Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов"	+/–
Сообщение от opennews (??), 25-Ноя-25, 14:16
Зафиксирована вторая атака на пакеты в  репозитории NPM, проводимая с  использованием  модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64322
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 25-Ноя-25, 14:18	+24 +/–
Никогда не было, и вот опять.¯\_(ツ)_/¯
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

5. Сообщение от Аноним (5), 25-Ноя-25, 14:27	+/–
Это вполне предсказуемо.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Лиечка (?), 25-Ноя-25, 14:28	+/–
"Если не удается пройти аутентификацию или установить устойчивое присутствие, вредонос пытается уничтожить весь домашний каталог жертвы, включая все файлы, доступные для записи."
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

9. Сообщение от Аноним (9), 25-Ноя-25, 14:36	–5 +/–
npm, cargo, PyPI - это одни большие уязвимости. У Go хотя бы подход децентрализованный, как и у C, C++.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #25, #32

10. Сообщение от Аноним (10), 25-Ноя-25, 14:38	–2 +/–
Еще один довод юзать *.deb.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #22

12. Сообщение от X512 (?), 25-Ноя-25, 14:42	+/–
Все дружно переходим на Maven.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

14. Сообщение от Rev (ok), 25-Ноя-25, 14:49	–6 +/–
Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #23, #37, #55, #81, #103, #114

15. Сообщение от Аноним (15), 25-Ноя-25, 14:51	+/–
Так, и как с этим бороться ? https://opennet.ru/63930-npm
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #64

17. Сообщение от Анонимный аноним (?), 25-Ноя-25, 14:57	+/–
Если ты не знал, все исходники js-проги вендорятся в deb-пакет. И тоже самое для Go, и для Rust. Причем во всех дистрах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18, #57

18. Сообщение от Аноним (9), 25-Ноя-25, 14:59	–3 +/–
У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога. Просто не нужно использовать Electron'нную хрень. Я давно бойкотирую все эти поделки. Только нативный GTK, Qt, wxWidgets.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #56

19. Сообщение от Кошкажена (?), 25-Ноя-25, 15:07	+7 +/–
npm, pip, cargo и есть сами черви. Сами докатились, что простая задача вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. Обновления только по делу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

20. Сообщение от Аноним (20), 25-Ноя-25, 15:08	+4 +/–
Перестать пользоваться поделками(зачеркнуть) недоделками из NPM?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

21. Сообщение от Фонтимос (?), 25-Ноя-25, 15:09	+/–
Думаю, это вопрос времени, Ларри вот скоро разрабов выкинет за ворота.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

22. Сообщение от Кошкажена (?), 25-Ноя-25, 15:10	+1 +/–
На самом деле есть npm (подставь тут любой пакетник) to nix. Плюсом помимо пакетов самого языка можно управлять системными либами, компиляторами и прочим. И все это для конкретных окружений. Сейчас же с тем же pip нужно самому зависимости сборочные ставить, если компилять надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #59

23. Сообщение от Кошкажена (?), 25-Ноя-25, 15:10	+7 +/–
Но это не точно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

25. Сообщение от Кошкажена (?), 25-Ноя-25, 15:11	+5 +/–
> У Go хотя бы подход децентрализованный Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #30, #52

30. Сообщение от Аноним (9), 25-Ноя-25, 15:29	–1 +/–
>Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется? Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого другого источника. Просто чаще всего исходники на гитхабе. Но ты можешь их хостить где угодно и go get оттуда их возмёт. То ли дело cargo, тянет только из crates.io. Или тот же PyPI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #34, #36

32. Сообщение от Аноним (32), 25-Ноя-25, 15:36    Скрыто ботом-модератором	+1 +/–
Недооцененный комментарий
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

34. Сообщение от Rev (ok), 25-Ноя-25, 15:40	+9 +/–
Cargo тоже может тянуть с гитхаба или другой репы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #73, #115

36. Сообщение от анон (-), 25-Ноя-25, 15:41	+/–
> То ли дело cargo, тянет только из crates.io. Или тот же PyPI. будь так добр, предоставь ссылку на документацию, где подтверждается данное утверждение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #113

37. Сообщение от Аноним (37), 25-Ноя-25, 15:44	+2 +/–
Не выше 20. Иначе, им Раст был бы незачем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #54

38. Сообщение от User (??), 25-Ноя-25, 15:46	–1 +/–
> npm, pip, cargo и есть сами черви. Сами докатились, что простая задача > вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. > Обновления только по делу. Ну, у вас не может быть атак на цепочку поставок при отсутствии этой самой цепочки... А если  вот и кода нет - то прям совсем хорошо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #96

43. Сообщение от Аноним (43), 25-Ноя-25, 15:58	+1 +/–
Всего лишь надо на дискетке переключатель сдвинуть, кто помнит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

44. Сообщение от Анонис (?), 25-Ноя-25, 16:05	+2 +/–
Да! Давайте делать больше веб-приложений, они ведь такие надёжные и безопасные и заодно выкинем слабое железо, оно ведь явно устарело, и небезшопасно, а все ПК-бояре работают только на машинах с 128 террабайт оперативной памяти! Джаба-скрип во все дома!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #93, #105

46. Сообщение от 1 (??), 25-Ноя-25, 16:20	+/–
Представляю, сколько бабла может срубить аффтар leftpad за внедрение такого червя.
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Аноним (48), 25-Ноя-25, 16:37	+27 +/–
Это безопасная компрометация, ошибок памяти нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #94

49. Сообщение от IdeaFix (ok), 25-Ноя-25, 16:46	+6 +/–
Молодежь.... заклеить надо на дискете дырочку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #69

52. Сообщение от Аноним (52), 25-Ноя-25, 16:54	+/–
И проходят через GOPROXY где они кешируются. Там эти исходники будут доступны если что-то с github случится. И если не устраивает сервер по умолчанию то можно и свой поднять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #112

53. Сообщение от Соль земли2 (?), 25-Ноя-25, 17:04	–3 +/–
Сэкономили на сканере уязвимостей в CI/CD. Скупой платит дважды.
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от Аноним (54), 25-Ноя-25, 17:05	+/–
Я знаю много умных программистов на Rust. Там же мощный ещё функциональный аспект (посмотрите кодовую базу typst, например). Так что раз на раз не приходится. В Яндексе (при всём моём смешанном отношении к нему) тоже людям нравится Rust некоторым.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #83, #87

55. Сообщение от Смузихлеб забывший пароль (?), 25-Ноя-25, 17:08	+/–
Притом, что даже стандартизированного теста для его определения нет ) А последние годы - так и вовсе считается бредом, ибо является пережитком поры, когда считалось, что "функционал" мозга какой получен от рождения - такой и есть А потом оказалось, что мозги при необходимости постепенно адаптируются под те или иные задачи, в т.ч сильно отличающиеся от тех, которые отлично решались ранее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #85

56. Сообщение от Смузихлеб забывший пароль (?), 25-Ноя-25, 17:10	+1 +/–
> Для проведения атаки злоумышленники путём фишинга... Ну да, жс во всём виноват
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #104

57. Сообщение от Аноним (57), 25-Ноя-25, 17:34	+4 +/–
В Debian как раз каждой зависимости отдельный пакет положен. Как пример: https://packages.debian.org/trixie/node-axios То, о чем ты говоришь - это для программ распространяется вне основного репозитория debian, и не соответствующим политикам дистрибутива
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

58. Сообщение от Скушный аноним (?), 25-Ноя-25, 17:39	+/–
Это либо вредоносы научились злиться, либо создатель злится удалённо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #63, #66

59. Сообщение от Аноним (57), 25-Ноя-25, 17:43	+/–
Если ты сделаешь npm to nix в день наличия червя, как тебя это спасёт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

63. Сообщение от нах. (?), 25-Ноя-25, 18:19	+1 +/–
> Это либо вредоносы научились злиться, либо создатель злится удалённо. ну брось, создатель, он нетакой. Он просто беззлобно надеется что после этого в суматохе переустановки и перенастройки ВСЕГО заново - ты все же дашь ему нормально залогиниться. В принципе, совершенно правильно надеется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

64. Сообщение от нах. (?), 25-Ноя-25, 18:22	+1 +/–
> Так, и как с этим бороться ? Возглавь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

66. Сообщение от Фняк (?), 25-Ноя-25, 18:24	+2 +/–
Скорее простейшая защита от изучения в песочницах и honeypot-ов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

69. Сообщение от Аноним (69), 25-Ноя-25, 18:33	+/–
Что-то я сомневаюсь, что заклеивать дырочку на перфокарте это хорошая идея...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #74, #78

73. Сообщение от Аноним (-), 25-Ноя-25, 18:38    Скрыто ботом-модератором	+2 +/–
Но Войны-Супротив-Раста об этом не знают. Это ж надо документацию почитать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

74. Сообщение от нах. (?), 25-Ноя-25, 19:02	+1 +/–
в смысле? Сто раз так делали! Не тратить же пол-дня на новую заявку ради одной перфокарты!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

76. Сообщение от Аноним (76), 25-Ноя-25, 19:22	+/–
У нас безопасники отключили весь npm целиком от корпоративной сети, пока пыль не уляжется. И правильно сделали. Во-первых, по случаю дня индейки всё равно мораторий, во-вторых, по той же самой причине разарабы поразъезжались по домам и девелопить просто некому, в-третьих, всё нужное для ребилда прода, если уж припрёт, всё равно лежит в локальном репозиторий и курируется назначенными.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #77

77. Сообщение от Аноним (77), 25-Ноя-25, 19:42	+5 +/–
Плохая безопасность, все публичные репы должны быть отрублены от корп сети всегда. Должны стоять свои репы куда только проверенные пакты добавляют. Язык и источник не важен. Важен тот факт что весь пакет должен проверяется прежде чем быть добавленным в корп репозиторий
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #82

78. Сообщение от IdeaFix (ok), 25-Ноя-25, 19:43	–1 +/–
На дискете же... при чем тут перфокарты? Или Вы не знали что на дискетах надо заклеивать дырочку?:)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #89

81. Сообщение от Аноним (81), 25-Ноя-25, 20:02	+1 +/–
Ага, и мы видим, что даже с боров-чекером они всё равно писать код с уязвимостями. Страшно подумать, какой бы код они писали на C/C++.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

82. Сообщение от Аноним (76), 25-Ноя-25, 20:10	–1 +/–
В проде так и происходит, перед подключением приложения к публичному интернету команда разработчиков проходит формальную вычитку, на которые приглашены все желающие fte. Процесс включает проход по всему дереву зависимостей на предмет наличия лефтпадов и подобной дичи. Но в процессе разработки вообще нет никакой разумной причины ограничивать девелоперов в инстументах. Прод от офисной сети отделён фаерволлом, туда можно попасть либо через интернет как все, либо через специальные джампбоксы с доступом к бэкэнду по отдельному запросу и с ограниченным сроком действия. Проверять всё и всегда — бессмысленная трата времени. С компа разраба можно украсть код, но невозможно украсть данные, а без данных тот код бесполезен чуть менее чем полностью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #92

83. Сообщение от Аноним (37), 25-Ноя-25, 20:33	+/–
Так они же в комитете по стандартизации C++. Или уже нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

85. Сообщение от Аноним (48), 25-Ноя-25, 21:29	+/–
> "функционал" мозга какой получен от рождения - такой и есть Да нет, он может снижаться, если не получает должного обучения в процессе. Например, если чел занимался программированием на си, а потом перешёл на раст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

87. Сообщение от Васян (?), 25-Ноя-25, 23:03	+/–
- -- -- -- -- Я знаю много умных программистов на .... Печально, а я не знаю умных программистов, особенно тех кто распрягает окружающих про какой-то ЫЫ и делают вид буд-то так и надо. Честные при честные ребята, ну само совершенство просто...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #123

88. Сообщение от Аноним (88), 26-Ноя-25, 00:14	+/–
Мэтры уже все сказали: https://builds.shipilev.net/ Цитата: Our motto: "builds.shipilev.net — still more secure than npm install"
Ответить | Правка | Наверх | Cообщить модератору

89. Сообщение от Аноним (89), 26-Ноя-25, 00:40	+3 +/–
Некоторый софт распространялся на дискетах.. и чтобы не париться, дырочек там просто не было. (ну чтобы не стёрли случайно).. и тогда, когда софт становился не нужен, дырочку приходилось вырезать, не пропадать же дискете... и еще, во времена односторонних дисководов, пару дырочек вырезали уже в другом месте, и тогда дискету можно было использовать перевернув наоборот, увеличивая полезный объём в двое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

90. Сообщение от Джон Титор (ok), 26-Ноя-25, 01:16	+/–
Это гениально, причем с отсылкой к фантастике. Тоже люблю Дюна. У автора этого зловреда есть вкус.
Ответить | Правка | Наверх | Cообщить модератору

91. Сообщение от Аноним (91), 26-Ноя-25, 01:19	+/–
Ну необучаемые, казалось бы, даже до самых тупых разрабов уже должны были докатится новости о таких фишингах, ну пошевили мозгой то, если такое происходит, логично ожидать сомнительных писем в почте... Ан нет, тупость всё же победила.
Ответить | Правка | Наверх | Cообщить модератору

92. Сообщение от Аноним (92), 26-Ноя-25, 02:35	+1 +/–
Ну обнаружишь ты 500 лефтпадов ... каждый по мегабайту. Все проверишь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #116, #121

93. Сообщение от Аноним (81), 26-Ноя-25, 02:36	+2 +/–
Пфф... 128 терабайт? Прошлый век! 128 петабайт - вот, что сейчас в тренде!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

94. Сообщение от Анони (?), 26-Ноя-25, 05:58	+/–
+1, всегда так делаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

95. Сообщение от Zenitur (ok), 26-Ноя-25, 06:29	+1 +/–
Дюну в теги.
Ответить | Правка | Наверх | Cообщить модератору

96. Сообщение от Bottle (?), 26-Ноя-25, 07:05	+/–
Скачивать половину интернета ради сборки одной программы - это глупость. Данные репозитории к сожалению ничего не делают для предотвращения подобных курьёзов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #98, #125

97. Сообщение от Феникс123 (?), 26-Ноя-25, 07:32	+2 +/–
> Sha1-Hulud Видно что писалось для души, прям как в старые добрые время, мне нравится. Сейчас по моему такое редкость. Я помню читал книжки с описаниями вирусов, где какие сигнатуры, какие алгоритмы - интересно когда вот так немного проявляется личность создателя.
Ответить | Правка | Наверх | Cообщить модератору

98. Сообщение от User (??), 26-Ноя-25, 08:27	–2 +/–
> Скачивать половину интернета ради сборки одной программы - это глупость. > Данные репозитории к сожалению ничего не делают для предотвращения подобных курьёзов. Ээээ... у вас в "регламенте безопасной разработки" ничего про "фиксацию версий в SBOM", автоматический MR в случае обнаружения уязвимостей, получения зависимостей с внутреннего artifact registry и вот этого вот всего - нет? А кто в этом виноват? npm-cargo-pip? Или ну... может... не знаю даже... Да не, ерунда какая-то!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

103. Сообщение от Tron is Whistling (?), 26-Ноя-25, 10:17	+/–
Ниже, вы хотели сказать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

104. Сообщение от Tron is Whistling (?), 26-Ноя-25, 10:18	+1 +/–
В том числе. Отсутствие примитивных, но нужных библиотек приводит к тому, что образуется краудшитсорсинг с лефтпадами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

105. Сообщение от Tron is Whistling (?), 26-Ноя-25, 10:20	+/–
Насчёт терабайт не скажу, но 128 гб в десктопе - это реально сказка :D Я даже потерялся, чем их занять, когда тестовую виртуализацию не гоняю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

106. Сообщение от Аноним (106), 26-Ноя-25, 11:44	+/–
Как-будто в компостере или cpan нет таких уязвимостей. Да в том же go пакеты качаются прямо с гитхуба, а что там - никто не знает. Или же си с плюсами - надо тоже качать либы с интерента и коньпилировать их, никто их конечно же не проверяет. Опенсорс, такой опенсорс...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #118

108. Сообщение от Аноним (108), 26-Ноя-25, 11:54	+/–
А есть какая-то опция чтобы на каждый preinstall выдавался запрос пользователю, мол вы хотит запустить это "rm rf" Y/Д N/Н?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #110

109. Сообщение от Аноним (109), 26-Ноя-25, 12:49	+/–
У нас с этого безопасники неплохо кормятся, целый отдел. Много регламентов как правильно оформить и согласовать заявку на скачать зависимость, причем не напрямую а через внутренний сервис, в котором ведется база уязвимостей библиотек.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #117

110. Сообщение от Аноним (48), 26-Ноя-25, 12:51	+/–
Ты работать собрался или кнопочки нажимать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #111

111. Сообщение от пох.. (?), 26-Ноя-25, 12:54	+/–
> Ты работать собрался или кнопочки нажимать? так надо чтоб через пару минут без ответа - автоматически rm -rf (э... да что там - и при любом ответе тоже, кому мнение юзеров вообще интересно)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

112. Сообщение от пох.. (?), 26-Ноя-25, 12:57	–1 +/–
> И проходят через GOPROXY где они кешируются. о, удобна - теперь у тебя в кэше лежит червяк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #120

113. Сообщение от randomize (?), 26-Ноя-25, 13:18	+/–
pip может качать и из приватных реп тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

114. Сообщение от Аноним (114), 26-Ноя-25, 15:39	+/–
Это ложь, походи по Discord'у (именно там много всяких хипстеров), там у каждого второго растера в профиле написано, что он ещё и на жс макачит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

115. Сообщение от Аноним (114), 26-Ноя-25, 16:30	+/–
Итоги: надо качать весь огромный crates.io ради сборки какой-то поделки на Rust'е.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

116. Сообщение от Аноним (76), 26-Ноя-25, 17:35	–1 +/–
500 лефтпадов бывает только комментариях на опеннете. Но если такое вдруг случится, что нужно именно 500 новых лефтпадов втащить на борт, то безопасники будут сидеть и проверять каждый, и они начнут это делать задолго до вычитки, это буквально их прямая должностная обязанность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #126

117. Сообщение от Минона (ok), 26-Ноя-25, 21:14	+/–
Не зря свой хлеб едят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

118. Сообщение от Аноним (118), 26-Ноя-25, 21:27	+/–
Не коньпилируй, а качай сразу бинарь собранный. Ну чтоб не как в опенсорсе таком опенсорсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

119. Сообщение от Аноним (119), 26-Ноя-25, 22:00	+/–
Нужно капчу приделать для подтверждения отправки релизов... со светофорами/автобусами/лестницами, как в Cloudflare.... которая только с пятого раза срабатывает, если повезёт.
Ответить | Правка | Наверх | Cообщить модератору

120. Сообщение от голос_из_леса (ok), 27-Ноя-25, 03:03	–1 +/–
Учи матчасть и не позорься. Увидел слово PROXY и сразу представил свой большой Redis? В параноидальных нормальных компания в GOPROXY лежит вес набор нужного, все новое сканируется / проверяться, сканчивать с внешнего мира не получится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #124

121. Сообщение от голос_из_леса (ok), 27-Ноя-25, 03:09	+/–
У нас так же с гошными пакетами. Многие из них с 2020 не обновлялись. А зачем, если новый функцианал и правки не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #127

122. Сообщение от Аноним (122), 27-Ноя-25, 07:20	–1 +/–
нпм - очевидное зло без конца идут отчеты о компрометации
Ответить | Правка | Наверх | Cообщить модератору

123. Сообщение от Аноним (123), 27-Ноя-25, 10:37	–1 +/–
А какая связь между ИИ и программистами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

124. Сообщение от пох.. (?), 27-Ноя-25, 15:02	+/–
Читаем - в "норальных компаниях" червяк там останется еще лет на десять после того как из нпм его таки выпилили. Потому что никто ж новое не собирается сканировать и проверять, "и так же все работает!" Как они "сканируют и проверяют" - продолжай рассказывать басни. Очень веселят тех, кто имеет к этому непосредственное отношение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

125. Сообщение от пох.. (?), 27-Ноя-25, 15:06	+/–
> Скачивать половину интернета ради сборки одной программы - это глупость. можешь написать свой закат солнца. Каждый лучик отдельно. Но учти что дедлайн в понедельник никто не отменит. Выходные можешь использовать - за свой счет. > Данные репозитории к сожалению ничего не делают для предотвращения подобных курьёзов. делают все что могут - вот, очередной "курьез" изловили. Правда, немного запоздало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

126. Сообщение от пох.. (?), 27-Ноя-25, 15:08	+/–
коноплев, это пять. Чувак, дай угадаю - в твоем подвале никогда не было никаких безопасников. Настолько, что ты вообще не отдупляешь чем эти ребята занимаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116

127. Сообщение от пох.. (?), 27-Ноя-25, 15:09	+/–
> У нас так же с гошными пакетами. Многие из них с 2020 не обновлялись. червяк из 2020го года просто счастлив. Пара закладок и десяток уязвимостей - тем более.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема