 05-Дек-20, 12:49 
То что нашли не означает что больше вредоносов не осталось, а ты походу из этих из жабаскриптеров.
Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +1 +/
Сообщение от Lex (??), 07-Дек-20, 13:28 
> То что нашли не означает что больше вредоносов не осталось, а ты
> походу из этих из жабаскриптеров.

Я из тех в т.ч жабаскриптеров( точнее, реакт-нативеров, у которых пакетный менеджер - тоже npm или yarn, но обычно используют последний, поскольку тот несравненно быстрее и менее косячный ), которые ни разу не сталкивались с говнопакетами на npm даже просто потому, что, прежде чем что-то качать, смотрю на описание пакета, статистику, динамику его развития и проч( и именно вредоносных пакетов среди отклоненных очень мало. Скорее всего, речь о пакете, который разрабы устали поддерживать или он потерял актуальность, потому тянуть его в проект не стОит ).

Кроме шуток, 1*10^2 / ( 7,5 * 10^10 ) * 100% = 1/7,5 * 10^-6 % = 0,133 МИЛЛИОННЫХ ПРОЦЕНТА( т.е примерно на уровне одного процента от одного процента от одного процента )
Есть смутное подозрение, что среди не_нпм разрабов доля туполобых, качающих любые васяновские пакеты, модули и копипастязих соотв куски кода как минимум не меньше.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +/
Сообщение от Аноним (8), 05-Дек-20, 11:43 
https://youtube.com/watch?v=J7irfxq2YBM
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  –1 +/
Сообщение от Dzen Python (ok), 05-Дек-20, 12:40 
https://www.youtube.com/watch?v=Jairxwhq4a0

Базарю, если поставить это в NPM все вредоносные пакеты будут дезинтегрироваться еще на стадии их написания

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

43. "Выпуск пакетного менеджера NPM 7.1. Новые вредоносные пакеты..."  +1 +/
Сообщение от Аноним (43), 05-Дек-20, 20:23 
>интересно, когда же начнут бороться с вредоносными пакетами в NPM

Бороться (давить в пелёнках сразу) надо с разработчиками, и пакетов, и NPM.
Но поздно, теперь поможет только "личная гигиена" и бойкот NPM-щиков.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (3), 05-Дек-20, 11:29 
Почему только у npm так плохо, а у других нет
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +5 +/
Сообщение от Аноним (7), 05-Дек-20, 11:37 
На самом деле у всех открытых пакетных менеджеров так плохо, просто аудитория npm, видимо, наименее технически грамотна, чтобы своевременно обнаруживать "внедрёж", чем и пользуются.
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  –2 +/
Сообщение от Аноним (6), 05-Дек-20, 11:45 
Везде всё одинаково. Просто npm по объёму больше, чем Maven, Packagist, PyPI, nuget, Rubygems и CPAN вместе взятые
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

10. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +2 +/
Сообщение от OpenEcho (?), 05-Дек-20, 11:46 
Где рыба лучше клюет, там ее и ловят.
Там контингент по большей части из непуганных, или до 25 или "we moving fast, we breaking things..."
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

17. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +3 +/
Сообщение от Dzen Python (ok), 05-Дек-20, 12:43 
Аудитория в тысячи раз больше, чем в PyPi
Аудитория использует пакеты для веба, а не для чилодробилок, как в CRAN
Аудитория неграмотная и тянет в рот все, что увидит, даже отдаленно похожее, а не как в СРАN, где уже все ученые патчем Брамина
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

32. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Michael Shigorinemail (ok), 05-Дек-20, 15:29 
> патчем Брамина

Гм, патч Бармина знаю, а это чё за индус такой?

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +2 +/
Сообщение от Аноним (37), 05-Дек-20, 17:12 
Это корова такая, трёхголовая. "Патч" - заплатка.
Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (56), 06-Дек-20, 19:06 
Ракетчик?
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

25. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +2 +/
Сообщение от лолшто (?), 05-Дек-20, 14:35 
Все что выше уже написали и скудная стандартная библиотека. Даже работа с датами и временем без сторонней библиотеки - это какая-то бессмысленная возня. А захочешь свое решение написать, то на этапе тестирования все равно что-то стороннее придется привлечь, потому что в коробке этого нет.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

41. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  –1 +/
Сообщение от Аноним (47), 05-Дек-20, 20:12 
Работа с датой и временем в js по сложности примерно такая же как в java 7.
Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (37), 05-Дек-20, 17:09 
У других тоже есть. Просто все охотятся за низковисящими фруктами.

1. В npm огромные DAGи зависимостей, поэтому проверить конкретный пакет, нужный уже месяц назад, там труднее и дольше, поэтому никто и не будет.
2. Ситуацию осложняет javascript, где доступ к свойствам идёт через [], что позволяет запрятать evalы от статических анализаторов. В питоне, например, getattr - большой красный флаг.
3. а значит если твоя цель - найти сколько-то бэкдоров, то искать будешь в npmе, забив на остальные языки и менеджеры.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

48. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (47), 05-Дек-20, 23:40 
кажется у maven нету preinsall, postinstall секций выполняющих что угодно с правами пользователя от которого запущен.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

50. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Ordu (ok), 06-Дек-20, 07:31 
> Почему только у npm так плохо, а у других нет

Сложно сказать, на данный момент. У каждого свои предположения, о том, что в npm не так, и поэтому есть разные подходы к одолению этого. Сравнивать результативность практически невозможно, в силу различной популярности проектов. Единственное что нам остаётся -- это верить в то, что базар окажется сильнее злоумышленников, и он найдёт способ существовать несмотря на них. Если это не так, то значит восторги Эрика Раймонда в отношении базара потеряли актуальность, базар не в состоянии масштбироваться, и единственный разумный выбор для нас -- пересеть на соборный оффтопик. Или лучше сразу на эпол: там няшный M1.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +1 +/
Сообщение от user90 (?), 05-Дек-20, 11:33 
Выпуск вредоносного пакетного менеджера)
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Michael Shigorinemail (ok), 05-Дек-20, 15:29 
Логичней уж тогда "менеджера вредоносных пакетов". :)
Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +3 +/
Сообщение от пох. (?), 05-Дек-20, 15:51 
В принципе, название новости уже неплохо продвинулось в этом направлении.

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +2 +/
Сообщение от Аноним (3), 05-Дек-20, 11:46 
Yarn запрещает запуск скриптов во время установки
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  –1 +/
Сообщение от Аноним (12), 05-Дек-20, 12:19 
как защититься от этого?
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +3 +/
Сообщение от leibniz (ok), 05-Дек-20, 12:33 
не писать на джабаскрипте
Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +5 +/
Сообщение от Аноним (15), 05-Дек-20, 12:39 
не тянуть каждую какашку в рот
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

19. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (47), 05-Дек-20, 12:48 
от left-pad зависил даже react и babel. Ты не будешь тянуть, кака притянется по зависимостям
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +1 +/
Сообщение от Аноним (15), 05-Дек-20, 13:26 
только конченные могут использовать эту платформу
Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Lex (??), 05-Дек-20, 23:44 
Так лефтпад оказался вирусом или проблема была в возможности разработчиком удалить собственный  пакет из репозитория когда ему вздумается, что приводит к временной неработоспособности зависимых от него пакетов( для проектов на стадии разработки, ведь у релизных тот код уже собран в кучу ) ?)
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

21. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (47), 05-Дек-20, 12:52 
>Есть пакет под названием isArray, который скачивают 880 000 раз в день, 18 млн скачиваний в феврале 2016 года. У него 72 зависимых NPM-пакета. И вот его целая 1 строчка кода:
>return toString.call(arr) == '[object Array]';
>Есть пакет под названием is-positive-integer (GitHub), который состоит из 4 строчек и которому на вчерашний день требовалось 3 других пакета для работы. Автор с тех пор провёл рефакторинг, так что теперь у пакета 0 зависимостей, но я не могу понять, почему это не было сделано сразу.
>Свежая установка Babel включает 41 000 файлов

кроме как не использовать npm вариантов нет

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

23. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (15), 05-Дек-20, 13:28 
Ты какую-то чёрную непонятную магию рассказываешь... Кто ею пользуется? Миллион мух?!
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (37), 05-Дек-20, 14:45 
У мягкостулых Стуло-Actions используют node.js.
Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (47), 05-Дек-20, 20:21 
Кем ей? Все кто пишет фронтэнд пользуются npm потом что вариантов нет.
Я тоже и пользуюсь. И left-pad пользуюсь так как он в зависимостях у старого react и babel, а чтобы обновить придется треть когда фронтэнд переписать.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

44. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (47), 05-Дек-20, 20:34 
собственно к пустому react проекту тоже устанавлияется однострочник isarray
yarn why isarray
=> Found "isarray@1.0.0"
info Reasons this module exists
   - "readable-stream" depends on it
   - Hoisted from "readable-stream#isarray"
   - Hoisted from "react-scripts#eslint-plugin-import#doctrine#isarray"
   - Hoisted from "react-scripts#webpack#node-libs-browser#buffer#isarray"
   - Hoisted from "braces#snapdragon#base#cache-base#unset-value#has-value#isobject#isarray"
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

18. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +5 +/
Сообщение от Аноним (20), 05-Дек-20, 12:47 
Не использовать npm и не использовать внешние пакеты. Писать все самому.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

24. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +4 +/
Сообщение от Аноним (15), 05-Дек-20, 13:28 
Причём будет быстрее и безопасней.
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +1 +/
Сообщение от Аноним (7), 05-Дек-20, 14:43 
Самое интересное, что в _долгосрочной_ перспективе выйдет гораздо лучше что в плане надёжности, что в плане эффективности, что в плане скорости разработки, чем ляпать на колене из фрикаделек из говна.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

45. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  –1 +/
Сообщение от Аноним (47), 05-Дек-20, 20:40 
Налепить квадратноколесых велосипедов в которых невозможно разобраться никому (и даже тому кто их лепил)
Несомненно это будет гораздо надежнее, выстрее, дешевле
Особенно когда придет другой разработчик с будет пытаться понять как этот громадный кусок ..овнокода работает и почему.
Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от пох. (?), 06-Дек-20, 13:17 
То ли дело скачать половину интернета в зависимости, не забыв ни про leftpad, ни про isArray.
Это-то каждому ж васяну сразу ясно-понятно как работает, и почему.

> Особенно когда придет другой разработчик с будет пытаться понять как этот громадный кусок

хороший способ отсева полуграмотных на испытательном сроке.

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (47), 06-Дек-20, 16:54 
как работает left-pad и isArray действительно понятно каждому васяну. Там же всего несколько строчек
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +2 +/
Сообщение от YetAnotherOnanym (ok), 05-Дек-20, 15:03 
> как защититься от этого?

Приказом по организации ввести правило: если в резюме упомянута нода - HR немедленно и навечно вносит соискателя в чёрный список.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

40. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 05-Дек-20, 19:52 
- И, боже вас сохрани, не читайте до обеда советских газет.
- Гм… Да ведь других нет.
- Вот никаких и не читайте

(с)

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 05-Дек-20, 19:50 
1. Строго указывать зависимости в package.json (без ^ или ~), см. опцию save-exact=true в .npmrc. 2. Коммитить package-lock.json.
3. Следить за npm audit.
4. Хотя бы немного поглядывать за тем, какие пакеты устанавливаются по зависимостям. Возможно проще реализовать нужную функциональность самостоятельно.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

13. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +7 +/
Сообщение от Аноним (13), 05-Дек-20, 12:30 
>>Опубликован выпуск пакетного менеджера NPM 7.1, входящего в поставку Node.js и применяемого для распространения вредоносных модулей на языке JavaScript.
Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 05-Дек-20, 19:47 
Пора обновить описание "npm - менеджер ВРЕДОНОСНЫХ пакетов".
Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +1 +/
Сообщение от макаронофикус (?), 05-Дек-20, 20:59 
Что ж такое, во вредоносном репозитории опять выявлены пакеты. Сколько их там?
Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Ordu (ok), 06-Дек-20, 07:34 
Тут должен быть ещё один коммент, форсящий мем "вредоносный репозиторий".

зы. сорри, у меня чёт креативность просела, чтобы сочинить что-нибудь хлёсткое. Но я старался, прошу занести это в протокол.

Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Злюка (?), 06-Дек-20, 17:33 
Ой, да ладно, старался он.
Выпуск вредоносного пакетного менеджера NPM 7.1
...применяемого для распространения модулей на вредоносном языке JavaScript.

Node Packages Malware
Node Polution Manager
Node Programming Monkeys

А вообще, пытался я пользоваться этим "пакетом для пакетов", хотел перейти эти смузи реку вброд, но нет - вернулся. Постоянные уязвимости, обновления, несовместимость версий, размер с ОС нулевых.
Написал по старинке. Может и велосипед, но это просто велосипед: 2 колеса, руль и едет в нужном мне направлении.

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные па..."  +/
Сообщение от Аноним (61), 08-Дек-20, 09:40 
Deno бы решил проблему с пакетами вида "запускаемый во время\после установки" скрипт?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру