|
| 1.9, Анрним (?), 23:25, 31/03/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Миллионы глаз на изи нашли. Что происходит в менеджерах где 10 калек на в расте никто не знает и знать не хочет.
| | |
| 1.10, Аноним (10), 23:44, 31/03/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Как именно был перехвачен токен доступа не уточняется.
Да известно как это делается. Либо через почту, либо через GitHub Actions.
| | |
| |
| |
| 3.21, Аноним (2), 03:44, 01/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не, если бы GitHub был на си а не на руби, то можно было бы зайти от рута, пошарить по их хостингу, забрать токены с нужных реп, а потом грузить по ним что хоч.
| | |
|
|
| 1.12, q (ok), 00:11, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 axios уже давно не нужен, есть нативный fetch(). Внимание! Если вам кажется, что в axios есть какая-то киллер-фича, то я заявлю, что она легко реализуется без axios -- при помощи dependency injection. Точка. Если вы используете axios как DI-контейнер (представляете? есть и такие!), то вы глупец, ничего не смыслящий в UNIX-принципе "каждая либа должна заниматься только одной хренью."
| | |
| |
| 2.14, Аноним (14), 00:33, 01/04/2026 [^] [^^] [^^^] [ответить]
| –6 +/– |
А вот и целевая аудитория таких взломов. Рассуждает о абсолютно неважных вещах, лишь бы не задумываться о том, что такое NPM-пакеты.
| | |
| |
| 3.17, q (ok), 02:08, 01/04/2026 [^] [^^] [^^^] [ответить]
| +4 +/– |
Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумываться о том, что каждый новый пакет усложняет сопровождение проекта и ставит его под угрозу supply chain attacks.
| | |
| |
| 4.23, Аноним (2), 03:49, 01/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, минусы есть. Но зато шустренько код пишеться, как будто не программируешь, а просто по клаве стучишь, фреймворки там усе переваривают, проблемки решают и заказчики довольны.
| | |
| |
| 5.29, Аноним (29), 07:20, 01/04/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
ога, по клаве бьешь do this ticket don't make any mistakes
и потом просишь закомммтить и задеплоитьб
и все это даже не приходя в сознание
| | |
|
| 4.36, анон (?), 10:47, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>те, кто ставят все пакеты подряд
а также те, кто не смотрит зависимости зависимостей и вслепую выполняет автообновления
| | |
|
|
| |
| 3.42, q (ok), 13:32, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Сразу видно гуманитария, который считает, что UNIX существует в изоляции от вселенной, и что принципы UNIX не применимы абсолютно нигде, кроме самого UNIX. Ну загугли тогда single-responsibility principle, что ли, если по-английски бо-бо, и если есть выход в нормальный интернет.
| | |
|
|
| |
| 2.16, Аноним (16), 01:41, 01/04/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего продукта. Шило в мешке не утаишь.
| | |
|
| |
| 2.25, Аноним (2), 04:47, 01/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Мда, на бреинфаке нет, переходи на него. А хотя, стой ты же с си... Э-э-э... Ничего не делай.
| | |
| 2.26, Аноним (-), 04:54, 01/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> что раст
Мимо. В случаях с crates.io был только тайпсквоттинг.
| | |
| |
| |
| 4.41, Аноним (41), 13:11, 01/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
А зачем себе что-то говорить, если врешь ты? Ты это знаешь, все это знают. Чего тут говорить) Вопрос исключительно к твоей совести)
| | |
| |
| |
| 6.47, Аноним (47), 17:20, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Тебе в школе экспертов не рассказали об отличиях между компрометацией популярного пакета и тайпсквоттингом? Давай я объясню тебе на пальце. В первом случае к тебе сзади подходит чёрный властелин и начинает тебя любить. Во втором тебе издалека показывают палец и ждут, когда ты сам подойдёшь и на него сядешь. Чувствуешь разницу?
| | |
|
|
|
| 3.34, Аноним (14), 10:11, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Принцип существования такой-же как и у NPM. Расскажи мне почему у вас должно быть лучше.
| | |
| |
| 4.35, пох. (?), 10:22, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
патамушта людшки способные разбираться в закорючках и так неплохо кушают, все пятнадцать, а claude откажется писать троянца, ей хард промпт запрещает.
Поэтому троянцы будут только китайские, что сильно уменьшит их количество. То ли дело когда каждый запрещенный на опеннете может даже без ыы.
| | |
|
|
| 2.37, Аноним (37), 10:47, 01/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Зато на Си каждый день по эксплойту, вот к чему надо стремиться!
| | |
|
| 1.43, Аноним (43), 13:41, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Это будет продолжаться пока хранилища пакетов не перейдут на блокчейн и мультиподпись.
| | |
| |
| 2.45, menangen (?), 15:26, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Просто релизы продуктов должны всегда подписываться двумя верифицированными ключами разработчика - один для коммитов, второй для релиза уже ввиде tar.gzip.sha256 и загрузки его в npm хранилище
Да и вообще, подписывать каждый коммит в репе это не проблема в наше то непростое время
| | |
| 2.46, Аноним (46), 15:29, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
будут точно также терять приватные ключи, как сейчас апи-ключи от npm.
| | |
|
|
