The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В NPM планируют использовать Sigstore для подтверждения подлинности пакетов

09.08.2022 15:36

GitHub выставил на обсуждение предложение по внедрению сервиса Sigstore для верификации пакетов по цифровым подписям и ведения публичного лога для подтверждения подлинности при распространении релизов. Применение Sigstore позволит реализовать дополнительный уровень защиты от атак, нацеленных на подмену программных компонентов и зависимостей (supply chain). Например, внедряемое изменение защитит исходные тексты проектов в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом.

Благодаря новому уровню защиты разработчики смогут привязать сформированный пакет к использованному исходному коду и сборочному окружению, предоставив пользователю возможность убедиться, что содержимое пакета соответствует содержимому исходных текстов в основном репозитории проекта. Применение Sigstore существенно упрощает процесс управления ключами и позволяет избавиться от сложностей, связанных с регистрацией, отзывом и управлением криптографическими ключами. Sigstore преподносится как аналог Let’s Encrypt для кода, предоставляющий сертификаты для заверения кода цифровыми подписями и инструментарий для автоматизации проверки.

Вместо постоянных ключей в Sigstore применяются короткоживущие эфемерные ключи, которые генерируются на основе полномочий. Используемый для подписи материал отражается в защищённом от внесения изменений публичном логе, который позволяет убедиться, что автор подписи именно тот, за кого себя выдаёт, и подпись сформирована тем же участником, что отвечал за прошлые релизы. Для обеспечения целостности и защиты от искажения данных задним числом применяется древовидная структура "дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы благодаря совместному (древовидному) хешированию. Имея конечный хеш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хеш нового состояния базы вычисляется с учётом прошлого состояния).

  1. Главная ссылка к новости (https://github.blog/2022-08-08...)
  2. OpenNews: Red Hat и Google представили Sigstore, сервис для криптографической верификации кода
  3. OpenNews: Атака на немецкие компании через NPM-пакеты
  4. OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
  5. OpenNews: В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов
  6. OpenNews: Выпуск пакетного менеджера NPM 8.15 с поддержкой локальной проверки целостности пакетов
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: К сведению
Короткая ссылка: https://opennet.ru/57614-sigstore
Ключевые слова: sigstore, npm
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (90) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.7, Аноним (7), 15:50, 09/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Как, друзья, вы не садитесь, ... (И.А. Крылов)
     
     
  • 2.28, Аноним (28), 20:10, 09/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Не на пики приземлитесь
     
  • 2.91, Аноним (91), 15:46, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Правильный путь подписи OpenPGP, лучше с аппаратной защитой секретного ключа:

    https://www.nitrokey.com/news/2018/nitrokey-partners-linux-foundation-equip-al

    https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-foundation-equip-d

    https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linux-developers-usb-k

     

  • 1.8, pashev.ru (?), 15:52, 09/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Npm не спасти.
     
     
  • 2.10, Аноним (10), 16:15, 09/08/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Зато можно добавить ещё одну подпорочку.  
     
  • 2.48, Аноним (48), 05:58, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что сделано лучше чем npm и почему?

    Хотелось бы от вас получить технический анализ как от эксперта.

     
     
  • 3.72, Аноним (72), 12:40, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    apt
     
     
  • 4.105, Аноним (105), 23:44, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Уважаемый анонимный эксперт, вы забыли добавить технический анализ почему apt лучше
     
  • 3.111, Аноним (111), 01:04, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Раньше CDN был популярен. Там нельзя как в NPM выполнить любой скрипт при установке пакета (а без этого про безопасность вообще бессмысленно говорить - пакет может быть супер, а всё вредоносное можно добавить тихо при установке).
     

  • 1.25, Аноним (25), 18:41, 09/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошее предложение, было бы интересно посмотреть на реализацию, особенно если она позволит пользоваться любой DVCS-платформой, а не только гитхабом. Атаки на supply chain актуальная угроза.
     
     
  • 2.75, Аноним (75), 13:39, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >DVCS-платформой, а не только гитхабом

    Я всегда думал, что distributed - это где угодно, а не на гитпуке.

     
     
  • 3.98, Аноним (25), 19:55, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Значит ты всегда думал неправильно. Передумывай заново всё.
     
  • 3.109, Аноним (-), 01:02, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Let's encrypt так то тоже ни разу не децентрализованый. Как может быть распределенным его аналог?
     

  • 1.27, Аноним (27), 19:18, 09/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Скоро все разработчики убегут куда-нибудь (на ржавчину)
     
     
  • 2.31, Аноним (31), 20:46, 09/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На карбонщину.
     
  • 2.34, аноним228 (?), 21:18, 09/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не все захотят убегать в эту эзотерику.
     
  • 2.56, Аноним774 (?), 07:42, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    На кристальщину
    https://opennet.ru/57549/
    там одной командой можно сервер поднять
     
     
  • 3.71, Аноним (71), 12:39, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А уронить?
     
  • 3.76, Аноним (75), 13:41, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    На лиспе этой одной командой можно его не то, что поднять, но и залезть ему в кишки и так далее. И эту одну команду с собой на флешке таскать.
     
  • 3.88, истина в последней инстанции (?), 15:23, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Прикинь, на шеле тоже
     
  • 3.89, истина в последней инстанции (?), 15:24, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Более того. И на C можно и на C++ можно. Одной командой.
     

  • 1.29, Аноним (29), 20:16, 09/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом

    А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию?
    От этого есть защита?

     
     
  • 2.35, Аноним (25), 21:26, 09/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Конечно. Персональная репутация. Кроме того, в случае реального урона, на такого разработчика можно подать в суд. Вполне возможно, что иск будет коллективный, а это неиллюзорная возможность сесть лет на десять.
     
     
  • 3.36, Аноним (29), 22:22, 09/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    какая репутация, какой суд? там при установке чего угодно через npm обычно 100500 пакетов тянется в зависимостях и зависимостях зависимостей. бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале.
     
     
  • 4.39, Аноним (25), 00:52, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале.

    Я сплю и вижу, как анонимные кодеры на js пушат на гитхаб свои нетленки через тор. Это именно тот опенсорс, о котором я так мечтал. Но в реальности большая часть авторов подписывается своим именем и делает это с домашнего компьютера, регистрируя гитхаб на свой ящик на gmail, который, в свою очередь, привязан к телефонному номеру. Ну и на всякий случай авторам популярных пакетов пришлют хардварный токен на домашний адрес.

     
     
  • 5.44, Аноним (48), 04:05, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всё верно. Только с точки зрения ответственности, разницы никакой нет.

    Максимум авторам аккаунт заблокируют.

     
     
  • 6.64, Аноним (64), 11:18, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Максимум найдут и на швабру насадят.  
     
  • 3.42, YetAnotherOnanym (ok), 01:58, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Репутация? Вот, например, лично ты что знаешь о тех людях, чьи исходники используешь? А в суде, даже если ты сможешь его туда притащить, он ткнёт тебя носом в лицензию, где прописан отказ от ответственности.
     
     
  • 4.43, Аноним (48), 04:03, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тоже самое сделает и Microsoft. А, нет, ещё 5$ ущерба заплатит.

    Пиши этот код сам, кто мешает? Или заказывай разработку.

     
  • 4.99, Аноним (25), 20:41, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Напомню вопрос, на который я отвечал, раз уж чукча не читатель:

    > А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию?

    Ключевые слова: автор, решит, вредонос. Это намеренное (слово «решит» нам недвусмысленно говорит об этом) вредительство. Практически в любой стране мира, где есть IT, есть законы, явно запрещающие подобное поведение. Никакая лицензия не поможет, это преднамеренный взлом и за это сажают в тюрьму. В случае большого урона, даже необязательно тащиться к чёрту на рога, можно подать в суд в своей стране и затребовать экстрадицию. Или, как штаты, взять под белы рученьки в любой стране через которую автор будет проезжать транзитом.

     
     
  • 5.114, YetAnotherOnanym (ok), 09:51, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так тем более не будет дорожить своей репутацией тот, кто делает что-то, за что можно сесть.
    Кроме того, никто не застрахован от булочки с крысиным ядом, если какой-нибудь Аксель Джордах решит сделать прощальный сюрприз.
     
     
  • 6.115, Аноним (29), 14:29, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы точно уверены, что сможете установить личность любого из авторов 100500 пакетов npm (бОльшая часть из которых - анонимы на github)?
     
     
  • 7.121, YetAnotherOnanym (ok), 18:54, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, да, очень хорошее наблюдение. Что там насчёт репутации этих авторов, бОльшпая часть из которых анонимы? У всех проверили? Удостоверились, что они ею дорожат?
     
  • 7.122, Аноним (122), 19:04, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > анонимы на github

    Оксюморон.

     
  • 3.82, darkshvein (ok), 14:26, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Кроме того, в случае реального урона, на такого разработчика можно подать в суд.

    есть прецеденты?

    даже ослу же ясно, что npm создан для того, чтобы приманивать лохов, которые не осилят написать даже убогий скрипт для сайта.

     
     
  • 4.100, Аноним (25), 20:47, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > есть прецеденты?

    Есть. И как арестовывают в транзитных аэропортах тоже есть. Почитай хоть у того же Кребса на сайте.

    > даже ослу же ясно, что npm создан для того, чтобы приманивать лохов, которые не осилят написать даже убогий скрипт для сайта.

    Ослу может и понятно, но я не осёл. Можешь объяснить, раз уж ты такой специалист по ослиному мышлению, как же так вышло, что практически весь веб так или иначе оказался завязан на npm, включая огромные корпорации, которые уж точно могут себе позволить нанять хотя бы средненьких девелоперов?

     
     
  • 5.106, darkshvein (ok), 23:46, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >практически весь веб так или иначе оказался завязан на npm

    это называется экономика

     
     
  • 6.123, Аноним (122), 19:05, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А какое отношение экономика имеет к ослиному мышлению?
     
     
  • 7.127, darkshvein (ok), 21:23, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А какое отношение экономика имеет к ослиному мышлению?

    киса, ты обиделсо?
    тебе пояснить, что проще и главное  дешевле тебя по статье натянуть, нежели доплачивать тебе за написание кода, который ты толком и не умеешь писать?
    что ты потом блеять будет про какие то модули от врагов россии уже заказчика и суд волновать будет мало, ибо ответственным зицпредседателем будешь ты.

     
  • 4.104, Аноним (105), 23:40, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Разверните подробнее вашу мысль, на каком основании вы считаете что npm для тех кто не осилит написать скрипт на сайт
     
  • 3.131, Аноним (131), 14:53, 13/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К сожалению, персональная репутация становится пустым звуком во время войны, п... большой текст свёрнут, показать
     
  • 2.41, Аноним (48), 01:32, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Конечно есть. Отслюнявливаешь баксы юридическому лицу, с регистрацией, адресом, фамилиями, ответственностью.

    Подписываешь контракт на разработку с гарантиями и ответственностью. Наслаждаешься результатом.

     
  • 2.50, Аноним (105), 06:42, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Никакой защиты нет.
    Теоретически можно было бы защититься если устанавливать только пакеты программы, от Фейсбук, Гугл, мс, ещё babel и core-js.
    А практически react-script от лицо книги это несколько тысяч пакетов. Storybook ещё столько же. В webpack добавить несколько плагинов, ещё тысяча однострочников вида isArray
     
     
  • 3.67, вебмакак (?), 11:39, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > core-js

    это тот неадекват, что рекламу пихает на компьютеры без разрешения? что ему помешает в целях рекламной акции зловред запихать?

     
     
  • 4.96, Аноним (105), 19:35, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Рекламу чего?
     

  • 1.45, Аноним (-), 04:41, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > разработчики смогут привязать сформированный пакет к
    > использованному исходному коду и сборочному окружению,

    Круто, они придумали прибить сборочную конфигурацию на гвозди. И удачи пересобрать как-то иначе, да... они там еще не забыли что это как минимум формально опенсорс? Зачем он ТАКОЙ нужен? :)

     
     
  • 2.51, Аноним (105), 06:45, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Опеннет экспертам незачем.
     
     
  • 3.54, Аноним (-), 07:31, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так я сабжем и не пользуюсь, к счастью, так что вон то будет не моими проблемами.
     
     
  • 4.62, Аноним (62), 10:23, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нода она до всех доберется.
     
     
  • 5.110, Аноним (-), 01:03, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я не все, это их проблемы.
     
  • 2.68, вебмакак (?), 11:41, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Github CI должен себя окупать.. естественно, ради безопасности
     
  • 2.101, Аноним (25), 20:54, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > они придумали прибить сборочную конфигурацию на гвозди

    Ну ты попробуй пописать что-то сложнее hello world и накопленных скриптов, поймёшь зачем это и почему так делают дольше, чем ты на свете живёшь

     
     
  • 3.112, Аноним (-), 01:04, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась. Более того при разработке хорошая практика это девелопать под самые новые версии компонентов, чтобы быть готовым к будущему сразу а не когда уже поздняк метаться.
     
     
  • 4.124, Аноним (122), 19:08, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась.

    Если только во сне.

    > Более того при разработке хорошая практика это девелопать под самые новые версии компонентов, чтобы быть готовым к будущему сразу а не когда уже поздняк метаться.

    Это ужасная практика, которая приводит к несуразным тратам времени на ремонт того, что не сломано. Погоня за циферками — удел админов локалхостов.

     

  • 1.46, Аноним (111), 05:36, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А просто запретить выполнять произвольный скрипт при установке пакета до сих пор не могут.
     
  • 1.47, Аноним (111), 05:40, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Большинство NPM пакетов не лезут на левые сайты (ajax всякий). Если ввести просто правило: всё новое не должно лезть или проходить отдельную верификацию (аккаунты фирм или ещё как - свод правил)? Это же на порядок быстрее и сильнее поднимет безопасность пакетов.
     
     
  • 2.58, yet another anonymous (?), 08:09, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Большинство NPM пакетов не лезут на левые сайты

    Да ладно! Или вы имели ввиду, что они таки лезут, но на "совершенно не левые"?

     

  • 1.59, Аноним (-), 09:51, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Есть простое правило: посылать нах все платформы и языки, которым из коробки нужно чего-то откуда-то грузить, и требуются особые усилия заставить это работать строго оффлайн.
     
     
  • 2.61, Аноним (62), 10:21, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты только что изобрел С стандарта С99. А примеры кода вообще надо брать  из книжек и лучше из умных.
     
  • 2.70, Ляля (??), 12:05, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы чего-то откуда-то не грузить, оно уже должно быть на компукторе, что порождает следующий вопрос: как помещать это чего-то на компуктор?
     
     
  • 3.74, Аноним (74), 13:09, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты только что открыл дистрибутив линукс с пакетным менеджером.
     
     
  • 4.83, Ляля (??), 14:29, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это же буквально то же самое: чего-то откуда-то грузить. Чем репозитории дистрибутива в этом смысле принципиально отличаются от NPM? Ничем, особенно если это AUR или «добавьте наш ppa».
     
     
  • 5.92, none7 (ok), 17:04, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Степенью проверенности ментейнеров пакетов. Содержимое, а тем более обновления этого содержимого в NPN НИКТО не проверяет. Это помойка. Вы если виндой пользуетесь и хотите чего либо, то просто гуглите и запускаете первый попавшийся бинарник с варезника? А вот пользователи ПО из NPM так делают.
    PPA это конечно зло и их можно ставить только на свой страх и риск, думая насколько автору PPA можно доверять. По хорошему их стоит ставить только в песочницу.
     
     
  • 6.116, Ляля (??), 14:50, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    То есть принципиально ничем, только в деталях: репозиторий дистра наполняют более симпатичные люди, и попадает в туда не всё, а что эти люди посчитали нужным добавить.

    С репой дистра мы полагаемся на неких абстрактных ментейнеров, изначально и безусловно доверяя им, хотя причин для этого просто нет. «У них подписанные ключи» и «они знают друг друга» это причина для доверия между ментейнерами, но не для юзера, юзеру остаётся только верить, что репа беды не принесёт, верить, что ментейнеры хорошие парни.

     
     
  • 7.119, Аноним (119), 15:10, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если не хочешь весь необходимый софт писать с нуля включая компиляторы, то необходимо кому-то доверять. И так уж сложилось, что бомж Вася, который свой аккаунт сольёт за бутылку водки любому прохожему, заслуживает меньшего доверия чем Линус Торвальдс.
    Если доверять всем, то можете с тем же успехом оставить свой бумажник с кредитными картами в кафе, все же честные люди. А если не доверять не никому, то нужно собственный процессор печатать на собственном станке.
     
     
  • 8.120, Ляля (??), 15:17, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, я об этом как раз и говорю Репа дистра не безопаснее NPM, но доверять ... текст свёрнут, показать
     
     
  • 9.125, Аноним (122), 19:11, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А можешь тезисно пояснить как ты пришёл к такому выводу Какие-то объективные кр... текст свёрнут, показать
     
     
  • 10.128, Ляля (??), 00:05, 12/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Иди в другом месте поиграй, сорванец ... текст свёрнут, показать
     
  • 5.95, Аноним (95), 17:35, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тем, что репозитории дистров ОС поддерживаются слаженной командой дистростроителей. Они знают друг друга. Есть взаимное доверие, есть моральная ответственность.
     
     
  • 6.118, Ляля (??), 14:58, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Они знают друг друга.

    А я их не знаю, для меня они какие-то люди в интернете. Как их знакомство друг с другом делает пакет безопаснее для меня?

    >есть моральная ответственность

    Тоже наверно перед друг другом, не передо мной же или другим админом.

     
  • 3.94, Аноним (95), 17:32, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если ничего умного не приходит, можно вспомнить про дискетки.
     
  • 2.77, Аноним (75), 13:43, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Собственно, почему всякие удобные язычки с удобненькими пакетными менеджерами не нужны. Нужен только один пакетный менеджер - это apt. Или что у вас там.
     
     
  • 3.93, Аноним (95), 17:30, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    portage
     
  • 3.102, Аноним (105), 23:28, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так называемые "Фронтэнд разработчики" не могут в apt.
    Все что они могут это прозонтированный трехфакторной авторизацией каталог вредоносных пакетов npm
     
     
  • 4.107, Аноним (48), 00:00, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это тупые обезьянки дистростроители не могут в npmи не научились собирать пакеты. Какая попоболь.

    Ведь макакам не объяснили разницу между кодом, для чего используется npm, и готовым продуктом.

    Который должны собирать apt макаки. Но они не осилили. Печаль.

     
  • 4.113, Аноним (-), 01:06, 11/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так называемые "Фронтэнд разработчики" не могут в apt.

    Так это не баг а фича: сразу видно кто в вольере гадит.

     

  • 1.60, Аноним (-), 09:54, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    В песочницу их, с запросом на доступ на каждый чих!
     
     
  • 2.63, Аноним (64), 11:17, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты все пропустил это называется докер и его все используют.
     
     
     
    Часть нити удалена модератором

  • 4.84, Аноним (84), 14:32, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Либо ты используешь докер или он начнет использовать тебя!
     
  • 3.78, Аноним (75), 13:45, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но докер - это не про песочницу. Докер - это про "я забыл ключи от apt-get".
     
     
  • 4.85, Аноним (84), 14:33, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В интерактивном режиме команды набирай и будет тебе apt-get. А если ты еще пользователя с рутового переключишь, то вообще будешь в полной безопасности.
     
  • 4.103, Аноним (105), 23:35, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы имеете в виду что современные разработчики не могут понять apt и поэтому изобрели докер?
    Но ведь докер гораздо сложнее apt
     

  • 1.79, darkshvein (ok), 13:54, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    а поясните за npm.
    почему нельзя ставить те же rpm, deb? на худой конец src
    почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm?
    разработчики nodejs знают толк в извращениях?
     
     
  • 2.86, Аноним (111), 15:04, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    NPN это сплошной facepalm: можно исполнить любой скрипт на стороне разработчика (то есть - без разницы что там сам js норм, можно встретится в систему сборки), политика разбиения на микропакеты (и использования этих васяновских микропакетов в продакшнне уровня react/angular), отсутствие нормальных правил публикации, ползновения многофакторной авторизации...
     
  • 2.97, Аноним (105), 19:42, 10/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Поставь react из Deb.
    А потом из rpm
     
  • 2.132, A (?), 10:19, 15/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm?

    Потому, что можно без знаний и без душнилова писать от души слабо продуманный код как стихи. Хорошие стихи написать трудно. Ну и хороший код - тоже.

    А упаковать в Deb и пройти проверки на косолапость в Дебиан - трудно, нужно много выучить.

    Короче - так было проще сделать обыкновенный тяп ляп.

     

  • 1.129, Аноним (129), 08:46, 12/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    эхъ, а когда-то kde собирали в freebsd из сорцов, а чтоб все собиралось и работало комментили непонятные куски кода (! безопасность еще тогда).
     
     
  • 2.130, BorichL (ok), 14:58, 12/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дык до сих пор так делают, ну может в код особо не лезут, но желающие - могут   :-)
     

  • 1.134, Аноним (134), 13:53, 15/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проблема мусорного бака в том что его нужно периодически вывозить.
    Что npm, что pypi, что crates как раз такие бездонные баки, содержимое которых нужно в вулканической лаве растворять.
    Причем "неймсквоттинг" там во все поля: условный белый джентльмен создаёт тысячу модулей на популярные названия и везде лепит одну и ту же фразу: "я создал этот проект чтобы не хорошие люди не могли напакостить, напишите мне туда-то если вы заинтересованы в проекте".

    🤡

     
     
  • 2.135, Ааантоним (?), 18:25, 15/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И при этом когда из содержимого бака что-либо обязательно неотъемлемая часть обеда у джентельмена.

    Примечательно, для Питона есть Conda репозиторий. Была догадка - там отфильтрованы более менее нетухлые кусочки из бака. Не проверял.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру