Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"NPM-пакет Stylus был по ошибке заблокирован из-за подозрений в наличии вредоносного кода"	+/–
Сообщение от opennews (?), 27-Июл-25, 10:27
Администраторы репозитория NPM по ошибке заблокировали пакет Stylus, распознав в нём несуществующее вредоносное ПО. Через 12 часов после отправки жалобы в NPM проблема была отмечена как не соответствующая действительности, объявление о наличии вредоносного ПО было отозвано, а пакет восстановлен в репозитории... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63635
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от нейм (?), 27-Июл-25, 10:27	–10 +/–
js опять оказался дырявым атомарность пакетов решена реновейт ботами, чьи МРы вслепую аппрувятся (а может и вообще сразу в мастер едут) Более днищенской вариации среды для разработки ПО надо постараться найти
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #9, #35

2. Сообщение от Аноним (2), 27-Июл-25, 11:36	+9 +/–
Ява? Го? Раст? Питон? Оно всё одинаково днищeнcкoe, потому что вместо инженеров командуют yгaшенные индycы и coeвые кyкoлды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10, #11, #13, #18, #22, #36, #43

3. Сообщение от Аноним (3), 27-Июл-25, 11:54	+8 +/–
> Мотивы действий разработчика "panya" не ясны, предполагается, что он мог проводить исследования, связанные с безопасностью. "мотивы ограбления не ясны. предположительно, грабитель проводил исследования, связанные с деньгами."
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

4. Сообщение от 1 (??), 27-Июл-25, 12:03	–1 +/–
Товарищи аминистраторы репозитория NPM, произошла чудовищная ошибка!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

5. Сообщение от Аноним (5), 27-Июл-25, 12:17	+/–
Как от этого спасаться? package-lock.json?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #30

7. Сообщение от Аноним (7), 27-Июл-25, 12:26	+2 +/–
Удивительное королевство. Не вредоносные банить, вредоносные не банить.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от 1 (??), 27-Июл-25, 12:34	+1 +/–
Если у вас что-то важное, то поднимите свое зеркало пакетов, которые используются в вашем проекте. На зеркале включите сканеры безопасности. Создайте регламенты обновления, следите за изменениями и контролируйте каждую модификацию в package-lock.json. Это будет дорого. Поэтому если ни чего важного нет, то просто расслабьтесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Аноним324 (ok), 27-Июл-25, 12:46	+1 +/–
> Более днищенской вариации среды для разработки ПО надо постараться найти Тем времене Си со своими косяками просто существует веками, а он говорит что более днищенской среды не найти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

10. Сообщение от Аноним324 (ok), 27-Июл-25, 12:47	–1 +/–
> что вместо инженеров командуют yгaшенные индycы и coeвые кyкoлды Ты то инженер? Или кто? Кто эти воображаемые инженеры в айти? Их тут никогда не существовало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #38, #39, #48

11. Сообщение от Аноним324 (ok), 27-Июл-25, 12:47	–5 +/–
> что вместо инженеров командуют yгaшенные индycы и coeвые кyкoлды Ты то инженер? Или кто? Кто эти воображаемые инженеры в айти? Их тут никогда не существовало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

12. Сообщение от Аноним (-), 27-Июл-25, 13:20    Скрыто ботом-модератором	+1 +/–
Мы словили эту проблему через зависимости nx. Добавили оверайд в package.json на гитхаб. Держу в курсе.
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 27-Июл-25, 13:31	+/–
А на чём тогда? Если не на раст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #53

15. Сообщение от Аноним (15), 27-Июл-25, 13:56	+/–
> привело к массовыми сбоям в сборочных системах тренировка прошла успешно
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #21

16. Сообщение от Аноним (16), 27-Июл-25, 13:56	–1 +/–
Похоже надо бежать с СПО...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #54

18. Сообщение от Аноним (18), 27-Июл-25, 13:59	+1 +/–
> стыдно цитировать! Махровый шовинизм в оскорбительной форме на данном сайте! Прошу удалить!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #32

19. Сообщение от Аноним (18), 27-Июл-25, 14:05	+1 +/–
1. Об исследованиях надо предупреждать 2. Учетку могли угнать и автор её давно забросил 3. блокировать другой проект. к которому он причастен, с учётом контроля Других участников, и без аудита этого пакета, который блокируют автоматически - не логично. Или авторы систему советов и администрация не верит миллиону глаз, в любви к которым признается в каждом письме?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

20. Сообщение от Аноним (18), 27-Июл-25, 14:09	+/–
Апокалипсис продемонстрирован. ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

21. Сообщение от Аноним (18), 27-Июл-25, 14:18	+1 +/–
Может это сопровождающие солидарно демонстрируют свою власть в ответ на скрип с 10$ им за сопровождение в соответствие с инициативой Maintenance Fee? ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

22. Сообщение от Аноним (18), 27-Июл-25, 14:27	+1 +/–
Потом вЫ же распространите ссылку на это оскорбление на русскоязычном сайте? Грубо работаете, провокатор! PS: Почему то модерация оперативно отреагировала на мое предположение в другом вопросе, а здесь рискует стать пособницей провокации ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

23. Сообщение от Аноним (23), 27-Июл-25, 15:08	+1 +/–
С js'а
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

26. Сообщение от Tron is Whistling (?), 27-Июл-25, 16:09	+/–
После NPM в новости или как там его ещё этого, у питона, сразу понятно, что произошла какая-то феерическая фигня. Судьба у этих репозитариев такая.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

27. Сообщение от Аноним (28), 27-Июл-25, 16:18    Скрыто ботом-модератором	+/–
Почему я ору?
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от Аноним (28), 27-Июл-25, 16:20    Скрыто ботом-модератором	–1 +/–
Надо переходить на платные репозитории от надёжного производителя софта. Никакой частник никогда не должен вносить никакого вклада в экосистему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от morphe (?), 27-Июл-25, 17:28	+/–
Deno позволяет точечно регулировать права Разрешить дёргать лишь определённые команды/пускать только в определённые директории на диске/подключаться к заданному списку доменных имён
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #40, #41

31. Сообщение от Аноним (31), 27-Июл-25, 17:57    Скрыто ботом-модератором	+2 +/–
Durilka? Как это может быть вредоносным пакетом?
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Аноним (13), 27-Июл-25, 19:21	+3 +/–
Нет, не коем случаи! Как же свобода слова?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #37

33. Сообщение от Саркофандр (?), 27-Июл-25, 19:35	+2 +/–
Ну уж лучше так, чем если бы там на самом деле вредонос был и его бы не сразу удалили.
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (13), 27-Июл-25, 20:12    Скрыто ботом-модератором	–2 +/–
Какой-то васянство... Никто не будет качать себе с репозиториев, поэтому что там сомнительные личности выкладывает сомнительный софт. А собирать это уже красноглазие и пердолинг с консолью в обнимку с бубеном. Вот по этому и 4 процента дисктопа у Линукс.
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от ИмяХ (ok), 27-Июл-25, 21:09	+/–
Дырявое тут только законодательство, которое не запретило преступнику пользоваться компьютерами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #44

36. Сообщение от Анон1110м (?), 27-Июл-25, 21:11	–1 +/–
Программисты не инженеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

37. Сообщение от scriptkiddis (?), 27-Июл-25, 21:57	+1 +/–
Тут ее нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #42

38. Сообщение от Tron is Whistling (?), 27-Июл-25, 23:55	–2 +/–
Я не воображаемый, а вполне реальный. Сейчас очень часто вместо инженеров встречаются "архитекторы", которые в реализации ни ухом ни рылом, но в целом большинство реальных архитекторов - именно инженеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

39. Сообщение от Tron is Whistling (?), 27-Июл-25, 23:58	+/–
В чём отличие? В том, что инженер, который архитектор, может и продукт/проект нарисовать, и в одно рыло весь проект снизу доверху запилить самостоятельно - только займёт это достаточно много времени, поэтому конечно один в поле всё равно не воин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #50

40. Сообщение от Аноним (40), 28-Июл-25, 03:54	+/–
А еще что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

41. Сообщение от Аноним (41), 28-Июл-25, 07:07    Скрыто ботом-модератором	+/–
Это на уровне юзерленда ограничения, которые очень легко обойти. Настоящая изоляция -- это либо линукс-неймспейсы, либо виртуалка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #55

42. Сообщение от Аноним (13), 28-Июл-25, 07:30	+/–
Но свобода слова в Конституции РФ гарантирована статьёй 29.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #46

43. Сообщение от Аноним (43), 28-Июл-25, 08:48	+/–
Я почти согласен. Из приведенного списка только Раст выделяется, хотя эти его крейты это огромный промах и по сути вектор атаки. Почему про безопасную работу с памятью задумались, а на метод поставки библиотек вдруг забили? Просто язык проектирова инженер, а все остальное делали те самые менеджеры неопределенного пола.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #47

44. Сообщение от Аноним (43), 28-Июл-25, 08:53	+/–
Си автономен, и довольно прост, и очень многие "косяки" фиксятся, а при должном знании и вовсе могут быть избежаны. Раст же инфраструктурно завязан на онлайн, это его ахиллесова пята.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

45. Сообщение от Аноним (45), 28-Июл-25, 09:23	+/–
> Товарищи аминистраторы репозитория NPM, произошла чудовищная ошибка! Сопровождающий зарегистрировался на почтовом домене inbox.ru?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

46. Сообщение от Weders (ok), 28-Июл-25, 09:23	+2 +/–
Тут opennet, а не anekdotov.net
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #52

47. Сообщение от Аноним (47), 28-Июл-25, 10:42	–1 +/–
Программисты не инженеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

48. Сообщение от Смузихлеб забывший пароль (?), 28-Июл-25, 10:45	+/–
проггерам в ВУЗах нередко не преподают тот же сопромат ибо он им даром не нужен очень мягко говоря В свете чего, возникает вопрос, насколько корректно в принципе относить проггеров к каким-то абстрактным инженерам ? И каким образом тем же инженерам с тем же сопроматом последний поможет сделать норм приложение/сайт/серверную часть/БД ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

49. Сообщение от Аноним (49), 28-Июл-25, 10:53	+/–
Т.е. заблокировать автоматом пакет, у которого один из мантейнеров публикует вредоносные пакеты - это ошибка?
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (50), 28-Июл-25, 12:28	+/–
Какой-нибудь индус с помощью щитгпт и такой-то матери тоже может "в одно рыло весь проект снизу доверху запилить самостоятельно". Какого качества будет этот проект?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #51

51. Сообщение от Tron is Whistling (?), 28-Июл-25, 13:36	+/–
В этом и отличие, что инженеру щитгпт не нужен. Потому что инженер знает не только что делать, но и как реализовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

52. Сообщение от Аноним (53), 28-Июл-25, 14:57    Скрыто ботом-модератором	+/–
+100500
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

53. Сообщение от Аноним (53), 28-Июл-25, 15:07	+/–
Да на чём угодно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

54. Сообщение от Аноним (53), 28-Июл-25, 15:09	+/–
А что, есть что-то более открытое и свободное, чем СПО?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

55. Сообщение от morphe (?), 28-Июл-25, 15:31	+/–
> Это на уровне юзерленда ограничения, которые очень легко обойти. Настоящая изоляция -- > это либо линукс-неймспейсы, либо виртуалка. Ты их никак не обойдёшь, эти ограничения там стоят поверх всего уровня общения интерпрататора JS с системой Неймспейсы и виртуалки это хорошо, но как они защитят тебя от майнера/слива данных из той бд/фс куда процессу нужно ходить, туда куда его хождение не было предусмотрено (сервер злоумышленника)? Вот тут как раз только точечные ограничения помогут, будь то opensnitch или вот, ограничения Deno.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема