The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В Rust-репозитории crates.io выявлен вредоносный пакет rustdecimal"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Rust-репозитории crates.io выявлен вредоносный пакет rustdecimal"  +/
Сообщение от opennews (??), 11-Май-22, 09:21 
Разработчики языка Rust предупредили о выявлении в репозитории  crates.io пакета rustdecimal, содержащего вредоносный код. Пакет был основан на легитимном пакете rust_decimal и пользовался для распространения сходством в имени (тайпсквоттинг) с расчётом на то, что пользователь не обратит внимание на отсутствие символа подчёркивания, осуществляя поиск или выбирая модуль из списка...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57169

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  +26 +/
Сообщение от Аноним (1), 11-Май-22, 09:21 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +1 +/
Сообщение от Аноним (3), 11-Май-22, 09:23 
Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором  –4 +/
Сообщение от Jajauma (?), 11-Май-22, 09:49 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +16 +/
Сообщение от Онаним (?), 11-Май-22, 09:22 
Системы непрерывной интеграции бэкдоров и прочих rustdec'ов.
Ответить | Правка | Наверх | Cообщить модератору

102. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –8 +/
Сообщение от лютый жабби___ (?), 11-Май-22, 16:06 
>Системы непрерывной интеграции бэкдоров и прочих rustdec'ов.

ну напиши в резюме, что ты суровый сисадмин в залитом пивом свитере с оленями - категорический противник CI и докера, а мы посмотрим сколько тебе денег отвалят )

Ответить | Правка | Наверх | Cообщить модератору

123. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Онаним (?), 11-Май-22, 19:34 
Я уже неплохо занят по профилю инфраструктуры (да, никаких доскеров с системами непрерывного бэкдоринга), и у меня нет свитера с девляпсами.
Ответить | Правка | Наверх | Cообщить модератору

143. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (143), 11-Май-22, 23:26 
Кем работаешь если не секрет?
Ответить | Правка | Наверх | Cообщить модератору

161. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +5 +/
Сообщение от anonfhjvxd (?), 12-Май-22, 16:45 
Очевидно, профессиональным комментатором опеннета
Ответить | Правка | Наверх | Cообщить модератору

4. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +14 +/
Сообщение от патриот (?), 11-Май-22, 09:28 
"платформа Windows не поддерживалась" - всё чаще вижу что разработчики отказываются от поддержки винды! Это радует :)
Если даже вирусы от неё отказываются, там наверное уже почти не осталось пользователей
Ответить | Правка | Наверх | Cообщить модератору

6. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –2 +/
Сообщение от EuPhobos (ok), 11-Май-22, 09:36 
..или известных дыр, что бы вирусы успешно запускать? =)
Все дыры наверное там теперь проприетарные, только для "своих" (это догадки, не знаю, не слежу за этим).
Ответить | Правка | Наверх | Cообщить модератору

41. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +7 +/
Сообщение от Бывалый смузихлёб (?), 11-Май-22, 10:57 
никогда ещё на винде не было столь безопасно, как при развитОм линуксе
Ответить | Правка | Наверх | Cообщить модератору

84. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (84), 11-Май-22, 13:54 
) малайца
Ответить | Правка | Наверх | Cообщить модератору

86. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –3 +/
Сообщение от n00by (ok), 11-Май-22, 14:36 
Сейчас типичный "вирус" - это не инфектор исполняемых файлов из журнала 29a, а тупая программа-вымогатель. Шифрует данные и просит выкуп. Чем толще жертва, тем выгоднее. То есть пользователи с котиками не интересны, проще подкупить админа. Так что "для своих", внезапно, может заиграть новыми смыслами.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

104. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от псевдонимус (?), 11-Май-22, 17:19 
А откатить админ не может?
Ответить | Правка | Наверх | Cообщить модератору

150. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от n00by (ok), 12-Май-22, 10:08 
Ну если он сам зарегистрировался в партнёрке вымогателей... ничего личного, джаст э бизнесс. А виноваты русские хакеры.

Если серьёзно, то есть же описания известных троянов, вплоть до исходников. Шифруют сетевые шары в первую очередь. Файло выкачивают, что бы дополнительно угрожать публикацией секретов. Здесь, на ресурсе, где в основной массе тусят админы, довольно странно видеть неосведомлённость и надежду на "кто работает по Ру, к тому приходят по утру" и порицание "шкафчиков" андеграундом. В Линуксах так вообще могут зашифровать штатными средствами весь раздел.

Ответить | Правка | Наверх | Cообщить модератору

155. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (-), 12-Май-22, 11:25 
> Сейчас типичный "вирус" - это не инфектор исполняемых файлов из журнала 29a, а тупая программа-вымогатель.

Это "сейчас" (в смысле - "не инфектор, а троян/угонщик_паролей/бот/загрузчик_чего-то") уже лет под 20 как ;)

Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

164. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от n00by (ok), 13-Май-22, 09:00 
А потом пошли спамботнеты (почитайте Severa, он как раз публикует мемуары про ИИ и нейросети), руткиты, буткиты, собственные сетевые стеки, инфектор драйверов, который после нескольких лет поисков нашёл сотрудник Данилова, а потом по всему миру ловили сэры мэйоры, поскольку технологии оказались слабы.
Ответить | Правка | Наверх | Cообщить модератору

20. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +6 +/
Сообщение от Аноним (20), 11-Май-22, 10:18 
Кто бы знал, что начало вендекапца будет именно таким
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

90. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (1), 11-Май-22, 14:53 
чё ты несешь лол
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

91. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (1), 11-Май-22, 14:53 
винда как была топом так и осталась
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. Скрыто модератором  +/
Сообщение от Аноним (5), 11-Май-22, 09:36 
Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором  +13 +/
Сообщение от дохтур (?), 11-Май-22, 09:46 
Ответить | Правка | Наверх | Cообщить модератору

12. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Anonmamon (?), 11-Май-22, 09:52 
Бывает ничто не идеально. Репы сами по себе одна большая дырень, но другого нет. Так что на заподном фронте без перемен.
Ответить | Правка | Наверх | Cообщить модератору

16. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +4 +/
Сообщение от Аноним (16), 11-Май-22, 10:08 
Так подождите... Но ведь говорили, что репы это безопасно: не надо лазить по разным сайтам, всё проверяется, всё централизовано... А в реальности оно вот как получается! Это что же, получается что нас обманывали?
Ответить | Правка | Наверх | Cообщить модератору

23. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +11 +/
Сообщение от gradeonwhore (?), 11-Май-22, 10:24 
репы поддерживаются ограниченным количеством мейнтенеров, каждому из которых можно лично дать п-ды если что. а crates - это тот же npm - т.е. свалка. раньше такое называли "файлопомойка"
Ответить | Правка | Наверх | Cообщить модератору

37. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от aname (?), 11-Май-22, 10:49 
Можно дать… можно не дать.
Надо понимать, что дать п можно безопасно?
Ответить | Правка | Наверх | Cообщить модератору

31. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (31), 11-Май-22, 10:34 
Справедливости ради, обнаружили же бяку. Тут постоянно втирают про открытость кода как непревзойденную киллерфичу.Видимо,это оно и есть.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

38. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от aname (?), 11-Май-22, 10:50 
Рано или поздно и антивирусы бяку находят. А в ччём киллерфича тогда?
Ответить | Правка | Наверх | Cообщить модератору

42. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (31), 11-Май-22, 10:58 
В том что тыщеглаз все как бы видит.D
Ответить | Правка | Наверх | Cообщить модератору

50. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от aname (?), 11-Май-22, 11:19 
Какой- то опендвач
Ответить | Правка | Наверх | Cообщить модератору

53. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (31), 11-Май-22, 11:38 
Так я ни разу не кодер,сорян.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

89. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +3 +/
Сообщение от n00by (ok), 11-Май-22, 14:43 
Антивирус (в классическом понимании этого слова) может найти только то, что есть у него в базе. То есть специально обученный человек нашёл, снял сигнатуру, и вот потом уже "антивирус находит".
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

127. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от aname (?), 11-Май-22, 19:48 
Ну типа. Но мы уже давно за рамками классики, так что, конечно, появляются другие угрозы, в виде сущности самого антивируса, но это другая история. Да даже в классическом случае, специально обученые специально ковыряют софт (да и исходники могут), чтоб вот этого вот не случалось.

И именно потому, что здесь всё специальное, я больше доверяю антивирусам чем сообществу.

Ответить | Правка | Наверх | Cообщить модератору

152. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от n00by (ok), 12-Май-22, 10:30 
Вы это кто? Есть какие-то работы, что бы посмотреть? Я делал чисто по классике: строил белый список и проверял, попадает ли в него экземпляр. Ловил то, что пропускали на тот момент антивирусы. Но это требовало запуск образца.
Ответить | Правка | Наверх | Cообщить модератору

148. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от 1 (??), 12-Май-22, 09:26 
Ну теперь AI в песочницах файлы проверяет. Прогресс !
Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

151. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от n00by (ok), 12-Май-22, 10:26 
Осталось почитать ТЗ на троянца:
1. Исходники на Rust
2. Детект песочниц
3. ...
:)
Ответить | Правка | Наверх | Cообщить модератору

33. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +4 +/
Сообщение от freecoderemail (ok), 11-Май-22, 10:37 
Ну вот видишь, зловреда достаточно оперативно выявили. Не предотвратили, но все же. Еще есть над чем поработать, да.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

44. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +2 +/
Сообщение от _kp (ok), 11-Май-22, 11:01 
>> ведь говорили, что репы это безопасно

Так сообщили же о проблеме, и устранили. ;)
А если б понакачали исходиков откуда нибудь, пока сами не обнаружите... счастье в неведении.
Просто код из репозиториев достаточно считать сырым, и без тестирования не допускать в "боевое" ПО.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

118. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (118), 11-Май-22, 19:14 
Где и кем говорилось, балабол мамкин?
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

106. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от псевдонимус (?), 11-Май-22, 17:19 
Как тоесть нет?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

13. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +4 +/
Сообщение от электроИванemail (?), 11-Май-22, 09:58 
о да! мой любимый с++ 98 со стандартной библиотекой, ехидно на это смотрит)
Ответить | Правка | Наверх | Cообщить модератору

14. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Жироватт (ok), 11-Май-22, 10:01 
Хе. Карго, с почином! Теперь БЕЗОПАСТНОСТНЫЙ язык имеет своих тайпсквоттеров в репе.
Сейчас, еще немного, появятся и китайцы, перекупающие пакеты у таких, как я; и взломы аккаунтов проверенных юзверей... а потом еще немного и язык подрастет настолько, что сможет пить пиво "Пивское", участвовать в оргиях у Стивена Кинга и плыть на волнах постыронии под парусом постмодерна
Ответить | Правка | Наверх | Cообщить модератору

25. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от gradeonwhore (?), 11-Май-22, 10:26 
> в репе

учи матчасть, друг. это не реп, а файлопомойка, куда сливают все кому ни лень и никто не контроллирует ничего и ни за что не отвечает

Ответить | Правка | Наверх | Cообщить модератору

30. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +2 +/
Сообщение от Аноним (-), 11-Май-22, 10:33 
И чем это отличается от ситуации, когда из офф репы ты тянешь обновленное ядро линукса с новым бекдором от CIA?
А... разница в том, что в это случае будет не 500 загрузок))
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

39. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от aname (?), 11-Май-22, 10:55 
Подождите- ка, но это же ОпенСурс, n-число глаз, которые всё просмотрели и всё нашли.
Допустим, n-число глаз не могут в богомерзкий Xi, то с внедрением безопасного Rust в ядро… Wait. Oh, shi~!
Ответить | Правка | Наверх | Cообщить модератору

45. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (-), 11-Май-22, 11:02 
Ваши n-число глаз уже не шмогли еще задолго до раста :(

PS Сомневаюсь что ядро будет тянуть что-то из реп, там будет более чем достаточно просто положить сорцы рядом.

Ответить | Правка | Наверх | Cообщить модератору

47. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от aname (?), 11-Май-22, 11:10 
> достаточно просто положить сорцы рядом

Тех самых, после n-глаз. Точно тех же, что в репах. Ага, понял.

Ответить | Правка | Наверх | Cообщить модератору

56. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Аноним (56), 11-Май-22, 11:49 
Если это раст, то будет, практически 100% будет.
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

61. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от aname (?), 11-Май-22, 11:53 
С растом тоже нишмагли.

Так что ж получается…

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

130. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (-), 11-Май-22, 20:04 
>участвовать в оргиях

Там за то, чтобы то ли в core team, то ли в другую team войти, надо с этой team оргией заняться.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

142. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (143), 11-Май-22, 23:18 
А ты в это время свечку держишь?
Ответить | Правка | Наверх | Cообщить модератору

17. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (5), 11-Май-22, 10:13 
Скачать безопасный rustdecimal бесплатно без смс.
Ответить | Правка | Наверх | Cообщить модератору

54. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +2 +/
Сообщение от Аноним (54), 11-Май-22, 11:38 
Но вы же говорили что оно Никомуненужно ლ(ಠ益ಠ)ლ !!! Откуда бэкдоры в пакетах ??? Откуда столько комментов на Опеннете в каждом топике про Раст ???
Ответить | Правка | Наверх | Cообщить модератору

69. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (69), 11-Май-22, 12:14 
Ты так говоришь что много комментариев на опеннете это что-то хорошее.
Ответить | Правка | Наверх | Cообщить модератору

18. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +5 +/
Сообщение от Аноним (18), 11-Май-22, 10:15 
Ну а чего они ожидали:), покуда существуют эти самые менеджеры, в данном случае cargo, - пободное будет всегда (и не важно какой там у них Rust безопасный или нет)!
Особенно учитывая тот факт, что на зависимости вообще мало кто нынче смотрит:) Ставите один пакет, а вам вместе с ним приезжает куча непонятно чего, которое подягивает еще кучу непонятно чего, которое весит непонятно сколько! Ну да, так проще, они же говорят не пишите велосипеды:), и вообще не думайте головой, - типа за вас уже всё решили и подумали:)
Ответить | Правка | Наверх | Cообщить модератору

62. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (62), 11-Май-22, 11:58 
> говорят не пишите велосипеды

Так говорят только в рунете на всяких хабохибарах, а на западе в основном пишут все с нуля на стандартной библиотеке и используют сторонние наработки только на этапах прототипирования.

Ответить | Правка | Наверх | Cообщить модератору

68. Скрыто модератором  –2 +/
Сообщение от Аноним (69), 11-Май-22, 12:13 
Ответить | Правка | Наверх | Cообщить модератору

79. Скрыто модератором  –2 +/
Сообщение от ммнюмнюмус (?), 11-Май-22, 13:15 
Ответить | Правка | Наверх | Cообщить модератору

87. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (87), 11-Май-22, 14:37 
>а на западе в основном пишут все с нуля

Разработка facebook react-create-app для минимального приложения установит более 2000 пакетов.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

19. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (87), 11-Май-22, 10:16 
Почему в maven такого нет?
Хотя конечно тайпсквоттинг для вот этого вот выполнить сложно очень
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-lang3</artifactId>
    <version>3.12.0</version>
</dependency>
Ответить | Правка | Наверх | Cообщить модератору

27. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (-), 11-Май-22, 10:27 
> Почему в maven такого нет?

Потому что у фанатов слишком избирательное восприятие:
https://blog.sonatype.com/malware-removed-from-maven-central

Ответить | Правка | Наверх | Cообщить модератору

117. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (117), 11-Май-22, 19:11 
И? Как ты себе представляешь подключение этих плагинов вместо настоящих?
Ответить | Правка | Наверх | Cообщить модератору

21. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Аноним (87), 11-Май-22, 10:22 
"NPM и left-pad: мы разучились программировать?"
"Простой пакет NPM под названием left-pad был установлен как зависимость в React, Babel и других пакетах. Модуль, который на момент написания этого поста, имеет 11 звёзд на Github (сейчас 323 — прим.пер). Весь пакет состоит из 11 простых строчек"
"Есть пакет под названием isArray, который скачивают 880 000 раз в день, 18 млн скачиваний в феврале 2016 года. У него 72 зависимых NPM-пакета. И вот его целая 1 строчка кода:"
"Есть пакет под названием is-positive-integer (GitHub), который состоит из 4 строчек и которому на вчерашний день требовалось 3 других пакета для работы."
"Свежая установка Babel включает 41 000 файлов"

Ответить | Правка | Наверх | Cообщить модератору

22. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +4 +/
Сообщение от Аноним (87), 11-Май-22, 10:24 
а чем-то автор Deno был прав. Репозитории порождают маразм зависимостей.
Ответить | Правка | Наверх | Cообщить модератору

28. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от gradeonwhore (?), 11-Май-22, 10:29 
> Репозитории

речь не о репозитории, а о файлопомойке. файлопомойки существуют очень давно и никакой проверки от них никто не ожидает. только M$ пришло в голову как использовать это явление в своей игре, а болванчики и рады повторять за "гуру" даже не зная значения произносимых слов

Ответить | Правка | Наверх | Cообщить модератору

59. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Sw00p aka Jerom (?), 11-Май-22, 11:50 
такие файлопомойки полезны как тренировочные данные для всяких там ИИ "как надо писать код"

пс:66604

Ответить | Правка | Наверх | Cообщить модератору

24. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (5), 11-Май-22, 10:25 
> left-pad
> isArray

цитаты из времен, когда для ECMAScript еле-еле выпустили новую спеку спустя ~6 лет простоя

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

29. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Аноним (87), 11-Май-22, 10:32 
Это 2016 год. Array.isArray поддерживается в IE 9 с 2011, а в остальных еще раньше, но этот однострочник до сих пор пихают в зависимости. Странно что в него троян не засунули за всё это время.
Ответить | Правка | Наверх | Cообщить модератору

32. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (87), 11-Май-22, 10:37 
is-positive-integer это вообще 3 оператора, ради этого подключать библиотеку толсто очень. С тех пор в стандартную библиотеку добавили isInteger и padStart чтобы программисты не мучили npm
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

35. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +3 +/
Сообщение от Аноним (5), 11-Май-22, 10:45 
> Array.isArray поддерживается в IE 9 с 2011

Ага, то есть в 2011 году все резко подскочили и перешли в IE 9, да? Глянь browser stats 2011 для начала. Да я в эти времена все еще с IE 6 бодался.

> в стандартную библиотеку добавили isInteger и padStart чтобы программисты не мучили npm

Не "чтобы не мучили npm", а потому что есть в этих функциях объективная нужда. И речь здесь не про объем кода (никто не "разучивался программировать"), а про то, что ECMAScript не предоставлял достаточно стабильный рантайм. Сегодня это "[object Array]", завтра еще черт знает что. Библиотека isArray хотя бы была центральным местом, в котором мог бы быть накоплен опыт по ее работоспособности в самых разных браузерах, некоторые из которых уже не существуют.

Ответить | Правка | Наверх | Cообщить модератору

72. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (87), 11-Май-22, 12:19 
Какой свободный?
1) вместо isArray можно было использовать instanceof Array который есть даже в IE 4
2) Вместо isInteger использовать оператор % 1 который даже в первом netscape navigator должен работать
Эти функции заметаются одним оператором доступным в очень старых браузерах.
3) leftpad это 2 строчки кода

>Библиотека isArray хотя бы была центральным местом

в котором в любой момент мог оказаться троян взломавший компьютеры разработчиков и клиентов.
Аккаунт разработчика могут взломать в любой момент, он его мог продать.

Ответить | Правка | Наверх | Cообщить модератору

80. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +3 +/
Сообщение от Аноним (5), 11-Май-22, 13:23 
> вместо isArray можно было использовать instanceof Array который есть даже в IE 4

Посмотри в MDN, чем чреват такой метод.

> Вместо isInteger использовать оператор % 1 который даже в первом netscape navigator должен работать

Ага, и споткнись на первом же неординарном случае типа ({valueOf: () => 42}) % 1. Ты не сможешь с первого раза написать такую функцию -- обязательно вылезет edge case, который ты и представить себе не мог. А если функция сработает для тебя, не факт, что сработает в другом браузере образца 2011 года.

> leftpad это 2 строчки кода

Которые, полагаю, предлагается тащить повсюду, реализуя его снова и снова? Сообщество пришло к минимальным пакетам как ответ на стагнацию ECMAScript, а не потому что "не шмагли реализовать". В наши дни в них нужды особо нет, спасибо минимальным пакетам, которые наконец заставили tc39 как-то начать шевелиться.

> в котором в любой момент мог оказаться троян

А если бы бабушка была дедушкой...

Ответить | Правка | Наверх | Cообщить модератору

85. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Аноним (87), 11-Май-22, 14:33 
function isInteger(num) {
  return typeof num === "number" && isFinite(num) && num % 1 === 0;
}
описывает все возможные варианты. 7 месяцев не писала, js
Если будут сомнения на jest тесты написала бы.
>реализуя его снова и снова?

Да, скопипастить 2 строчки в Utils.js и не зависеть от того что прилетит из npm
>А если бы бабушка была дедушкой...

была она дедушкой. left-pad удалили, загрузили другие люди, по новой уже с трояном.
А недавно код делающий rm -rf / даже в 3Д движек Unity пролез, а не то что во фронтэнд.

Ответить | Правка | Наверх | Cообщить модератору

88. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (87), 11-Май-22, 14:42 
isInteger специально для тебя, под все браузеры начиная с IE 4
Ответить | Правка | Наверх | Cообщить модератору

96. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +2 +/
Сообщение от Аноним (5), 11-Май-22, 15:34 
> isFinite(num)

Во-первых, isFinite не нужен, когда уже есть Number.isFinite, в который здесь гарантированно передадут number. Во-вторых, {Number.,}isFinite не нужны, и все прекрасно работает без них. Вердикт: написанный наспех isInteger оказался не настолько удачным, как в критикуемом однострочнике из npm: https://github.com/tjmehta/is-positive-integer/blob/master/i...

> left-pad удалили, загрузили другие люди, по новой уже с трояном

А это в которой из параллельных вселенных произошло?

> недавно код делающий rm -rf / даже в 3Д движек Unity пролез

То, что самолеты иногда падают, не повод отказываться от них. В npm как и с самолетами: в новостях светятся только катастрофы.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

107. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Аноним (87), 11-Май-22, 17:39 
Во-первых Number.isFinite() появилось гораздо позже чем isFinite хотя до этого анонимный эксперт рассказывал про поддержку браузеров до IE 9.
Во-вторых isFinite гарантировано отсечет специальные значения.
Вердикт: анонимный эксперт либо троллит, либо не понимает о чем пишет...
Ответить | Правка | Наверх | Cообщить модератору

124. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +2 +/
Сообщение от Аноним (5), 11-Май-22, 19:36 
> isFinite гарантировано отсечет специальные значения

if (foo && foo && foo) // шоб гарантировано, шоб наверняка

Найди мне non-finite number значение, для которого % 1 === 0.

Ответить | Правка | Наверх | Cообщить модератору

109. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –2 +/
Сообщение от Аноним (87), 11-Май-22, 17:47 
"Инцидент с захватом прав на NPM-модуль привёл к сбою в работе проектов, использующих NPM
Особенно существенные проблемы возникли из-за удаления модуля left-pad, который выполняет простейшую функцию добавления лидирующих пробелов для доведения строки до заданного размера и содержит всего 11 строк кода. В феврале было загружено около 2.5 млн копий left-pad, а среди зависимых от него разработок оказались тысячи проектов, в том числе Node, React и Babel."

видимо не в той в которой находится тролль.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

110. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –2 +/
Сообщение от Аноним (87), 11-Май-22, 17:47 
Удалением известных модулей также воспользовались предприимчивые деятели, которые разместили в NPM собственные подставные модули с именами, совпадающими с удалёнными модулями. Не исключено, что эти модули совершают скрытую вредоносную активность.
Ответить | Правка | Наверх | Cообщить модератору

126. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +3 +/
Сообщение от Аноним (5), 11-Май-22, 19:44 
Как я уже сказал: в новостях публикуют катастрофы. Никто не публикует новости типа "библиотека xxx обновилась, и в ней не оказалось троянов" -- их можно клепать по десятки тысяч в день, если не в час. google: ошибка выжившего

Далее, к высокопопулярным пакетам приковано повышенное внимание, так что подсунуть троян проблематично. Если боишься, выруби интернет. В нормальном мире здраво взвешивают все риски, а не занимаются poisoning the well.

> удаления модуля left-pad

Цитируешь только так, как удобно? "“I think I have the right of deleting all my stuff,” Koçulu wrote on March 20 in an email that was later made public." — https://qz.com/646467/how-one-programmer-broke-the-internet-.../

Ни о каком трояне в left-pad речь никогда не шла. Вердикт: анонимный эксперт либо троллит, либо не понимает о чем пишет...

Ответить | Правка | Наверх | Cообщить модератору

97. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Sw00p aka Jerom (?), 11-Май-22, 15:37 
>typeof num === "number"

жесть какая, function isInteger(Number num) куда логичнее.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

128. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (5), 11-Май-22, 19:48 
> function isInteger(Number num) куда логичнее

Начнем с того, что в тайпскрипте можно явно указывать тип аргументов — будет проверен на этапе сборки без рантайм-оверхеда. Закончим тем, что Number и number — разные вещи, так что ни о какой логике в твоем примере речь не идет. google: js boxing. google: java boxing

Ответить | Правка | Наверх | Cообщить модератору

135. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Sw00p aka Jerom (?), 11-Май-22, 21:34 
>Начнем с того, что в тайпскрипте можно явно указывать тип аргументов — будет проверен на этапе сборки без рантайм-оверхеда.

спасибо кэп!

>Закончим тем, что Number и number — разные вещи, так что ни о какой логике в твоем примере речь не идет.

Ожидаемо :), потому явно написал с большой буквы. А теперь про логику:

функция сложить(хер, палец)
функция сложить(число, число)

разница есть при чтении?

Ответить | Правка | Наверх | Cообщить модератору

137. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Sw00p aka Jerom (?), 11-Май-22, 21:53 
> так что ни о какой логике в твоем примере речь не идет

хочу отметить, что теория типов, это раздел формальной логики, и язык программирования это формальный язык, а теперь вспомним для чего выдвигалась теория типов? Выше привел пример двух функция сложить, если не ясен мой посыл в коментах, могу пояснить на пальцах.

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

147. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Алекс (??), 12-Май-22, 08:23 
> google: java boxing

Ну и каким боком опеннетный эксперт притянул java к javascript?

JavaScript is to Java as hamster is to ham. (c)

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

153. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Sw00p aka Jerom (?), 12-Май-22, 11:02 
ну там намек на Number был, мол это в той же Java есть класс, забыв собственно что есть понятие класс.

https://en.m.wikipedia.org/wiki/Class_(computer_programming)

раздел Class vs type к прочтению экспертам.

Ответить | Правка | Наверх | Cообщить модератору

26. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (18), 11-Май-22, 10:27 
Именно! Я выше тоже об этом написал, - печально, но факт. Порой кажется, что люди перестали думать собственной головой:(
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

43. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от aname (?), 11-Май-22, 10:58 
Шашечки или ехать в длинной перспективе выглядит именно так.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

111. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Аноним (87), 11-Май-22, 18:06 
На самом деле сама себя раскритикую. Реализация дробных чисел для десятичной системы счисления это крайне сложно, это не однострочник isArray который можно написать с закрытыми глазами.
Такие вещи должны быть в стандартной библиотеке, а раз нет устанавливать из пакета или использовать язык в котором они есть, например java, c# и т.д.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

112. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Аноним (87), 11-Май-22, 18:16 
*в стандартной библиотеке, а раз в стандартной библиотеке нет,
Ответить | Правка | Наверх | Cообщить модератору

34. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (34), 11-Май-22, 10:39 
> /tmp/git-updater.bin

И что же он делал? Майнил что-ли?

Ответить | Правка | Наверх | Cообщить модератору

46. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от freecoderemail (ok), 11-Май-22, 11:05 
Безопастность памяти и типобезопасность - не равно отсутствию уязвимостей или логических ошибок. Type/memory safety != security.

А теперь, пожалуйста, ваши вопросы.

Ответить | Правка | Наверх | Cообщить модератору

48. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (48), 11-Май-22, 11:10 
Спасибо, кэп!
Ответить | Правка | Наверх | Cообщить модератору

49. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +2 +/
Сообщение от Аноним (-), 11-Май-22, 11:14 
> Безопастность памяти и типобезопасность - не равно отсутствию уязвимостей или логических ошибок. Type/memory safety != security.
> А теперь, пожалуйста, ваши вопросы.

Не порть местным Экспертусам праздник!


Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

51. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +3 +/
Сообщение от Аноним (51), 11-Май-22, 11:20 
а бывают не логические ошибки? Так-то выход за границы буфера это тоже логическая ошибка
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

52. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +3 +/
Сообщение от aname (?), 11-Май-22, 11:33 
Ты его сейчас поломаешь
Ответить | Правка | Наверх | Cообщить модератору

145. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от warlockemail (??), 12-Май-22, 01:42 
Не-а, выход за пределы буфера в C — это не логическая ошибка. Логическая — это когда, несмотря на её наличие, программа является корректным, грамматически правильным текстом на соответствующем языке. Но выход за границы буфера — это undefined behavior, а программа, допускающая undefined behavior, не является грамматически корректной. Собственно, как это ни пародоксально, ни одна программа на C не содержит undefined behavior. Потому что те тексты программ, которые undefined behavior содержат, C-программами не являются.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

149. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (-), 12-Май-22, 09:34 
> программа, допускающая undefined behavior, не является грамматически корректной.

Ты все перепутал. Программа, проходящая компиляцию (с проверкой типов и тп) - грамматически корректна.

Но если она все равно неправильно работает, то она семантически некорректна.

Грамматика, смысл/семантика - это логики разного уровня.

> выход за пределы буфера

В rust'е ловится рантаймом (который "отсутствует"), а не во время компиляции.

Ответить | Правка | Наверх | Cообщить модератору

156. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от warlockemail (??), 12-Май-22, 12:18 
> Программа, проходящая компиляцию (с проверкой типов и тп) - грамматически корректна.

Только если забыть про undefined behavior. Программы с undefined behavior — это как раз класс грамматически невалидных программ, которые, одинако, _могут_ не отсеиваться компилятором (но могут и отсеиваться как некорректные, хотя чаще это за пределами возможностей компилятора). Работать при этом она может даже «правильно», но на самом деле просто нельзя спрашивать о семантической корректности такой программы.

> В rust'е ловится рантаймом (который "отсутствует"), а не во время компиляции.

В простых (тривиальных случаях) может и во время компиляции ловится. Но это Rust,

Ответить | Правка | Наверх | Cообщить модератору

160. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (-), 12-Май-22, 14:59 
> грамматика

С тобой трудно дискутировать, используешь термин "грамматика", как захочется.

Что такое грамматика языка (программирования)?

"Крокодил съел солнце" - это грамматически правильно? А по смыслу/семантике? А в семантике (смысле) детской сказки?

> undefined behavior
> грамматически невалидных программ

Поведение - это семантика. По семантике (замыслу) вполне можно придумать ситуацию, когда именно хочется получить "неопределенное поведение".

Это другой уровень логики.

Я хочу написать _грамматически_правильную_конструкцию_ языка, в которой будет неопределенное поведение (крокодил съел солнце).

Ответить | Правка | Наверх | Cообщить модератору

168. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от warlockemail (??), 13-Май-22, 14:53 
Грамматика — это совокупность правил, которым должен удовлетворять текст программы, чтобы считаться грамматически-правильным. В случае естественных языков определение аналогично. Грамматическая правильность в случае естественных языков — штука неточная, хотя в большинстве случаев её можно считать точной.

В случае языка программирования представляется наиболее естественным считать грамматически-корректными такие тексты, для которых любой идеальный (соответствующий стандарту и не содержащий багов) компилятор гарантированно продуцирует некоторый выходной (объектный/бинарный) файл. Для программы, содержащей undefined behavior, компилятор не обязан этого делать. Может, но не обязан.

> вполне можно придумать ситуацию, когда именно хочется получить "неопределенное поведение".

Не всё, что можно придумать, можно реализовать на практике.

Ответить | Правка | Наверх | Cообщить модератору

60. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Корец (?), 11-Май-22, 11:51 
Это ты себе каждый раз повторяй перед тем, как в очередной раз будешь писать про дырявую сишку ;)
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

174. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от 0xd34df00d (??), 14-Май-22, 21:54 
Продвинутые системы типов позволяют ловить и логические ошибки. А ошибку вроде обсуждаемой выявила бы даже довольно слабая система типов хаскеля — IO, чистота, монады, это все.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

58. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +8 +/
Сообщение от Аноним (62), 11-Май-22, 11:50 
Репозитории не нужны. Уважающий себя программист с инженерным образованием будет все писать с нуля на стандартной библиотеке.
Ответить | Правка | Наверх | Cообщить модератору

66. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (69), 11-Май-22, 12:09 
Ты это рассказывай дальше, не останавливайся. Зачем человеку, которого ты описываешь раст?
Ответить | Правка | Наверх | Cообщить модератору

73. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +4 +/
Сообщение от Аноним (73), 11-Май-22, 12:21 
чтобы знать как делать не надо
Ответить | Правка | Наверх | Cообщить модератору

119. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +3 +/
Сообщение от Аноним (119), 11-Май-22, 19:16 
Интернет не нужен. Уважающий себя программист с инженерным образованием будет все комментарии писать в собственноручном, с нуля созданном Интернете.
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

125. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от aname (?), 11-Май-22, 19:40 
А придётся
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

139. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (139), 11-Май-22, 22:42 
а я вот работал в нескольких компаниях в США, где мы использовали libuv, а не начали писать свой event-driven велосипед с нуля. А собственно нахера, если оно уже есть и работает отлично?
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

157. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (-), 12-Май-22, 12:49 
Как нахера? Чтобы избежать тайпсквоттинга. А вдруг, скачивая libuv, ты скачаешь с фишингового сайта, и поставишь себе бекдор? Нет, уж, выдерни штекер интернета из компьютера, и пиши всё с нуля.
Ответить | Правка | Наверх | Cообщить модератору

63. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от yet another anonymous (?), 11-Май-22, 12:03 
Вот оно вскрываться начинает: "cargo --- существенная (неотъемлемая?) часть экосистемы rust с единственной реализацией компилятора (привет от Томпсона) и контролируемая славным попечительским советом".
Ответить | Правка | Наверх | Cообщить модератору

77. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +3 +/
Сообщение от Аноним (-), 11-Май-22, 12:38 
>> https://github.com/Rust-GCC/Reporting/blob/main/2022-05-09-r...
> Вот оно вскрываться начинает: "cargo --- существенная (неотъемлемая?) часть экосистемы
> rust с единственной реализацией компилятора (привет от Томпсона) и контролируемая славным  попечительским советом".

Соломенное чучело - существенная (неотъемлемая?) часть экосистемы opennet ...


Ответить | Правка | Наверх | Cообщить модератору

81. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от yet another anonymous (?), 11-Май-22, 13:26 
Выражали бы свою мысль. (Хотел сказать "... яснее", но, пожалуй, точка будет корректнее). То, что по упомянутой ссылке на "некие 7 дней из жизни rust" нет слова cargo?
Ответить | Правка | Наверх | Cообщить модератору

82. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (-), 11-Май-22, 13:36 
>> с единственной реализацией компилятора
> Выражали бы свою мысль. (Хотел сказать "... яснее", но, пожалуй, точка будет корректнее).

Корректнее будет пожалуй опредление "очердная опеннетная демагогия".

> То, что по упомянутой ссылке на "некие 7 дней из жизни rust" нет слова cargo?

И нет, сетевые репы - не неотъемлемая часть cargo.
https://doc.rust-lang.org/cargo/faq.html
>> Cargo, at its heart, will not attempt to access the network unless told to do so. That is, if no crates come from crates.io, a git repository, or some other network location, Cargo will never attempt to make a network connection.

Как впрочем и необходимость самого cargo
man rustc
https://doc.rust-lang.org/rustc/command-line-arguments.html

Ответить | Правка | Наверх | Cообщить модератору

114. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –2 +/
Сообщение от Аноним (114), 11-Май-22, 18:41 
> И нет, сетевые репы - не неотъемлемая часть cargo.
> Как впрочем и необходимость самого cargo

man rustc

И? Это фича преподносимая как плюс, хотя является явным минусом.

Единственный выход. Удаление cargo и всего с этим связанного.

Вплоть до анализа компилятором вызвавшей его программы и отказа при обнаружении cargo.

Я не думаю, что кто-либо будет это далать.

Так что сами себя закапывают. Можно только горсть земли сверху кинуть.

Ответить | Правка | Наверх | Cообщить модератору

120. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (-), 11-Май-22, 19:18 
> man rustc
> И? Это фича преподносимая как плюс, хотя является явным минусом.

Потому что гладиолус?

> Единственный выход. Удаление cargo и всего с этим связанного.
> Вплоть до анализа компилятором вызвавшей его программы и отказа при обнаружении cargo.
> Я не думаю, что кто-либо будет это далать.
> Так что сами себя закапывают. Можно только горсть земли сверху кинуть.

Сам что-то придумал, сам что-то доказал ...

Ответить | Правка | Наверх | Cообщить модератору

136. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (136), 11-Май-22, 21:34 
> Потому что гладиолус?

Смотри тему новости и новости об npm.

Факты доказывают очевидную ущербность такого построения инфраструктуры вокруг языков.

Ответить | Правка | Наверх | Cообщить модератору

138. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (-), 11-Май-22, 22:36 
>> Потому что гладиолус?
> Смотри тему новости и новости об npm.

И то ли дело прикрученные сбоку на сопли "14-ти стандартные" билдсистемы с отдельным "depens.sh" и wget внути. Или кучи затрояненых инсталляторов/бинарников, ага.

> Факты доказывают очевидную ущербность такого построения инфраструктуры вокруг языков.

Факты в виде целой кучи билдсистем разной степени костыльности для "труЪ-ЯП" доказывают ущербность построения инфраструктуры без оных.
А "факты" - пока что лишь доказывают очередное сражение опеннетчиков с очередным соломенным чучелом.


Ответить | Правка | Наверх | Cообщить модератору

141. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от yet another anonymous (?), 11-Май-22, 23:13 
Про демагогию --- это к вам. Чисто теоретически, cargo не часть rust. На практике без cargo потянут только маргиналы, но они и от rust'а не фанатеют.

"Not liking Cargo is hard." (https://users.rust-lang.org/t/my-reluctance-about-using-carg...)

<snip>
Use Cargo.

Pretty much the entire ecosystem is based around you using Cargo. Things are not added to the standard library on the basis of "people use Cargo." The compiler's command-line interface is optimised based on the assumption that you are using Cargo. Many Rust tools are designed on the assumption that you are using Cargo.

Avoiding Cargo is not going to make your life easier, it is going to make it significantly harder.

...
</snip>
https://www.reddit.com/r/rust/comments/8ckp8w/creating_a_lib.../

Ну, и так далее, в том же духе.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

144. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (-), 12-Май-22, 00:21 
> Про демагогию --- это к вам. Чисто теоретически, cargo не часть rust.
> На практике без cargo потянут только маргиналы, но они и от rust'а не фанатеют.

Чисто теоретически - куча билдсистем тоже не часть "ТруЪ ЯП". На практике ...

> "Not liking Cargo is hard." (https://users.rust-lang.org/t/my-reluctance-about-using-carg...)

Ага, а еще "not liking make/CMake/ninja/maven/... is hard".

> Ну, и так далее, в том же духе.

Да, в духе очередной Великой Битвы с соломенными чучелами.


Ответить | Правка | Наверх | Cообщить модератору

170. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от yet another anonymous (?), 14-Май-22, 08:29 
И на практике не часть. Язык отдельно, сборка отдельно. Что вполне хорошо.
Ответить | Правка | Наверх | Cообщить модератору

158. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от freecoderemail (ok), 12-Май-22, 14:50 
К слову сказать, Cargo не обязательно будет тянуть зависимости с crates.io. Можно указывать и локальные пути, и ссылки на гит-репозитории, и на свой собственный репозиторий, аналог crates.io.
Ответить | Правка | К родителю #141 | Наверх | Cообщить модератору

171. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от yet another anonymous (?), 14-Май-22, 08:47 
Вы что, действительно не понимаете разницу между "можно сделать, чтобы тянуть из сетки" и "можно сделать, чтобы из сетки не тянуть"?
Ответить | Правка | Наверх | Cообщить модератору

173. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (173), 14-Май-22, 09:06 
>> Cargo, at its heart, will not attempt to access the network unless told to do so.
> Вы что, действительно не понимаете разницу между "можно сделать, чтобы тянуть из
> сетки" и "можно сделать, чтобы из сетки не тянуть"?

Может, разницу между "читать глазами" и "читать не глазами, а этимсамымместом"?


Ответить | Правка | Наверх | Cообщить модератору

133. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (133), 11-Май-22, 21:20 
глупость --- существенная (неотъемлемая!) часть экосистемы opennet
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

154. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Sw00p aka Jerom (?), 12-Май-22, 11:08 
не мешайте глупцам совершать глупости.
Ответить | Правка | Наверх | Cообщить модератору

163. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Мимокрокодил (?), 13-Май-22, 00:50 
Решение уже известно, тут рядом в комментариях засела партия писателей всего с нуля =)
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

165. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (173), 13-Май-22, 09:04 
> партия писателей всего с нуля =)

Главное, не просить у них ссылок на их проекты, а то выяснится, что
пишут они лишь комментарии и "ценные указания для разработчиков".

Ответить | Правка | Наверх | Cообщить модератору

67. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +2 +/
Сообщение от fuggy (ok), 11-Май-22, 12:09 
С такой халатностью к репозиториям можно сказать что велосипеды это не так уж и плохо.
Ответить | Правка | Наверх | Cообщить модератору

98. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (98), 11-Май-22, 15:37 
> велосипеды

Каждый велосипед надо регистрировать в crates.io, ой, в реестре велосипедов, иначе это незарегистрированный (нелегальный, ворованный) велосипед.

Ответить | Правка | Наверх | Cообщить модератору

121. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (119), 11-Май-22, 19:19 
Причём когда ты этот велосипед заберёшь из реестра велосипедов и будешь на него садиться, кто-то ловко снимет с него сиденье. Но узнаешь ты об этом только по необычным ощущениям.
Ответить | Правка | Наверх | Cообщить модератору

70. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +3 +/
Сообщение от Аноним (70), 11-Май-22, 12:14 
ещё один nodejs
Ответить | Правка | Наверх | Cообщить модератору

71. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (71), 11-Май-22, 12:16 
Удобненький язычок с удобненьким пакетным менеджером.
Ответить | Правка | Наверх | Cообщить модератору

105. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Вы забыли заполнить поле Name (?), 11-Май-22, 17:19 
А какой легкочитаемый синтаксис - просто песня
Ответить | Правка | Наверх | Cообщить модератору

83. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +2 +/
Сообщение от Аноним (83), 11-Май-22, 13:41 
Десткий язык с детскими болезнями
Ответить | Правка | Наверх | Cообщить модератору

92. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (92), 11-Май-22, 15:10 
В джаве и сисярпе таж фигня
Ответить | Правка | Наверх | Cообщить модератору

131. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (-), 11-Май-22, 20:06 
И... мы нашли убивца сисярпа!
Ответить | Правка | Наверх | Cообщить модератору

94. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (-), 11-Май-22, 15:31 
Ну правильно, еще не хватало читать сорец того что вам льют в репы, особенно обфусцированый.
Ответить | Правка | Наверх | Cообщить модератору

95. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (-), 11-Май-22, 15:33 
Ну правильно, еще не хватало читать сорец того что вам льют в репы, особенно обфусцированый. А фичастый stdlib (кто там сеть хотел) и кислотный синтаксис сделает обнаружение бэкдоров не слишком скучным занятием.
Ответить | Правка | Наверх | Cообщить модератору

99. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (98), 11-Май-22, 15:39 
> обнаружение бэкдоров

Проще простого, надо искать в unsafe.

Ответить | Правка | Наверх | Cообщить модератору

101. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (92), 11-Май-22, 16:03 
в практически всех языках net есть в стандартной библиотеке
шарпы, джава, питон, го передают приветы
Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

103. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –3 +/
Сообщение от Анонимemail (103), 11-Май-22, 17:11 
Вот вам и хвалёный Rust,коий так все обожествляют в якобы сверх безопасности. Безопасных языков программирования не бывает тем более во времена нейросетей и ИИ.
Ответить | Правка | Наверх | Cообщить модератору

113. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +2 +/
Сообщение от Брат Анон (ok), 11-Май-22, 18:30 
Спасибо, поржал.
Ну, бэкдор-то -- хотя бы не течëт?
Ответить | Правка | Наверх | Cообщить модератору

115. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –1 +/
Сообщение от Аноним (-), 11-Май-22, 18:42 
Нет, он просто требует диктатуру пролетариата и занимается раскулачиванием CI.
Ответить | Правка | Наверх | Cообщить модератору

122. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (119), 11-Май-22, 19:24 
Вот кстати да, я лично уверен что он вообще был написан не по гайдлайнам и там из unsafe вызывался сторонний код на вонючей сишке, а как известно сишка...
Ответить | Правка | К родителю #113 | Наверх | Cообщить модератору

134. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +1 +/
Сообщение от Аноним (133), 11-Май-22, 21:27 
Сам то ты на чем пишешь?
Ответить | Правка | Наверх | Cообщить модератору

146. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +6 +/
Сообщение от Аноним (146), 12-Май-22, 04:00 
на опеннетах
Ответить | Правка | Наверх | Cообщить модератору

129. "В Rust-репозитории crates.io выявлен вредоносный пакет rustdecimal"  +/
Сообщение от Zasolin (ok), 11-Май-22, 19:49 
А где-то этот пакет еще можно скачать? Мне для научных целей.


Ответить | Правка | Наверх | Cообщить модератору

140. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  –2 +/
Сообщение от Аноним (140), 11-Май-22, 23:01 
Ой как безопасненько!
Ответить | Правка | Наверх | Cообщить модератору

159. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от freecoderemail (ok), 12-Май-22, 14:54 
Надеюсь, что подобные проекты получат новый импульс развития: https://rustsec.org
Ответить | Правка | Наверх | Cообщить модератору

166. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от n00by (ok), 13-Май-22, 09:08 
А что означает краб на щите? Я серьёзно спрашиваю, поскольку видел такое на логотипах проектов совсем иной направленности.
Ответить | Правка | Наверх | Cообщить модератору

167. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (-), 13-Май-22, 11:23 
Твой мозг слишком ограничен чтобы понять трансцедентные вещи. Лапоть высоких материй не поймёт.
Ответить | Правка | Наверх | Cообщить модератору

169. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от n00by (ok), 14-Май-22, 07:22 
Боюсь, что "dumps & cards" рядом с крабом так же останутся непонятны. ;)
Ответить | Правка | Наверх | Cообщить модератору

172. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от Аноним (173), 14-Май-22, 09:02 
> А что означает краб на щите? Я серьёзно спрашиваю, поскольку видел такое
> на логотипах проектов совсем иной направленности.

https://rustacean.net/
> unofficial mascot for Rust.

Ответить | Правка | К родителю #166 | Наверх | Cообщить модератору

175. "В Rust-репозитории crates.io выявлен вредоносный пакет rustd..."  +/
Сообщение от n00by (ok), 16-Май-22, 11:13 
Спасибо, но не нашёл там объяснений, что означает сей неофициальный логотип. Только "My pronouns are any--she/he/they/it are all great!"
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру