| 1.1, JL2001 (ok), 12:57, 16/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 ненене, репозиториям мы доверяем! и без запуска установочных скриптов в пакетах никак не возможно устанавливать пакеты!! только так!!!
а то иначе получатся какие-то простигоспади rpm-юнит-файлы и installd, а этого мы допустить никак не можем!!
| | |
| |
| |
| 3.16, JL2001 (ok), 16:00, 16/12/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Как будто в .rpm нет скриптов.
как будто это что-то хорошее
лучше бы возразили что в юнитфайлах иногда таки не удаётся без скриптов
| | |
|
| 2.29, Crazy Alex (ok), 17:27, 16/12/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Ну да, доверяем, а что? Правда, между репозиториями и NPM всё-таки, видать, есть какое-то различие - что-то я о зловредах в дебиане или там центоси не слышал.
| | |
| |
| 3.31, Аноним (31), 17:55, 16/12/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Нет антивируса - нет вируса. Пока гром не грянет мужик не узнает про существование грома. Незнание - сила.
| | |
| 3.37, JL2001 (ok), 20:22, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Ну да, доверяем, а что? Правда, между репозиториями и NPM всё-таки, видать,
> есть какое-то различие - что-то я о зловредах в дебиане или
> там центоси не слышал.
если вы не видете суслика, это всего лишь значит, что он хорошо маскируется
оглянитесь вокруг - некоторые люди злы и порочны, вам хватит ровно одного
такого, который скажет мантейнеру, что он знает где учится его маленькая дочка
| | |
|
|
| 1.3, Грусть (?), 13:05, 16/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Ха, а то, что эти скрипты зачастую блоб не пойми откуда скачивают - это уже мелочи :)
| | |
| |
| 2.15, Аноним (15), 15:08, 16/12/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Блоб не пойми откуда ничем не хуже обычного JS-кода не пойми откуда. И то и то требует доверия к разработчику модуля. На этом доверии всё и строится
| | |
|
| 1.4, Грусть (?), 13:07, 16/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Скриптов быть не должно. Если надо что-то заскриптовать, это должно делаться при запуске сервиса или ином использовании пакета. Как IPS в солярке или как всё в nixos.
| | |
| |
| 2.10, Аноним (15), 14:32, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
В npm не только скрипты на JS, но и нативные модули/библиотеки, которым требуется компиляция
| | |
| |
| 3.11, Тоска (?), 14:37, 16/12/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Поэтому они и тянут блобы. NPM не может заменить системный пакетный менеджер. А они пытается. Результат - на лице.
| | |
| |
| 4.13, Аноним (15), 14:51, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Пытается заменить только при глобальной установке с '-g', и тут я с вами в основном согласен.
Но основной кейс иcпользования npm - локальная установка в каталог проекта в 'node_modules' и локальный bin в 'node_modules/.bin' и тут пакетный менеджер никак не может быть заменой с учётом транзитивных зависимостей разных версий в пределах одного проекта, а это распространённое явление при использовании "больших" зависимостей типа реакта, бабеля и т.п.
| | |
| 4.20, JL2001 (ok), 16:08, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Поэтому они и тянут блобы. NPM не может заменить системный пакетный менеджер.
> А они пытается. Результат - на лице.
результат не потому
а потому что при запуске чего-то есть шанс что это чего-то начнёт себя вести нехорошо
тоесть и запуск установленной программы, и её установка, и сборка её бинарного пакета должны проходить в ограниченых окружениях
| | |
|
|
|
| 1.5, Аноним (5), 13:23, 16/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Запускать npm с sudo - это выстрел в ногу.
Node с npm должны быть установлены только в хомяке (через nvm).
Никогда не понимал установку ноды из репозиториев.
| | |
| |
| 2.6, ЧЯДНТ (?), 13:36, 16/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
... в контейнере на вриталке без доступа к локальной сети
| | |
| 2.9, Антон (??), 14:25, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
это скорее не проблема npm, а sudo, который слишком много позволяет
| | |
| 2.17, JL2001 (ok), 16:01, 16/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Запускать npm с sudo - это выстрел в ногу.
> Node с npm должны быть установлены только в хомяке (через nvm).
> Никогда не понимал установку ноды из репозиториев.
а rpm с sudo значит можно?
| | |
| |
| |
| 4.33, JL2001 (ok), 18:25, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> NPM та еще помойка, оф.репы как-то больше вызывают доверия.
но почему? люди и там и там - уходят проверенные и приходят новые
а ещё у них время выплаты кредита тикает
| | |
| |
| 5.40, Аноним (39), 21:27, 16/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
В npm отсутствует вообще какой-либо контроль приходящих людей. В дистрибутивах с этим получше, там доказать квалификацию нужно, и, зачастую, личность подтвердить. Все майнтейнеры Debian, скажем, известны поимённо, а что за васян очередной лефтпад в npm залил — поди разберись.
| | |
|
|
|
| 2.34, Аноним (34), 18:58, 16/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Какая разница? Вы полагаете у юзера мало прав? У типичного юзер 99% прав рута и это хорошо если судо ещё не используется для всего, с судо и последний процент исчезает.
| | |
|
| 1.7, Аноним (7), 13:46, 16/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Если к npm-пакетам нет доверия, так что нельзя позволять им работать с произвольными файлами в установочных скриптах, значит не следует вообще устанавливать npm-пакеты.
| | |
| |
| 2.18, JL2001 (ok), 16:03, 16/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Если к npm-пакетам нет доверия, так что нельзя позволять им работать с
> произвольными файлами в установочных скриптах, значит не следует вообще устанавливать
> npm-пакеты.
а как вы вообще определяете каким пакетам доверять, а каким - нет?
зы: из зала ещё подсказывают, что скрипты при установке можно и из сети скачать
| | |
| |
| 3.26, Аноним (25), 16:38, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> а как вы вообще определяете каким пакетам доверять, а каким - нет?
По исходному коду
| | |
| |
| 4.28, Аноним (15), 16:49, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Часть пакетов написана на TypeScript и перед публикацией в npm транспилится в JS и минифицируется. Такой транспилированный код вы тоже проверяете на соответствие TypeScript-коду?
Не говоря о том, что в npm можно залить совсем не тот код, который лежит в VCS.
| | |
| |
| 5.41, К.О. (?), 21:29, 16/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если проверить нельзя, значит, и доверять такому коду нельзя.
| | |
| 5.46, Аноним (46), 23:08, 17/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
транспишяция должна быть частью npm, а не говноскриптами. Скажу больше, по-моему node должен уметь в typescript без транспиляции, нативно. Как и JS-движки. Это позволит им лучше оптимизировать код.
| | |
|
| 4.35, JL2001 (ok), 20:14, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> а как вы вообще определяете каким пакетам доверять, а каким - нет?
> По исходному коду
серьёзно?
можно я буду Вам поклоняться, мой Бог? Всезнающий и Всепонимающий
| | |
|
|
|
| 1.12, anonymous (??), 14:40, 16/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Какой-то идиотизм. Очевидное же решение - распаковать файлы внутри firejail, там же скомпилять, а потом готовое скопировать, при попытке переписать существующий файл - откат копирования и фейл. Давно уже все необходимые утилиты существуют, почему дистрописатели не используют их?
| | |
| |
| 2.24, Аноним (15), 16:32, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Сам npm cli не сказать что быстро развивается в плане новых фич. Не думаю, что сейчас есть ресурсы на это, особенно если учесть, что npm кроссплатформенный.
| | |
| |
| 3.30, Аноним (30), 17:46, 16/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
мало того, что у них какие то пакеты для жыеса устанавливаются в обход системного менеджера, так еще и сам установщик устанавливается в обход установщика?
| | |
|
| 2.45, gogo (?), 23:38, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Какой jail? Какого перца тащить в систему все говно без разбору, а потом разбирать, что за говно притащили?..
| | |
|
| 1.32, Аноним (31), 17:58, 16/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Может кто-то уже догадается сделать npm с пакетами проверенными вручную. Да даже за деньги. Red Hat IBM NPM Registry Cloud Enterprise Services. Идею дарю.
| | |
| |
| 2.44, gogo (?), 23:35, 16/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Наверняка кто-то пробовал. И наверняка они разорились на мятно-имбирных таблетках от тошноты для проверяющих...
| | |
|
| 1.43, gogo (?), 23:33, 16/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Проблема ведь не в том, что скрипт пакета может что-то злонамеренно переписать.
Проблема в том, что такую возможность рассматривают как вполне вероятную и пытаются от неё защититься!
Сравнивая с .rpm, КАК можно пользоваться системой, где вероятность распространения злонамеренного кода _теоретически_ НЕ может быть сведена к нулю?
| | |
|
