| |
| 2.48, Аноним (48), 05:58, 10/08/2022 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Что сделано лучше чем npm и почему?
Хотелось бы от вас получить технический анализ как от эксперта.
| | |
| |
| |
| 4.105, Аноним (105), 23:44, 10/08/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
Уважаемый анонимный эксперт, вы забыли добавить технический анализ почему apt лучше
| | |
|
| 3.111, Аноним (111), 01:04, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Раньше CDN был популярен. Там нельзя как в NPM выполнить любой скрипт при установке пакета (а без этого про безопасность вообще бессмысленно говорить - пакет может быть супер, а всё вредоносное можно добавить тихо при установке).
| | |
|
|
| 1.25, Аноним (25), 18:41, 09/08/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хорошее предложение, было бы интересно посмотреть на реализацию, особенно если она позволит пользоваться любой DVCS-платформой, а не только гитхабом. Атаки на supply chain актуальная угроза.
| | |
| |
| 2.75, Аноним (75), 13:39, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>DVCS-платформой, а не только гитхабом
Я всегда думал, что distributed - это где угодно, а не на гитпуке.
| | |
| |
| 3.109, Аноним (-), 01:02, 11/08/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Let's encrypt так то тоже ни разу не децентрализованый. Как может быть распределенным его аналог?
| | |
|
|
| |
| |
| 3.76, Аноним (75), 13:41, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
На лиспе этой одной командой можно его не то, что поднять, но и залезть ему в кишки и так далее. И эту одну команду с собой на флешке таскать.
| | |
|
|
| 1.29, Аноним (29), 20:16, 09/08/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом
А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию?
От этого есть защита?
| | |
| |
| 2.35, Аноним (25), 21:26, 09/08/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Конечно. Персональная репутация. Кроме того, в случае реального урона, на такого разработчика можно подать в суд. Вполне возможно, что иск будет коллективный, а это неиллюзорная возможность сесть лет на десять.
| | |
| |
| 3.36, Аноним (29), 22:22, 09/08/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
какая репутация, какой суд? там при установке чего угодно через npm обычно 100500 пакетов тянется в зависимостях и зависимостях зависимостей. бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале.
| | |
| |
| 4.39, Аноним (25), 00:52, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале.
Я сплю и вижу, как анонимные кодеры на js пушат на гитхаб свои нетленки через тор. Это именно тот опенсорс, о котором я так мечтал. Но в реальности большая часть авторов подписывается своим именем и делает это с домашнего компьютера, регистрируя гитхаб на свой ящик на gmail, который, в свою очередь, привязан к телефонному номеру. Ну и на всякий случай авторам популярных пакетов пришлют хардварный токен на домашний адрес.
| | |
| |
| 5.44, Аноним (48), 04:05, 10/08/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Всё верно. Только с точки зрения ответственности, разницы никакой нет.
Максимум авторам аккаунт заблокируют.
| | |
|
|
| 3.42, YetAnotherOnanym (ok), 01:58, 10/08/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Репутация? Вот, например, лично ты что знаешь о тех людях, чьи исходники используешь? А в суде, даже если ты сможешь его туда притащить, он ткнёт тебя носом в лицензию, где прописан отказ от ответственности.
| | |
| |
| 4.43, Аноним (48), 04:03, 10/08/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Тоже самое сделает и Microsoft. А, нет, ещё 5$ ущерба заплатит.
Пиши этот код сам, кто мешает? Или заказывай разработку.
| | |
| 4.99, Аноним (25), 20:41, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Напомню вопрос, на который я отвечал, раз уж чукча не читатель:
> А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию?
Ключевые слова: автор, решит, вредонос. Это намеренное (слово «решит» нам недвусмысленно говорит об этом) вредительство. Практически в любой стране мира, где есть IT, есть законы, явно запрещающие подобное поведение. Никакая лицензия не поможет, это преднамеренный взлом и за это сажают в тюрьму. В случае большого урона, даже необязательно тащиться к чёрту на рога, можно подать в суд в своей стране и затребовать экстрадицию. Или, как штаты, взять под белы рученьки в любой стране через которую автор будет проезжать транзитом.
| | |
| |
| 5.114, YetAnotherOnanym (ok), 09:51, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ну так тем более не будет дорожить своей репутацией тот, кто делает что-то, за что можно сесть.
Кроме того, никто не застрахован от булочки с крысиным ядом, если какой-нибудь Аксель Джордах решит сделать прощальный сюрприз.
| | |
| |
| 6.115, Аноним (29), 14:29, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Вы точно уверены, что сможете установить личность любого из авторов 100500 пакетов npm (бОльшая часть из которых - анонимы на github)?
| | |
| |
| 7.121, YetAnotherOnanym (ok), 18:54, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, да, очень хорошее наблюдение. Что там насчёт репутации этих авторов, бОльшпая часть из которых анонимы? У всех проверили? Удостоверились, что они ею дорожат?
| | |
|
|
|
|
| 3.82, darkshvein (ok), 14:26, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
 >Кроме того, в случае реального урона, на такого разработчика можно подать в суд.
есть прецеденты?
даже ослу же ясно, что npm создан для того, чтобы приманивать лохов, которые не осилят написать даже убогий скрипт для сайта.
| | |
| |
| 4.100, Аноним (25), 20:47, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> есть прецеденты?
Есть. И как арестовывают в транзитных аэропортах тоже есть. Почитай хоть у того же Кребса на сайте.
> даже ослу же ясно, что npm создан для того, чтобы приманивать лохов, которые не осилят написать даже убогий скрипт для сайта.
Ослу может и понятно, но я не осёл. Можешь объяснить, раз уж ты такой специалист по ослиному мышлению, как же так вышло, что практически весь веб так или иначе оказался завязан на npm, включая огромные корпорации, которые уж точно могут себе позволить нанять хотя бы средненьких девелоперов?
| | |
| |
| 5.106, darkshvein (ok), 23:46, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>практически весь веб так или иначе оказался завязан на npm
это называется экономика
| | |
| |
| |
| 7.127, darkshvein (ok), 21:23, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> А какое отношение экономика имеет к ослиному мышлению?
киса, ты обиделсо?
тебе пояснить, что проще и главное дешевле тебя по статье натянуть, нежели доплачивать тебе за написание кода, который ты толком и не умеешь писать?
что ты потом блеять будет про какие то модули от врагов россии уже заказчика и суд волновать будет мало, ибо ответственным зицпредседателем будешь ты.
| | |
|
|
|
| 4.104, Аноним (105), 23:40, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Разверните подробнее вашу мысль, на каком основании вы считаете что npm для тех кто не осилит написать скрипт на сайт
| | |
|
| 3.131, Аноним (131), 14:53, 13/08/2022 [^] [^^] [^^^] [ответить] | +1 +/– | К сожалению, персональная репутация становится пустым звуком во время войны, п... большой текст свёрнут, показать | | |
|
| 2.41, Аноним (48), 01:32, 10/08/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Конечно есть. Отслюнявливаешь баксы юридическому лицу, с регистрацией, адресом, фамилиями, ответственностью.
Подписываешь контракт на разработку с гарантиями и ответственностью. Наслаждаешься результатом.
| | |
| 2.50, Аноним (105), 06:42, 10/08/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Никакой защиты нет.
Теоретически можно было бы защититься если устанавливать только пакеты программы, от Фейсбук, Гугл, мс, ещё babel и core-js.
А практически react-script от лицо книги это несколько тысяч пакетов. Storybook ещё столько же. В webpack добавить несколько плагинов, ещё тысяча однострочников вида isArray
| | |
| |
| 3.67, вебмакак (?), 11:39, 10/08/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> core-js
это тот неадекват, что рекламу пихает на компьютеры без разрешения? что ему помешает в целях рекламной акции зловред запихать?
| | |
|
|
| 1.45, Аноним (-), 04:41, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> разработчики смогут привязать сформированный пакет к
> использованному исходному коду и сборочному окружению,
Круто, они придумали прибить сборочную конфигурацию на гвозди. И удачи пересобрать как-то иначе, да... они там еще не забыли что это как минимум формально опенсорс? Зачем он ТАКОЙ нужен? :)
| | |
| |
| |
| 3.54, Аноним (-), 07:31, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Так я сабжем и не пользуюсь, к счастью, так что вон то будет не моими проблемами.
| | |
|
| 2.101, Аноним (25), 20:54, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> они придумали прибить сборочную конфигурацию на гвозди
Ну ты попробуй пописать что-то сложнее hello world и накопленных скриптов, поймёшь зачем это и почему так делают дольше, чем ты на свете живёшь
| | |
| |
| 3.112, Аноним (-), 01:04, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась. Более того при разработке хорошая практика это девелопать под самые новые версии компонентов, чтобы быть готовым к будущему сразу а не когда уже поздняк метаться.
| | |
| |
| 4.124, Аноним (122), 19:08, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась.
Если только во сне.
> Более того при разработке хорошая практика это девелопать под самые новые версии компонентов, чтобы быть готовым к будущему сразу а не когда уже поздняк метаться.
Это ужасная практика, которая приводит к несуразным тратам времени на ремонт того, что не сломано. Погоня за циферками — удел админов локалхостов.
| | |
|
|
|
| 1.46, Аноним (111), 05:36, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А просто запретить выполнять произвольный скрипт при установке пакета до сих пор не могут.
| | |
| 1.47, Аноним (111), 05:40, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Большинство NPM пакетов не лезут на левые сайты (ajax всякий). Если ввести просто правило: всё новое не должно лезть или проходить отдельную верификацию (аккаунты фирм или ещё как - свод правил)? Это же на порядок быстрее и сильнее поднимет безопасность пакетов.
| | |
| |
| 2.58, yet another anonymous (?), 08:09, 10/08/2022 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Большинство NPM пакетов не лезут на левые сайты
Да ладно! Или вы имели ввиду, что они таки лезут, но на "совершенно не левые"?
| | |
|
| 1.59, Аноним (-), 09:51, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Есть простое правило: посылать нах все платформы и языки, которым из коробки нужно чего-то откуда-то грузить, и требуются особые усилия заставить это работать строго оффлайн.
| | |
| |
| 2.61, Аноним (62), 10:21, 10/08/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты только что изобрел С стандарта С99. А примеры кода вообще надо брать из книжек и лучше из умных.
| | |
| 2.70, Ляля (??), 12:05, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Чтобы чего-то откуда-то не грузить, оно уже должно быть на компукторе, что порождает следующий вопрос: как помещать это чего-то на компуктор?
| | |
| |
| 3.74, Аноним (74), 13:09, 10/08/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ты только что открыл дистрибутив линукс с пакетным менеджером.
| | |
| |
| 4.83, Ляля (??), 14:29, 10/08/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это же буквально то же самое: чего-то откуда-то грузить. Чем репозитории дистрибутива в этом смысле принципиально отличаются от NPM? Ничем, особенно если это AUR или «добавьте наш ppa».
| | |
| |
| 5.92, none7 (ok), 17:04, 10/08/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Степенью проверенности ментейнеров пакетов. Содержимое, а тем более обновления этого содержимого в NPN НИКТО не проверяет. Это помойка. Вы если виндой пользуетесь и хотите чего либо, то просто гуглите и запускаете первый попавшийся бинарник с варезника? А вот пользователи ПО из NPM так делают.
PPA это конечно зло и их можно ставить только на свой страх и риск, думая насколько автору PPA можно доверять. По хорошему их стоит ставить только в песочницу.
| | |
| |
| 6.116, Ляля (??), 14:50, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
То есть принципиально ничем, только в деталях: репозиторий дистра наполняют более симпатичные люди, и попадает в туда не всё, а что эти люди посчитали нужным добавить.
С репой дистра мы полагаемся на неких абстрактных ментейнеров, изначально и безусловно доверяя им, хотя причин для этого просто нет. «У них подписанные ключи» и «они знают друг друга» это причина для доверия между ментейнерами, но не для юзера, юзеру остаётся только верить, что репа беды не принесёт, верить, что ментейнеры хорошие парни.
| | |
| |
| 7.119, Аноним (119), 15:10, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Если не хочешь весь необходимый софт писать с нуля включая компиляторы, то необходимо кому-то доверять. И так уж сложилось, что бомж Вася, который свой аккаунт сольёт за бутылку водки любому прохожему, заслуживает меньшего доверия чем Линус Торвальдс.
Если доверять всем, то можете с тем же успехом оставить свой бумажник с кредитными картами в кафе, все же честные люди. А если не доверять не никому, то нужно собственный процессор печатать на собственном станке.
| | |
| |
| 8.120, Ляля (??), 15:17, 11/08/2022 [^] [^^] [^^^] [ответить] | +/– | Спасибо, я об этом как раз и говорю Репа дистра не безопаснее NPM, но доверять ... текст свёрнут, показать | | |
|
|
|
| 5.95, Аноним (95), 17:35, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Тем, что репозитории дистров ОС поддерживаются слаженной командой дистростроителей. Они знают друг друга. Есть взаимное доверие, есть моральная ответственность.
| | |
| |
| 6.118, Ляля (??), 14:58, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>Они знают друг друга.
А я их не знаю, для меня они какие-то люди в интернете. Как их знакомство друг с другом делает пакет безопаснее для меня?
>есть моральная ответственность
Тоже наверно перед друг другом, не передо мной же или другим админом.
| | |
|
|
|
|
| 2.77, Аноним (75), 13:43, 10/08/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Собственно, почему всякие удобные язычки с удобненькими пакетными менеджерами не нужны. Нужен только один пакетный менеджер - это apt. Или что у вас там.
| | |
| |
| 3.102, Аноним (105), 23:28, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Так называемые "Фронтэнд разработчики" не могут в apt.
Все что они могут это прозонтированный трехфакторной авторизацией каталог вредоносных пакетов npm
| | |
| |
| 4.107, Аноним (48), 00:00, 11/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Это тупые обезьянки дистростроители не могут в npmи не научились собирать пакеты. Какая попоболь.
Ведь макакам не объяснили разницу между кодом, для чего используется npm, и готовым продуктом.
Который должны собирать apt макаки. Но они не осилили. Печаль.
| | |
| 4.113, Аноним (-), 01:06, 11/08/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Так называемые "Фронтэнд разработчики" не могут в apt.
Так это не баг а фича: сразу видно кто в вольере гадит.
| | |
|
|
|
| |
| |
| |
| Часть нити удалена модератором |
|
| 3.78, Аноним (75), 13:45, 10/08/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Но докер - это не про песочницу. Докер - это про "я забыл ключи от apt-get".
| | |
| |
| 4.85, Аноним (84), 14:33, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
В интерактивном режиме команды набирай и будет тебе apt-get. А если ты еще пользователя с рутового переключишь, то вообще будешь в полной безопасности.
| | |
| 4.103, Аноним (105), 23:35, 10/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
Вы имеете в виду что современные разработчики не могут понять apt и поэтому изобрели докер?
Но ведь докер гораздо сложнее apt
| | |
|
|
|
| 1.79, darkshvein (ok), 13:54, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
а поясните за npm.
почему нельзя ставить те же rpm, deb? на худой конец src
почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm?
разработчики nodejs знают толк в извращениях?
| | |
| |
| 2.86, Аноним (111), 15:04, 10/08/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
NPN это сплошной facepalm: можно исполнить любой скрипт на стороне разработчика (то есть - без разницы что там сам js норм, можно встретится в систему сборки), политика разбиения на микропакеты (и использования этих васяновских микропакетов в продакшнне уровня react/angular), отсутствие нормальных правил публикации, ползновения многофакторной авторизации...
| | |
| 2.132, A (?), 10:19, 15/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm?
Потому, что можно без знаний и без душнилова писать от души слабо продуманный код как стихи. Хорошие стихи написать трудно. Ну и хороший код - тоже.
А упаковать в Deb и пройти проверки на косолапость в Дебиан - трудно, нужно много выучить.
Короче - так было проще сделать обыкновенный тяп ляп.
| | |
|
| 1.129, Аноним (129), 08:46, 12/08/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
эхъ, а когда-то kde собирали в freebsd из сорцов, а чтоб все собиралось и работало комментили непонятные куски кода (! безопасность еще тогда).
| | |
| |
| 2.130, BorichL (ok), 14:58, 12/08/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Дык до сих пор так делают, ну может в код особо не лезут, но желающие - могут :-)
| | |
|
| 1.134, Аноним (134), 13:53, 15/08/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Проблема мусорного бака в том что его нужно периодически вывозить.
Что npm, что pypi, что crates как раз такие бездонные баки, содержимое которых нужно в вулканической лаве растворять.
Причем "неймсквоттинг" там во все поля: условный белый джентльмен создаёт тысячу модулей на популярные названия и везде лепит одну и ту же фразу: "я создал этот проект чтобы не хорошие люди не могли напакостить, напишите мне туда-то если вы заинтересованы в проекте".
🤡
| | |
| |
| 2.135, Ааантоним (?), 18:25, 15/08/2022 [^] [^^] [^^^] [ответить]
| +/– | |
И при этом когда из содержимого бака что-либо обязательно неотъемлемая часть обеда у джентельмена.
Примечательно, для Питона есть Conda репозиторий. Была догадка - там отфильтрованы более менее нетухлые кусочки из бака. Не проверял.
| | |
|
|
