|
| 1.9, Анрним (?), 23:25, 31/03/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Миллионы глаз на изи нашли. Что происходит в менеджерах где 10 калек на в расте никто не знает и знать не хочет.
| | |
| 1.10, Аноним (10), 23:44, 31/03/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Как именно был перехвачен токен доступа не уточняется.
Да известно как это делается. Либо через почту, либо через GitHub Actions.
| | |
| |
| |
| 3.21, Аноним (2), 03:44, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Не, если бы GitHub был на си а не на руби, то можно было бы зайти от рута, пошарить по их хостингу, забрать токены с нужных реп, а потом грузить по ним что хоч.
| | |
|
|
| 1.12, q (ok), 00:11, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
 axios уже давно не нужен, есть нативный fetch(). Внимание! Если вам кажется, что в axios есть какая-то киллер-фича, то я заявлю, что она легко реализуется без axios -- при помощи dependency injection. Точка. Если вы используете axios как DI-контейнер (представляете? есть и такие!), то вы глупец, ничего не смыслящий в UNIX-принципе "каждая либа должна заниматься только одной хренью."
| | |
| |
| 2.14, Аноним (14), 00:33, 01/04/2026 [^] [^^] [^^^] [ответить]
| –6 +/– |
А вот и целевая аудитория таких взломов. Рассуждает о абсолютно неважных вещах, лишь бы не задумываться о том, что такое NPM-пакеты.
| | |
| |
| 3.17, q (ok), 02:08, 01/04/2026 [^] [^^] [^^^] [ответить]
| +4 +/– |
Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумываться о том, что каждый новый пакет усложняет сопровождение проекта и ставит его под угрозу supply chain attacks.
| | |
| |
| 4.23, Аноним (2), 03:49, 01/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, минусы есть. Но зато шустренько код пишеться, как будто не программируешь, а просто по клаве стучишь, фреймворки там усе переваривают, проблемки решают и заказчики довольны.
| | |
| |
| 5.29, Аноним (29), 07:20, 01/04/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
ога, по клаве бьешь do this ticket don't make any mistakes
и потом просишь закомммтить и задеплоитьб
и все это даже не приходя в сознание
| | |
|
| 4.36, анон (?), 10:47, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>те, кто ставят все пакеты подряд
а также те, кто не смотрит зависимости зависимостей и вслепую выполняет автообновления
| | |
|
|
| |
| 3.42, q (ok), 13:32, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Сразу видно гуманитария, который считает, что UNIX существует в изоляции от вселенной, и что принципы UNIX не применимы абсолютно нигде, кроме самого UNIX. Ну загугли тогда single-responsibility principle, что ли, если по-английски бо-бо, и если есть выход в нормальный интернет.
| | |
|
|
| |
| 2.16, Аноним (16), 01:41, 01/04/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего продукта. Шило в мешке не утаишь.
| | |
|
| |
| 2.25, Аноним (2), 04:47, 01/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Мда, на бреинфаке нет, переходи на него. А хотя, стой ты же с си... Э-э-э... Ничего не делай.
| | |
| 2.26, Аноним (-), 04:54, 01/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> что раст
Мимо. В случаях с crates.io был только тайпсквоттинг.
| | |
| |
| |
| 4.41, Аноним (41), 13:11, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
А зачем себе что-то говорить, если врешь ты? Ты это знаешь, все это знают. Чего тут говорить) Вопрос исключительно к твоей совести)
| | |
| |
| |
| 6.47, Аноним (47), 17:20, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Тебе в школе экспертов не рассказали об отличиях между компрометацией популярного пакета и тайпсквоттингом? Давай я объясню тебе на пальце. В первом случае к тебе сзади подходит чёрный властелин и начинает тебя любить. Во втором тебе издалека показывают палец и ждут, когда ты сам подойдёшь и на него сядешь. Чувствуешь разницу?
| | |
| |
| 7.51, Аноним (51), 15:27, 02/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Во втором тебе издалека показывают палец и ждут, когда ты сам подойдёшь и на него сядешь. Чувствуешь разницу?
Немного не так.
Издалека показывают палец и ждут, когда ты сам подойдёшь, а далее к тебе сзади подходит чёрный властелин и начинает тебя любить.
| | |
|
|
|
|
| 3.34, Аноним (14), 10:11, 01/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Принцип существования такой-же как и у NPM. Расскажи мне почему у вас должно быть лучше.
| | |
| |
| 4.35, пох. (?), 10:22, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
патамушта людшки способные разбираться в закорючках и так неплохо кушают, все пятнадцать, а claude откажется писать троянца, ей хард промпт запрещает.
Поэтому троянцы будут только китайские, что сильно уменьшит их количество. То ли дело когда каждый запрещенный на опеннете может даже без ыы.
| | |
|
| 3.52, 12yoexpert (ok), 22:36, 02/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
 > Мимо. В случаях с crates.io был только тайпсквоттинг.
ты можешь называть своё порванное очко как тебе заблагорассудится
| | |
|
| 2.37, Аноним (37), 10:47, 01/04/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
Зато на Си каждый день по эксплойту, вот к чему надо стремиться!
| | |
|
| 1.43, Аноним (43), 13:41, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Это будет продолжаться пока хранилища пакетов не перейдут на блокчейн и мультиподпись.
| | |
| |
| 2.45, menangen (?), 15:26, 01/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Просто релизы продуктов должны всегда подписываться двумя верифицированными ключами разработчика - один для коммитов, второй для релиза уже ввиде tar.gzip.sha256 и загрузки его в npm хранилище
Да и вообще, подписывать каждый коммит в репе это не проблема в наше то непростое время
| | |
| 2.46, Аноним (46), 15:29, 01/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
будут точно также терять приватные ключи, как сейчас апи-ключи от npm.
| | |
| 2.50, Рот postinstall ваших пакетных менеджеров (?), 15:01, 02/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Это никак не поможет, потому что проблема не там. Проблема в дизайне npm. Или точнее в дизайне пакетных менеджеров. Или еще точнее в дизайне головы любителей пакетных менеджеров.
Поможет вот что:
1. Никаких pre и post-install скриптов в пакетном менеджере, вообще. И никаких автоматических вызовов скриптов. Юзерам надо - пусть руками вызывают, это редкие кейсы.
В npm pre и post-instal по дефолту включены.
2. Строгие версии зависимостей по дефолту. Сейчас по дефолту пакеты пихаются в зависимости с версиями типа ^4.0 и потом кто0то пихает пакет с версией 4.0.1 с вредоносом. И он автоматом скачивается у всех, кто жестко версию не зафиксировал.
А еще лучше вообще никаких нестрогих версий зависимостей в менеджере.
3. Никаких вложеных зависимостей. Конечный проект может иметь зависимости, либа - нет. Хочешь пихнуть зависимость в либу, пиши в ридми и пусть юзеры руками ставят. Как например на сях, есть libzip ей нужна в зависимости libz, и ты руками кладешь в проект обе.
4. Доступ к fs и инету в ноде по разрешению. Хочешь читать файлы? Ключик в консоль с нужной папкой сначала. Хочешь лезть в инет? Ключик в консоль с нужным ip или доменом сначала. Это на сях чтобы трояном файлы читать, сначала надо инклудить и компилять, а чтобы в сеть лезть, пару дней разбираться с сетевым стеком конкретной ситемы. А на на js с нодой fetch и readFile в блокноте пишешь и оно работает везде сразу.
Иначе будет как сейчас, 99% проектов зависят от дерева из тыщи зависмостей, в этой куче у всех есть пара десятков либ из одной строчки, прописанных как ^1.0. В ОДНУ из них пихают post-install скрипт с трояном, повышают версию до 1.0.1 - троян раскатался на всех юзеров npm.
Те кто скажет, что это все будет неудобно, запомните, вы платите за УДОБСТВО своей ЖОПОЙ.
| | |
| |
| 3.53, Аноним (53), 04:59, 03/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
В плане дизайна мне нравится подход Zig и Go - нет централизованного хранилища, все фиксируется строго и помимо скачивания исходников ничего не происходит. В первом ещё хотят вернутся к Сишной традиции вендоринга - чтобы зависимости были внутри проекта, а не где-то в кэше.
| | |
| 3.54, 2chanon (?), 08:43, 03/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> 2. Строгие версии зависимостей по дефолту. Сейчас по дефолту пакеты пихаются в зависимости с версиями типа ^4.0 и потом кто0то пихает пакет с версией 4.0.1 с вредоносом. И он автоматом скачивается у всех, кто жестко версию не зафиксировал.
А потом начинается цирк с конями, как это в pip, когда зависимости неудовлетворяются и единственный способ починить -- указать нестрогую зависимость.
> 3. Никаких вложеных зависимостей. Конечный проект может иметь зависимости, либа - нет. Хочешь пихнуть зависимость в либу, пиши в ридми и пусть юзеры руками ставят. Как например на сях, есть libzip ей нужна в зависимости libz, и ты руками кладешь в проект обе.
Вообще бред. Сборка проектов в ад превратится.
> 1. Никаких pre и post-install скриптов в пакетном менеджере, вообще.
Ну тут согласен, сборка должна быть исключительно декларативной, без баш-портянок.
| | |
| |
| 4.56, Рот postinstall ваших пакетных менеджеров (?), 13:42, 03/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Вообще бред. Сборка проектов в ад превратится.
Да, сборка проекта с тыщей вложенных зависимостей превратится в ад. Она и должна быть адом. Точнее она уже сейчас есть ад, прикрытый листочком из npm. И черти из этого ада регулярно лезут вам в виде дырявых axios, таких же дырявых как те, кому ой так удобно пакетик через npm install ставить.
Нормально когда у жирного проекта 10-20 зависимостей. А когда у приложухи с двумя кнопками несколько сотен вложенных, из которых 50% это axios и leftpad из одной строчки это уже ад.
>Или еще точнее проблема в дизайне головы любителей пакетных менеджеров.
>Вообще бред.
My sweet npm child. Вы только посмотрите, этот гений релаьно думает что бездумно ставить миллион пакетов через npm install вместо вендроринга в своей репе это нормальный подход к разработке. Ты просто не застал время, когда программерская туса состояла из специалистов, а не нормисов которые в компах шарям меньше чем офисная тетя срака из 2005ого.
| | |
|
|
|
| 1.49, Рот postinstall ваших пакетных менеджеров (?), 13:38, 02/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>активировался после завершения установки NPM-пакета через обработчик postinstall
Pre-install, post-install, автоматические и вложенные зависимости это одна сплошная дыра и одно из худших технических решений за всю историю.
А в линуксах это все говно еще и от рута запускается
| | |
|
