Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Эксперимент с созданием NPM-пакета, зависимого от всех пакетов в репозитории, opennews (??), 05-Янв-24, (0) [смотреть все] меня всегда удивляло - откуда эти цифры - миллионы пакетов, сотни миллионов загр, Аноним (1), 12:34 , 05-Янв-24, (1) +6 // Ci CD, Трэхо (?), 12:35 , 05-Янв-24, (3) +17 // Облачные, Аноним (11), 12:55 , 05-Янв-24, (11) –1 криво настроенные CI CD без кэширования зависимостей, Аноним (145), 11:38 , 07-Янв-24, (145) Миллионы лефтпадов в различныз вариациях , Tron is Whistling (?), 13:01 , 05-Янв-24, (22) +4 Это рутинное дело, а не эксперимент Типичный node_modules Миллионы потому, что , FF (?), 13:17 , 05-Янв-24, (42) +2 В Го по умолчанию, например, есть общий каталог, куда качаются пакеты разных вер, FF (?), 13:21 , 05-Янв-24, (43) +3 // Это на машине разработчика такое А в докере не будет этой папки из-за особеннос, jt3k (ok), 13:31 , 09-Янв-24, (157) –1 // В докере будет так как вы настроите И он таки будет , Аноним (164), 23:35 , 09-Янв-24, (164) Там там извините, пакеты из 1-3 строк и то выкладывают , Криптоханыга (?), 16:13 , 05-Янв-24, (63) // Всё правильно делают Раз Node js такоеьговно, что в стандартой библиотеке нет с, Аноним (68), 16:31 , 05-Янв-24, (68) –2 // Всё там теперь есть Просто раньше не было вот и наделали обёрток для старых вер, jt3k (ok), 13:32 , 09-Янв-24, (158) На каждый коммит в CI CD создаётся чистое окружение и туда устанавливаются скач, Витюшка (?), 17:19 , 05-Янв-24, (71) +2 // Кеширование тоже устаревшая технология и потому ненужно , Аноним (95), 21:09 , 05-Янв-24, (95) +1 // Любой squid в сети установить и данная проблема улетучится Просто недогоняторов, jt3k (ok), 13:36 , 09-Янв-24, (159) Кэширование делает дай бог один из 10 проектов репозиториев , если не из 100 А, Витюшка (?), 03:48 , 06-Янв-24, (117) В Js Rust модно делать пакет для каждой васянофункции , banonymous (?), 19:26 , 05-Янв-24, (93) –2 // Unix-way же, все правильно делают , ПомидорИзДолины (?), 11:06 , 06-Янв-24, (120) –2 // Простенькую функцию как пакет может и нормально, но бардак с зависимостями это п, _kp (ok), 00:36 , 08-Янв-24, (151) +1 Сколько сайтов столько и пакетов в каждом Конечно не все сайты используют пакеты, jt3k (ok), 13:28 , 09-Янв-24, (156) все атишнеке сидят в united states of murica, Пряник (?), 10:00 , 12-Янв-24, (165) Уровень , Аноним (5), 12:44 , 05-Янв-24, (5) +8 ШахИ мат , Аноним (6), 12:51 , 05-Янв-24, (6) +20 // но это же вроде после истории с лефт-падом, запретили удалять свой гамнокод а, Sw00p aka Jerom (?), 13:41 , 05-Янв-24, (51) +1 // Важна не ошибка а реакция на ошибку Уверен они это очень быстро смогут решить , jt3k (ok), 13:39 , 09-Янв-24, (160) // В аду своя жизнь https ru wikipedia org wiki D0 90 D0 B4_ D0 B7 D0 B0 D0 B2 D, Sw00p aka Jerom (?), 14:28 , 09-Янв-24, (162) +1 ПАТждем когда авторам позволят запрещать использовать свой код в качестве зависи, Sw00p aka Jerom (?), 13:46 , 05-Янв-24, (52) +1 // Тогда на каждый такой проект появятся тысячи автоматически синхронизируемых форк, ИмяХ (ok), 16:22 , 05-Янв-24, (65) +2 // ну запрет на форк никто не отменял , Sw00p aka Jerom (?), 22:53 , 05-Янв-24, (113) +1 Чего-то Gentoo с portage попахивает Будто это повод новость создать какие дурак, Аноним (19), 12:59 , 05-Янв-24, (19) –12 // Пожаловаться Сделают для пакета зависимости слотовую установку , Аноним (31), 13:04 , 05-Янв-24, (31) В плане зависимостей gentoo portage ничем не отличается от любой другой репы и в, Котофалк (?), 18:06 , 05-Янв-24, (75) Вопрос к специалистам по NPM NPM-репозтории - это репозитории, доступ к заливке, Аноним (27), 13:03 , 05-Янв-24, (27)   // Последнее Ну могут добавить какую-то двухфакторку, чтобы от гореразраба, у котор, Аноним (-), 13:07 , 05-Янв-24, (35) +2   Это баг npmа, что он позволил разместить пакет с неразрешёнными зависимостями , Аноним (33), 13:07 , 05-Янв-24, (33) +3 С NPM не пересекаюсь, а тут друг спрашивает Можно использовать в имени требуем, Тот_ещё_аноним (ok), 13:11 , 05-Янв-24, (39) +3 // Нельзя, Аноним (55), 14:09 , 05-Янв-24, (55) +3 // СпасибоЖаль, было бы эпично , Тот_ещё_аноним (ok), 01:21 , 06-Янв-24, (116) +3 Надо смотреть в исходники, чтобы такое утверждать Возможно и можно , jt3k (ok), 13:45 , 09-Янв-24, (161) Пороть за такие эксперементы Разработчик пакетов Это что-то новое , Аноньимъ (ok), 13:12 , 05-Янв-24, (40) +4 // Почему пороть Хотите чтобы этот прикольный эффект так и остался security by obs, scriptkiddis (?), 16:30 , 05-Янв-24, (67) +1 // Потому что не надо ссать в солонки , warlock66613 (ok), 14:11 , 06-Янв-24, (124) // Тебе лично в солонку нассали Как на тебе это отразилось , Аноним (132), 16:58 , 06-Янв-24, (132) –1 Он же разработал именно пакет и даже применил знания из области структур данных,, Аноним (108), 21:52 , 05-Янв-24, (108) +4 Хакер и директор столовой, Аноним (44), 13:27 , 05-Янв-24, (44) +4 В NixOS рарзабы в документацию такую же бомбу положили https github com NixOS , Аноним (48), 13:38 , 05-Янв-24, (48) // Ха Лучше apt apk rpm ещё ничего не придумали , Golangdev (?), 00:30 , 07-Янв-24, (137) +1 // На разных уровнях работают dpkg и rpm, тогда уж, Аноним (148), 20:13 , 07-Янв-24, (148) Введут ограничение на кол-во зависимостей Больше по подписке Скриньте , Вы забыли заполнить поле Name (?), 14:26 , 05-Янв-24, (58) +3 // Больше 42 зависимости можно указывать только после KYC, Аноним (108), 21:49 , 05-Янв-24, (107) +3 Ну будет не 5 пакетов chunk-N, а 50 пакетов chunk-N Если не поможет, то добавят, fuggy (ok), 23:49 , 06-Янв-24, (135) И это самый standalone пакет в репозитории npm , Аноним (59), 15:23 , 05-Янв-24, (59) +1 Да это всё фигня, вы представьте какие лулзы автор эксплойта словит от введённых, ZloySergant (ok), 15:26 , 05-Янв-24, (60) +3 Хакер и солонка в чистом виде , Аноним (61), 15:48 , 05-Янв-24, (61) +3 // Да надоели вы со своими умными именно в кавычках историями Проблема решается, Аноним (70), 16:37 , 05-Янв-24, (70) +3 // Хакер устраивается на фабрику, производящую пакеты с солью сахаром Хотя зачем фа, Аноним (132), 16:48 , 06-Янв-24, (129) +1 // Делает пластическую операцию, покупает поддельные документы, учится говорить с а, 78 (?), 17:17 , 06-Янв-24, (133) История очень даже умная, только мало кто умные выводы из неё делает вот юзер 7, Аноним (149), 22:07 , 07-Янв-24, (149) кто-нить в курсе всяко-разные cratesы и голангорги по тем же принципам работают, Аноним (76), 18:09 , 05-Янв-24, (76) +1 // Насколько я знаю повторить NPM с его приколами типа исполнение произвольного с, Аноним (140), 02:37 , 07-Янв-24, (140) Второй закон Вейнберга если бы строители строили здания так же, как программист, beck (??), 18:35 , 05-Янв-24, (79) –2 // Не правда, everything-else бы не дал ей разрушится, Аноним (108), 21:46 , 05-Янв-24, (105) +3 Тот случай, когда твой датацентр начинает подлагивать и уже пора задуматься о по, Аноним (11), 19:09 , 05-Янв-24, (81) Таким образом тип провел DoS атаку на NPM, удостоверившись что теперь авторы воо, Аноним (-), 20:04 , 05-Янв-24, (94) Т е получилась циклическая зависимость , Аноним (108), 21:45 , 05-Янв-24, (104) +2 Хорошая шутка , Аноним (106), 21:48 , 05-Янв-24, (106) +1 NPM на сегодняшний день, это наверное самый эффективный способ засрать себе файл, Аноним (115), 00:55 , 06-Янв-24, (115) +1 // Почему Какие у тебя проблемы , Аноним (132), 16:55 , 06-Янв-24, (131) Яваскриптерам оказывается не чуждо чувство юмора , Псевдонимус (?), 18:57 , 06-Янв-24, (134) +3 Размещение бывает с дамами лёгкого поведения в сауне, а здесь - публикация , Golangdev (?), 00:27 , 07-Янв-24, (136) –2 // Вот за что люблю местных экспертов, так это за их богатый жизненный опыт , Вы забыли заполнить поле Name (?), 01:00 , 07-Янв-24, (138) +8 // Всегда рад помочь, обращайтесь , Golangdev (?), 06:16 , 07-Янв-24, (144) Скрыто модератором, Аноним (-), 19:15 , 07-Янв-24, (147) +1 Получается можно публиковать пакет с зависимостями от несуществующих пакетов , Вы забыли заполнить поле Name (?), 02:43 , 07-Янв-24, (141) Наглядный пример гнилой системы зависимостей, не отражающей фактические зависимо, _kp (ok), 00:30 , 08-Янв-24, (150) кто все эти люди и что за дичь они творят, crypt (ok), 19:31 , 09-Янв-24, (163) 1,5,6,19,27,33,39,40,44,48,58,59,60,61,76,79,81,94,104,106,115,134,136,141,150,163

Сообщения

[Сортировка по времени | RSS]

27. "Эксперимент с созданием NPM-пакета, зависимого от всех пакет..."	+/–
Сообщение от Аноним (27), 05-Янв-24, 13:03
Вопрос к специалистам по NPM. NPM-репозтории - это репозитории, доступ к заливке только у его хозяев (в смысле, создателя этого сервиса), или любой Васян может залить туда вирус? Или же хозяева сами туда заливают вирусы? Получается, хозяева NPM репозитория днём и ночью пьют кефир и проверяют залитые пакеты от Васянов на вирусы? Или им пох.?
Ответить | Правка | Наверх | Cообщить модератору

	35. "Эксперимент с созданием NPM-пакета, зависимого от всех пакет..."	+2 +/–
	Сообщение от Аноним (-), 05-Янв-24, 13:07
	> Или им пох.? Последнее) Ну могут добавить какую-то двухфакторку, чтобы от гореразраба, у которого один пароль на все сервисы, не заливали всякую чушню. От намеренной диверсии это не спасет, так же как и не спасет от заливки в репу вредноносного кода. Мало кто проверяет все изменения при обнолении программы.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема