forum.opennet.ru - "В зависимостях к npm-пакету с установщиком PureScript выявле..." (53)

"В зависимостях к npm-пакету с установщиком PureScript выявле..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В зависимостях к npm-пакету с установщиком PureScript выявле..."	+/–
Сообщение от opennews (??), 15-Июл-19, 13:57
В зависимостях к npm-пакету с установщиком PureScript выявлен (https://harry.garrood.me/blog/malicious-code-in-purescript-n.../) вредоносный код, проявляющийся при попытке установки пакета purescript (https://www.npmjs.com/package/purescript). Вредоносный код встроен через зависимости load-from-cwd-or-npm (https://npmjs.com/package/load-from-cwd-or-npm) и rate-map (https://npmjs.com/package/rate-map). Примечательно, что сопровождением пакетов с данными зависимостями занимается изначальный автор npm-пакета с инсталлятором PureScript, который до недавних пор занимался сопровождением данного npm-пакета, но около месяца назад пакет перешёл к другим сопровождающим. Проблему обнаружил один из новых мэйтейнеров пакета, которому права на сопровождение были переданы после многих разногласий и неприятных обсуждений с изначальным автором npm-пакета purescript. Новые мэйнтейнеры отвечают за компилятор PureScript и настаивали, что NPM-пакет с его установщиком должен обслуживаться теми же сопровождающими, а не посторонним лицом. Автор npm-пакета с установщиком PureScript долго не соглашался, но затем уступил и передал доступ к репозиторию. При этом некоторые зависимости остались под его управлением. На прошлой неделе был выпущен релиз компилятора PureScript 0.13.2 и новыми сопровождающими было подготовлено соответствующее обновление npm-пакета с установщиком, в зависимостях к которому был выявлен вредоносный код. Смещённый с поста сопровождающего автор npm-пакета с установщиком PureScript заявил, что его учётная запись была скомпрометирована неизвестными атакующими. Тем не менее, в текущем виде действия вредоносного кода ограничивались лишь саботажем установки пакета, который стал первой версией от новых сопровождающих. Вредоносные действия сводились к зацикливанию с выводом ошибки при попытке установить пакет командой "npm i -g purescript" без выполнения явной вредоносной активности. Были выявлены две атаки. Через несколько часов после официального выхода новой версии npm-пакета purescript кем-то была сформирована новая версия зависимости load-from-cwd-or-npm 3.0.2, изменения в которой привели к тому, что вызов loadFromCwdOrNpm() вместо списка необходимых для установи бинарных файлов возвращал поток PassThrough (https://nodejs.org/api/stream.html#stream_class_stream_passt...), зеркалирующий входные запросы в качестве выходных значений. Спустя 4 дня, после того как разработчики разобрались в источнике сбоев и готовились выпустить обновление для исключения load-from-cwd-or-npm из зависимостей, злоумышленниками было выпущено ещё одно обновление load-from-cwd-or-npm 3.0.4, в котором вредоносный код был убран. Тем не менее, почти сразу было выпущено обновление другой зависимости rate-map 1.0.3, в которой было добавлено исправление, блокирующее callback-вызов для загрузки. Т.е. в обоих случаях изменения в новых версиях load-from-cwd-or-npm и rate-map носили характер явной диверсии. Разработчики решили проблему выпуском обновления, в котором проблемные зависимости были удалены. Для того чтобы исключить оседание скомпрометированного кода на системах пользователей после попытки установки проблемной версии PureScript рекомендуется удалить содержимое каталогов node_modules и файлов package-lock.json, после чего выставить в качестве нижнего лимита версию purescript 0.13.2. URL: https://www.theregister.co.uk/2019/07/15/purescripts_npm_ins.../не Новость: https://www.opennet.ru/opennews/art.shtml?num=51093
Ответить \| Правка \| Cообщить модератору

Оглавление

Ух, прямо Санта-Барбара какая-то , Аноним (2), 14:05 , 15-Июл-19, (2) +16

Вы переоцениваете драматичность происходящего бега по граблям , Andrey Mitrofanov_N0 (??), 14:28 , 15-Июл-19, (8) +4

Улыбнуло Забег по расставленным жюри граблям , Аноним (32), 20:52 , 15-Июл-19, (32)

А написано, как будто Арменфильм постарался Пакет с того берега интернета, котор, freehck (ok), 18:43 , 15-Июл-19, (30) +10

Шо, опять когда же появятся обязательные подписи в NPM , fi2fi (?), 14:09 , 15-Июл-19, (3) –3

чем тебе подписи или гитхляп помогут от ситуации разработчик зависимости стопиц, пох. (?), 14:15 , 15-Июл-19, (6) +15

Ты болен, неуважаемый , Аноним (7), 14:24 , 15-Июл-19, (7) –5

Почему Всё правильно, 171 лечится 187 без мягкого знака , Wilem (?), 15:16 , 15-Июл-19, (14) +12
Таки не лечится За всю историю человечества , Аноним (32), 20:54 , 15-Июл-19, (33)

Впрочем, как и любой другой язык с внешними пакетами , Аноним (12), 14:54 , 15-Июл-19, (12) +1

как и любой другой язык быстрого прототипирования , да фикcация версий зависимо, пох. (?), 15:33 , 15-Июл-19, (16) +1

Даже фиксация версий зависимостей не спасёт Нужно зависимости с собой бандлить , НяшМяш (ok), 16:33 , 15-Июл-19, (19) –2

Стабильный Дебиан не достаточно Прогрессивен -- говорили они вынуждены е, Andrey Mitrofanov_N0 (??), 16:42 , 15-Июл-19, (21) +3
ну вот в рамках одного хаба - остальное решается технико-административными путям, пох. (?), 18:11 , 15-Июл-19, (29) –2
Так Дмитрий-то так и спрашивает а ты зависимости сам собираешь ли Да , Аноним (32), 20:55 , 15-Июл-19, (34)

Там есть фиксация зависимостей И задействовать мелкую открывашку вместо универс, kai3341 (ok), 23:10 , 15-Июл-19, (36) –3

Или у тебя много сторонних библиотек и мало кода, или у тебя мало сторонних библ, kai3341 (ok), 14:56 , 15-Июл-19, (13) –1

Поправил , Wilem (?), 15:18 , 15-Июл-19, (15) +5

Если у тебя много сторонних библиотек - то много чужого говнокода, а если мало -, vitalif (ok), 16:17 , 15-Июл-19, (18)

Вывод заменять версии надо запретить, а новые версии билдить из исходников и то, Wilem (?), 16:54 , 15-Июл-19, (22)

Правда, тогда надо ещё придумать защиту от новых аккаунтов которые могут фейково, Wilem (?), 17:15 , 15-Июл-19, (25) –1
Нет, нужно код новой версии смерживать вручную со старой Смотреть построчно нов, Хипстер Ведерный (?), 23:02 , 15-Июл-19, (35)

Всем известно где у вэб-макаки находится этот компетентный глаз , Led (ok), 23:59 , 15-Июл-19, (37) +8

Не вижу связи между сферой человеческой деятельности и качеством его работы Люб, Хипстер Ведерный (?), 02:08 , 16-Июл-19, (39) –6

Вот же связь , Аноним (44), 06:52 , 16-Июл-19, (44)

Они как раз просто считают деньги, ничего личного Должны происходить подобные и, Хипстер Ведерный (?), 10:26 , 16-Июл-19, (48) –2

, которую можно подрихтовать до библиотеки и выложить в npm , Аноним (31), 19:14 , 15-Июл-19, (31) +1

До библиотеки Одной Не Надо кучу разложить по маленьким баночкам и коробкам , KonstantinB (ok), 03:59 , 16-Июл-19, (42) +1

И чем они помогут, когда злоумышленник - это сам мейнтенер Меньше поверят, чт, KonstantinB (ok), 03:56 , 16-Июл-19, (41) –1

когда же появятся обязательные подписи в NPM а зачем, разве кому то нужен п, Аноним (4), 14:10 , 15-Июл-19, (4) –2
Да запретить аплоадить пакеты в npm - и всё Разработчик должен сам запушить в г, Аноним (5), 14:10 , 15-Июл-19, (5) +5

Сим запрещаю тебе камментиь на опенете про пакеты и йих манагемент, и гидхаю зао, Andrey Mitrofanov_N0 (??), 14:31 , 15-Июл-19, (9) –1

TL DRУ автора пакета отжали пакет и он стал мелко пакостить , AnonPlus (?), 14:41 , 15-Июл-19, (10) +1

Или враг автора пакета вовремя воспользовался случаем Так или иначе, автор дескр, Дворник (??), 14:51 , 15-Июл-19, (11) –1

Как можно дИскредИтировать вэб-макаку , Led (ok), 00:02 , 16-Июл-19, (38) +9

А ты какая -макака будешь , CryNet (?), 09:35 , 17-Июл-19, (52) –2

Какой смысл автору заниматься подобным , Аноним (44), 15:52 , 15-Июл-19, (17) –2

Неразвитые социальные навыки и общая неадекватность , Аноним (28), 18:09 , 15-Июл-19, (28) +2

А как же веселье А как же осуществить акт дефекации на стол Я вот в больничках, , анон (?), 08:01 , 16-Июл-19, (45) +1

Это уже граничит с криминалом Веселье - это когда т н разработчики Росы сначала, Аноним (44), 09:55 , 16-Июл-19, (47) –1

Это граничит с идиотизмом, ибо нефиг выкидывать админа, если все работает , админ (?), 13:56 , 16-Июл-19, (50)

Это банальная жадность, которая мешает принимать верные решения Дайте-ка угадаю, Аноним (44), 14:51 , 16-Июл-19, (51)

А что это вообще за пюре-скрипт, зачем он , Аноним (20), 16:39 , 15-Июл-19, (20) +1

Горе-скрипт, Аноним (23), 16:55 , 15-Июл-19, (23)
Это такой язык, похожий на Haskell, но не Haskell, компилирующийся в JavaScript , KonstantinB (ok), 03:52 , 16-Июл-19, (40)

Я один из таких энтузиастов, не на жопоскрипте же в конце-концов фронтенд хаскел, антон (??), 04:05 , 02-Янв-20, (55)

Что же за неприятные обсуждения такие, с которыми передавали власть , Аноним (24), 16:55 , 15-Июл-19, (24) +2
Жил_был_пёс jpg, Ilya Indigo (ok), 17:43 , 15-Июл-19, (26)
npm - это троян, Аноним (27), 17:47 , 15-Июл-19, (27)

и броузер - троян,и интнернет - троян,и общество - троян,и его экономмодель - тр, Andrey Mitrofanov_N0 (??), 09:26 , 16-Июл-19, (46)

http techrights org wp-content uploads 2019 05 microsoft-borg jpghttp techri, Andrey Mitrofanov_N0 (??), 10:11 , 17-Июл-19, (53)

Зачем сразу обновляться до последней версии Странные проблемы у людей, только вы, Пейтонист (?), 05:47 , 16-Июл-19, (43)

с этими обновлениями у них как шило в опе мне тут давеча надо было на первую мал, Аноним (49), 12:50 , 16-Июл-19, (49)

Сообщения [Сортировка по времени | RSS]

2. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +16 +/–

Сообщение от Аноним (2), 15-Июл-19, 14:05

Ух, прямо Санта-Барбара какая-то.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +4 +/–

Сообщение от Andrey Mitrofanov_N0 (??), 15-Июл-19, 14:28

> Ух, прямо Санта-Барбара какая-то.
Вы переоцениваете драматичность происходящего.... бега по граблям.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

32. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Аноним (32), 15-Июл-19, 20:52

Улыбнуло.
Забег по расставленным жюри граблям.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

30. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +10 +/–

Сообщение от freehck (ok), 15-Июл-19, 18:43

> Ух, прямо Санта-Барбара какая-то
А написано, как будто Арменфильм постарался:
> Примечательно, что сопровождением пакетов с данными зависимостями занимается изначальный автор npm-пакета с инсталлятором PureScript, который до недавних пор занимался сопровождением данного npm-пакета, но около месяца назад пакет перешёл к другим сопровождающим.
Пакет с того берега интернета, который хакеру не перелететь, опсу не перебежать. Хоть мейнтейнер не мейнтейнер, так сеть от блекаута на город упала и насмерть убила. А из оптоволокна хороший букет вышел. Тут автор кааааак подпрыгнет!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –3 +/–

Сообщение от fi2fi (?), 15-Июл-19, 14:09

Шо, опять!!!
когда же появятся обязательные подписи в NPM ???

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +15 +/–

Сообщение от пох. (?), 15-Июл-19, 14:15

чем тебе подписи или гитхляп помогут от ситуации "разработчик зависимости стопиццотого уровня вложенности (помнити npm leftpad!) засунул в нее трояна"?
просто он будет врать не "акаунт на npm скомпроментировали враги", а "враги украли подпись, вместе с симкой, и вот, накоммитили и подписали".
это ваш жабоскриптик, с зависимостями всего от всего, он так работает, это не лечится.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –5 +/–

Сообщение от Аноним (7), 15-Июл-19, 14:24

>  это не лечится.
Ты болен, неуважаемый.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +12 +/–

Сообщение от Wilem (?), 15-Июл-19, 15:16

Почему? Всё правильно, «лечится» без мягкого знака.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

33. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Аноним (32), 15-Июл-19, 20:54

Таки не лечится. За всю историю человечества. )))

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +1 +/–

Сообщение от Аноним (12), 15-Июл-19, 14:54

> это ваш жабоскриптик, с зависимостями всего от всего, он так работает, это не лечится
Впрочем, как и любой другой язык с внешними пакетами.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +1 +/–

Сообщение от пох. (?), 15-Июл-19, 15:33

как и любой другой язык "быстрого прототипирования", да.
фикcация версий зависимостей, разумная осторожность при обновлениях, иногда и замена чужого универсального комбайна своей мелкой открывашкой - это не про них.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –2 +/–

Сообщение от НяшМяш (ok), 15-Июл-19, 16:33

Даже фиксация версий зависимостей не спасёт. Нужно зависимости с собой бандлить.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +3 +/–

Сообщение от Andrey Mitrofanov_N0 (??), 15-Июл-19, 16:42

> Даже фиксация версий зависимостей не спасёт. Нужно зависимости с собой бандлить.
"Стабильный Дебиан не достаточно Прогрессивен"--  говорили они...
"...вынуждены его, и его ошибки, повторять"-- говорили им...
, но они не слушали и не слышали.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –2 +/–

Сообщение от пох. (?), 15-Июл-19, 18:11

ну вот в рамках одного хаба - остальное решается технико-административными путями.
а так да, правильно именно бандлить, зафиксируешь версию - а leftpad выпилен разработчиком целиком и со всеми версиями сразу.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

34. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Аноним (32), 15-Июл-19, 20:55

Так Дмитрий-то так и спрашивает: а ты зависимости сам собираешь ли. Да.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –3 +/–

Сообщение от kai3341 (ok), 15-Июл-19, 23:10

>  как и любой другой язык "быстрого прототипирования", да.
> фикcация версий зависимостей, разумная осторожность при обновлениях, иногда и замена чужого универсального комбайна своей мелкой открывашкой - это не про них.
Там есть фиксация зависимостей. И задействовать мелкую открывашку вместо универсального комбайна никто не запрещает.
Что является наиболее узким местом web-приложения? Неужели код на языке "быстрого прототипирования"?
Расскажи, кем ты работаешь? Можно одной ссылкой на linkedin. Меня не перестаёт удивлять узость твоего мышления и активность комментирования

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

13. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –1 +/–

Сообщение от kai3341 (ok), 15-Июл-19, 14:56

Или у тебя много сторонних библиотек и мало кода, или у тебя мало сторонних библиотек и куча говнокода

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +5 +/–

Сообщение от Wilem (?), 15-Июл-19, 15:18

> Или у тебя много сторонних библиотек с говнокодом и мало своего говнокода, или у тебя мало сторонних библиотек с говнокодом и куча своего говнокода
Поправил.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от vitalif (ok), 15-Июл-19, 16:17

Если у тебя много сторонних библиотек - то много чужого говнокода, а если мало - то некоторое количество своего. Но по крайней мере ты точно знаешь, что вставить в него rm -rf / можешь только ты сам

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Wilem (?), 15-Июл-19, 16:54

Вывод: заменять версии надо запретить, а новые версии билдить из исходников и только после ревью несколькими независимыми разработчиками. Прям на уровне центральной свалки откуда все качают.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –1 +/–

Сообщение от Wilem (?), 15-Июл-19, 17:15

Правда, тогда надо ещё придумать защиту от новых аккаунтов которые могут фейково сделать ревью.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

35. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Хипстер Ведерный (?), 15-Июл-19, 23:02

Нет, нужно код новой версии смерживать вручную со старой. Смотреть построчно новую писанину. Очевидно, что мутный код должен быть заметен компетентному глазу.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

37. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +8 +/–

Сообщение от Led (ok), 15-Июл-19, 23:59

Всем известно где у вэб-макаки находится этот "компетентный глаз".

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

39. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –6 +/–

Сообщение от Хипстер Ведерный (?), 16-Июл-19, 02:08

Не вижу связи между сферой человеческой деятельности и качеством его работы. Любая дистрибьюция кода подвержена подобным вещам. Нужен контроль кто и что добавляет в код. Под другому никак.
Просто видать тем, у кого на сайте написано крупных шрифтом "Build amazing things" наплевать кто и что заливает им пока ты не заплатил и не получил:

Security expertise
npm is the central authority on JavaScript security. Find — and fix — JavaScript security vulnerabilities before they make it to production, with nothing to set up or install.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

44. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Аноним (44), 16-Июл-19, 06:52

> Не вижу связи между сферой человеческой деятельности и качеством его работы.
+
> Просто видать тем, у кого на сайте написано крупных шрифтом "Build amazing
> things" наплевать кто и что заливает им пока ты не заплатил
Вот же связь.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

48. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –2 +/–

Сообщение от Хипстер Ведерный (?), 16-Июл-19, 10:26

Они как раз просто считают деньги, ничего личного. Должны происходить подобные инциденты, как напоминание всем халявщикам, что они живут в непростом мирке и за спокойствие надо платить.
Не сильно удивлюсь, если они сами разыгрывают этот цирк. Мы же на знаем сколько к ним приходит платных подписчиков после подобных шоу.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

31. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +1 +/–

Сообщение от Аноним (31), 15-Июл-19, 19:14

> куча говнокода
, которую можно подрихтовать до библиотеки и выложить в npm :^)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

42. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +1 +/–

Сообщение от KonstantinB (ok), 16-Июл-19, 03:59

До библиотеки? Одной?
Не... Надо кучу разложить по маленьким баночкам и коробкам от спичек. Так, чтобы не больше лефтпада. Будет сразу пара тыщ библиотек!

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

41. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –1 +/–

Сообщение от KonstantinB (ok), 16-Июл-19, 03:56

И чем они помогут, когда "злоумышленник" - это сам мейнтенер? Меньше поверят, что "аккаунт воз хакд"? :-)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –2 +/–

Сообщение от Аноним (4), 15-Июл-19, 14:10

когда же появятся обязательные подписи в NPM ???
а зачем, разве кому то нужен порядок в этом болоте ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +5 +/–

Сообщение от Аноним (5), 15-Июл-19, 14:10

Да запретить аплоадить пакеты в npm - и всё. Разработчик должен сам запушить в гитхаб изменения, затегать релиз, а npm бы автоматом запаковал. Ну или предоставил бы кнопку "Чекнуть мой гитхаб на предмет новых релизов".
То же касается остальных пакетных репозиториев по ссылкам к новости.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –1 +/–

Сообщение от Andrey Mitrofanov_N0 (??), 15-Июл-19, 14:31

>запретить аплоадить пакеты
>должен сам
> запушить в гитхаб
>npm бы автоматом запаковал.
>гитхаб на предмет новых
> релизов".
Сим запрещаю тебе камментиь на опенете про пакеты и йих манагемент, и гидхаю заодно.
Выполняй?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +1 +/–

Сообщение от AnonPlus (?), 15-Июл-19, 14:41

TL;DR
У автора пакета отжали пакет и он стал мелко пакостить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –1 +/–

Сообщение от Дворник (??), 15-Июл-19, 14:51

> У автора пакета отжали пакет и он стал мелко пакостить.
Или враг автора пакета вовремя воспользовался случаем.
Так или иначе, автор дескредитирован донельзя.


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

38. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +9 +/–

Сообщение от Led (ok), 16-Июл-19, 00:02

> автор дескредитирован донельзя.
Как можно дИскредИтировать вэб-макаку?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

52. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –2 +/–

Сообщение от CryNet (?), 17-Июл-19, 09:35

А ты какая *-макака будешь?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

17. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –2 +/–

Сообщение от Аноним (44), 15-Июл-19, 15:52

Какой смысл автору заниматься подобным?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

28. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +2 +/–

Сообщение от Аноним (28), 15-Июл-19, 18:09

Неразвитые социальные навыки и общая неадекватность.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

45. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +1 +/–

Сообщение от анон (?), 16-Июл-19, 08:01

А как же веселье?
А как же осуществить акт дефекации на стол?
Я вот в больничках, где разгреб все говно и поднял k8s, на прощанье все положил и сломал.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

47. "В зависимостях к npm-пакету с установщиком PureScript выявле..." –1 +/–

Сообщение от Аноним (44), 16-Июл-19, 09:55

Это уже граничит с криминалом.
Веселье - это когда т.н. разработчики Росы сначала принимают мои решения их недоделок в свой т.н. продукт, а потом удаляют исходники в моих репозиториях, потому что "мы не знаем что ждать от этого неадеквата". Я вот тоже не знаю, что же я мог такое учудить в персональном git, кроме как пробить кое-кому шапочку из фольги. ;-)

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

50. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от админ (?), 16-Июл-19, 13:56

Это граничит с идиотизмом, ибо нефиг выкидывать админа, если все работает.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

51. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Аноним (44), 16-Июл-19, 14:51

> Это граничит с идиотизмом, ибо нефиг выкидывать админа, если все работает.
Это банальная жадность, которая мешает принимать верные решения. Дайте-ка угадаю. Взяли на место админа племянничка-студента, а вторую пол-ставки оприходовали. Таких великих комбинаторов достаточно лишь подтолкнуть в нужном направлении, и новоиспечённый гений сам всё испортит.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

20. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +1 +/–

Сообщение от Аноним (20), 15-Июл-19, 16:39

А что это вообще за пюре-скрипт, зачем он?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Аноним (23), 15-Июл-19, 16:55

Горе-скрипт

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

40. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от KonstantinB (ok), 16-Июл-19, 03:52

Это такой язык, похожий на Haskell, но не Haskell, компилирующийся в JavaScript. Кроме двух с половиной энтузиастов, не нужен никому.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

55. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от антон (??), 02-Янв-20, 04:05

Я один из таких энтузиастов, не на жопоскрипте же в конце-концов фронтенд хаскелисту писать! Не солидно, стыдно и унизительно.
А PureScript очень даже хорош, там и тайплевел и всякое разное есть, и кое-что даже лучше и изящнее, чем в Haskell сделано (например partial constraints для рекордов с одинаковыми именами полей и типами), впрочем не удивительно, это молодой язык, который писался на самом Haskell с оглядкой на его недостатки, который имеет на сегодняшний день почти 30-и летнюю историю развития. Правда одно из главных отличий PureScript-а, что он НЕ ленивый, и это иногда боль в жопе, когда тебе например приходится избегать "when" в монадках в пользу "if-then-else", как и думать, объявлять ли переменную через let/where лишний раз, т.к. все частичные применения функций будут вычислены, независимо от ого, использовано имя или нет. Haskell своей ленивостью делает программистов такими же ленивыми, "за меня конпелятор разберётся".
Остальные полтора энтузиаста, дайте знак, что вы живы, ну или остальные два (если меня считать за половинку).

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

24. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +2 +/–

Сообщение от Аноним (24), 15-Июл-19, 16:55

Что же за неприятные обсуждения такие, с которыми передавали власть?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Ilya Indigo (ok), 15-Июл-19, 17:43

Жил_был_пёс.jpg

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Аноним (27), 15-Июл-19, 17:47

npm - это троян

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Andrey Mitrofanov_N0 (??), 16-Июл-19, 09:26

> npm - это троян
и броузер - троян,
и интнернет - троян,
и общество - троян,
и его экономмодель - троян,
и ....
покайтеся, грешниуи, конь бледный на колёсиках -- у ворот.  <><><<>

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

53. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Andrey Mitrofanov_N0 (??), 17-Июл-19, 10:11

>> npm - это троян
> и броузер - троян,
> и интнернет - троян,
> и общество - троян,
> и его экономмодель - троян,
> и ....
http://techrights.org/wp-content/uploads/2019/05/microsoft-b...
http://techrights.org/2019/07/14/sociopathy-incompetence-and.../
“The choice for mankind lies between freedom and happiness and for the great bulk of mankind, happiness is better.”
― George Orwell, 1984

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

43. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Пейтонист (?), 16-Июл-19, 05:47

Зачем сразу обновляться до последней версии?
Странные проблемы у людей, только выложили корявый пакет, сразу напарываются, будто сидят и ждут когда выйдет обновление.
Работает на старой, и пусть работает.
Хотя конечно может так и есть

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "В зависимостях к npm-пакету с установщиком PureScript выявле..." +/–

Сообщение от Аноним (49), 16-Июл-19, 12:50

с этими обновлениями у них как шило в опе.
мне тут давеча надо было на первую малинку установить пакет. пишу апт-гет инсталл, а оно мне 404. лезу на archive.raspbian.org а там от папки wheezy и след простыл. и нафига надо было называть сайт archive ? :D   из-за хипстеров, мне теперь на эту рухлядь, которая и так по скорости как пень1 нужно что-то обновлять... железка только для spi используется, там новое ничего не нужно, вообще.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+16 +/–
Сообщение от Аноним (2), 15-Июл-19, 14:05
Ух, прямо Санта-Барбара какая-то.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+4 +/–
	Сообщение от Andrey Mitrofanov_N0 (??), 15-Июл-19, 14:28
	> Ух, прямо Санта-Барбара какая-то. Вы переоцениваете драматичность происходящего.... бега по граблям.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	32. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+/–
	Сообщение от Аноним (32), 15-Июл-19, 20:52
	Улыбнуло. Забег по расставленным жюри граблям.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	30. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+10 +/–
	Сообщение от freehck (ok), 15-Июл-19, 18:43
	> Ух, прямо Санта-Барбара какая-то А написано, как будто Арменфильм постарался: > Примечательно, что сопровождением пакетов с данными зависимостями занимается изначальный автор npm-пакета с инсталлятором PureScript, который до недавних пор занимался сопровождением данного npm-пакета, но около месяца назад пакет перешёл к другим сопровождающим. Пакет с того берега интернета, который хакеру не перелететь, опсу не перебежать. Хоть мейнтейнер не мейнтейнер, так сеть от блекаута на город упала и насмерть убила. А из оптоволокна хороший букет вышел. Тут автор кааааак подпрыгнет!
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

3. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–3 +/–
Сообщение от fi2fi (?), 15-Июл-19, 14:09
Шо, опять!!! когда же появятся обязательные подписи в NPM ???
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+15 +/–
	Сообщение от пох. (?), 15-Июл-19, 14:15
	чем тебе подписи или гитхляп помогут от ситуации "разработчик зависимости стопиццотого уровня вложенности (помнити npm leftpad!) засунул в нее трояна"? просто он будет врать не "акаунт на npm скомпроментировали враги", а "враги украли подпись, вместе с симкой, и вот, накоммитили и подписали". это ваш жабоскриптик, с зависимостями всего от всего, он так работает, это не лечится.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	7. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–5 +/–
	Сообщение от Аноним (7), 15-Июл-19, 14:24
	> это не лечится. Ты болен, неуважаемый.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	14. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+12 +/–
	Сообщение от Wilem (?), 15-Июл-19, 15:16
	Почему? Всё правильно, «лечится» без мягкого знака.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	33. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+/–
	Сообщение от Аноним (32), 15-Июл-19, 20:54
	Таки не лечится. За всю историю человечества. )))
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	12. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+1 +/–
	Сообщение от Аноним (12), 15-Июл-19, 14:54
	> это ваш жабоскриптик, с зависимостями всего от всего, он так работает, это не лечится Впрочем, как и любой другой язык с внешними пакетами.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	16. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+1 +/–
	Сообщение от пох. (?), 15-Июл-19, 15:33
	как и любой другой язык "быстрого прототипирования", да. фикcация версий зависимостей, разумная осторожность при обновлениях, иногда и замена чужого универсального комбайна своей мелкой открывашкой - это не про них.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	19. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–2 +/–
	Сообщение от НяшМяш (ok), 15-Июл-19, 16:33
	Даже фиксация версий зависимостей не спасёт. Нужно зависимости с собой бандлить.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	21. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+3 +/–
	Сообщение от Andrey Mitrofanov_N0 (??), 15-Июл-19, 16:42
	> Даже фиксация версий зависимостей не спасёт. Нужно зависимости с собой бандлить. "Стабильный Дебиан не достаточно Прогрессивен"-- говорили они... "...вынуждены его, и его ошибки, повторять"-- говорили им... , но они не слушали и не слышали.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	29. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–2 +/–
	Сообщение от пох. (?), 15-Июл-19, 18:11
	ну вот в рамках одного хаба - остальное решается технико-административными путями. а так да, правильно именно бандлить, зафиксируешь версию - а leftpad выпилен разработчиком целиком и со всеми версиями сразу.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	34. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+/–
	Сообщение от Аноним (32), 15-Июл-19, 20:55
	Так Дмитрий-то так и спрашивает: а ты зависимости сам собираешь ли. Да.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	36. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–3 +/–
	Сообщение от kai3341 (ok), 15-Июл-19, 23:10
	> как и любой другой язык "быстрого прототипирования", да. > фикcация версий зависимостей, разумная осторожность при обновлениях, иногда и замена чужого универсального комбайна своей мелкой открывашкой - это не про них. Там есть фиксация зависимостей. И задействовать мелкую открывашку вместо универсального комбайна никто не запрещает. Что является наиболее узким местом web-приложения? Неужели код на языке "быстрого прототипирования"? Расскажи, кем ты работаешь? Можно одной ссылкой на linkedin. Меня не перестаёт удивлять узость твоего мышления и активность комментирования
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	13. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–1 +/–
	Сообщение от kai3341 (ok), 15-Июл-19, 14:56
	Или у тебя много сторонних библиотек и мало кода, или у тебя мало сторонних библиотек и куча говнокода
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	15. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+5 +/–
	Сообщение от Wilem (?), 15-Июл-19, 15:18
	> Или у тебя много сторонних библиотек с говнокодом и мало своего говнокода, или у тебя мало сторонних библиотек с говнокодом и куча своего говнокода Поправил.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	18. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+/–
	Сообщение от vitalif (ok), 15-Июл-19, 16:17
	Если у тебя много сторонних библиотек - то много чужого говнокода, а если мало - то некоторое количество своего. Но по крайней мере ты точно знаешь, что вставить в него rm -rf / можешь только ты сам
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	22. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+/–
	Сообщение от Wilem (?), 15-Июл-19, 16:54
	Вывод: заменять версии надо запретить, а новые версии билдить из исходников и только после ревью несколькими независимыми разработчиками. Прям на уровне центральной свалки откуда все качают.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	25. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–1 +/–
	Сообщение от Wilem (?), 15-Июл-19, 17:15
	Правда, тогда надо ещё придумать защиту от новых аккаунтов которые могут фейково сделать ревью.
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	35. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+/–
	Сообщение от Хипстер Ведерный (?), 15-Июл-19, 23:02
	Нет, нужно код новой версии смерживать вручную со старой. Смотреть построчно новую писанину. Очевидно, что мутный код должен быть заметен компетентному глазу.
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	37. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+8 +/–
	Сообщение от Led (ok), 15-Июл-19, 23:59
	Всем известно где у вэб-макаки находится этот "компетентный глаз".
	Ответить \| Правка \| ^ к родителю #35 \| Наверх \| Cообщить модератору


	39. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–6 +/–
	Сообщение от Хипстер Ведерный (?), 16-Июл-19, 02:08
	Не вижу связи между сферой человеческой деятельности и качеством его работы. Любая дистрибьюция кода подвержена подобным вещам. Нужен контроль кто и что добавляет в код. Под другому никак. Просто видать тем, у кого на сайте написано крупных шрифтом "Build amazing things" наплевать кто и что заливает им пока ты не заплатил и не получил: Security expertise npm is the central authority on JavaScript security. Find — and fix — JavaScript security vulnerabilities before they make it to production, with nothing to set up or install.
	Ответить \| Правка \| ^ к родителю #37 \| Наверх \| Cообщить модератору


	44. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+/–
	Сообщение от Аноним (44), 16-Июл-19, 06:52
	> Не вижу связи между сферой человеческой деятельности и качеством его работы. + > Просто видать тем, у кого на сайте написано крупных шрифтом "Build amazing > things" наплевать кто и что заливает им пока ты не заплатил Вот же связь.
	Ответить \| Правка \| ^ к родителю #39 \| Наверх \| Cообщить модератору


	48. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–2 +/–
	Сообщение от Хипстер Ведерный (?), 16-Июл-19, 10:26
	Они как раз просто считают деньги, ничего личного. Должны происходить подобные инциденты, как напоминание всем халявщикам, что они живут в непростом мирке и за спокойствие надо платить. Не сильно удивлюсь, если они сами разыгрывают этот цирк. Мы же на знаем сколько к ним приходит платных подписчиков после подобных шоу.
	Ответить \| Правка \| ^ к родителю #44 \| Наверх \| Cообщить модератору


	31. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+1 +/–
	Сообщение от Аноним (31), 15-Июл-19, 19:14
	> куча говнокода , которую можно подрихтовать до библиотеки и выложить в npm :^)
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	42. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	+1 +/–
	Сообщение от KonstantinB (ok), 16-Июл-19, 03:59
	До библиотеки? Одной? Не... Надо кучу разложить по маленьким баночкам и коробкам от спичек. Так, чтобы не больше лефтпада. Будет сразу пара тыщ библиотек!
	Ответить \| Правка \| ^ к родителю #31 \| Наверх \| Cообщить модератору


	41. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–1 +/–
	Сообщение от KonstantinB (ok), 16-Июл-19, 03:56
	И чем они помогут, когда "злоумышленник" - это сам мейнтенер? Меньше поверят, что "аккаунт воз хакд"? :-)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

4. "В зависимостях к npm-пакету с установщиком PureScript выявле..."	–2 +/–
Сообщение от Аноним (4), 15-Июл-19, 14:10
когда же появятся обязательные подписи в NPM ??? а зачем, разве кому то нужен порядок в этом болоте ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору