Разработчики платформы Packj, анализирующей безопасность библиотек, опубликовали открытый инструментарий командной строки, позволяющий выявлять рискованные конструкции в пакетах, которые могут быть связаны с реализацией вредоносной активности или наличием уязвимостей, применяемых для совершения атак на проекты, использующие рассматриваемые пакеты ("supply chain"). Поддерживается проверка пакетов на языках Python и JavaScript, размещённых в каталогах PyPi и NPM (в этом месяце также планируют добавить поддержку Ruby и RubyGems). Код инструментария написан на языке Python и распространяется под лицензией AGPLv3...Подробнее: https://www.opennet.me/opennews/art.shtml?num=57429
Так жабаскрипт вредонос на все 100%, чего там разбираться :)
Язык, который пора бы уже реально ликвидировать..
И гадюку пусть заберут за ним в ад.
эталонная икспертиза опеннета
Захожу сюда только за этим
Холодный душ после мира розовых пони.
Сигнатуры антивир^W базу вредоносных пакетов как часто обновляют?
ДокторВеб прикручивается? Модули дли интеграции с Каспермским присутствуют?
Макак-модератор идёт в комплекте?
Эвристический анализ в комплекте?
> Эвристический анализ в комплекте?О чём, собственно, и была новость.
Кроме тех кто умеет читать между строк.
Модуль для интеграции с ИИ
Наверное чуваков мама не учила, что хранить токены доступа в открытом виде в переменных окружения - это плохая идея. Если это такая массовая проблема, то почему она до сих пор не решена кардинальными методами?
> почему она до сих пор не решена кардинальными методами?Ракеты уже почти готовы, потерпите ещё чуть чуть.
и где же их тогда хранить?
Это порождение неадекватизма смузи-докерочков. Там файлик в образ положить проблематично, он вообще может read-only быть, в итоге все параметры в это счастье косолапые васяны передают через переменные окружения.
Всё крутится по спирали. Вспомни как бились с глобальными переменными.
Могли бы просто ввести модерацию для новых пакетов в репозиториях, уже достаточно было бы так не пропускать фишинг и большую часть вредоносов. Заодно и откровенный мусор, которого полно там.
Тогда популярным стал бы какой-нибудь другой язык.
Утопично. Ибо где ты найдешь столько модераторов, способных отличить зловредный код, от не_зловредного, в миллионах строк васяно-кода.
И те же модераторы могут быть далеко не беспристрастными. Это тоже забывать не стоит.
Модерация не панацея, но помогло бы. А отличать миллионы строк не надо - там же большая часть поделок состоит из нескольких сотен строк от силы. Этого достаточно, чтобы самые наивные троянчики поймать, где удалённые ссылки открытым текстом написаны.
Ээх, углепспластик но ониж все такие
Охладите трахание, Углепластик!
Потрачено, товарищ.
А есть ли инструментарий для написания вредоносных пакетов на Python и JavaScript?
Первый это интерпретатор питона, второй это интерпретатор джаваскрипта.
Они изобрели наколенную версию антивируса? А чего было просто не добавить в clamav вон те сигнатуры?
Сделать помойку, потом делать её безопасной.Откуда там рациональные решения?
Таки смузи-way