forum.opennet.ru

"В NPM планируют использовать Sigstore для подтверждения подлинности пакетов"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "В NPM планируют использовать Sigstore для подтверждения подл..."	+/–
Сообщение от Аноним (99), 10-Авг-22, 20:41
Напомню вопрос, на который я отвечал, раз уж чукча не читатель: > А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию? Ключевые слова: автор, решит, вредонос. Это намеренное (слово «решит» нам недвусмысленно говорит об этом) вредительство. Практически в любой стране мира, где есть IT, есть законы, явно запрещающие подобное поведение. Никакая лицензия не поможет, это преднамеренный взлом и за это сажают в тюрьму. В случае большого урона, даже необязательно тащиться к чёрту на рога, можно подать в суд в своей стране и затребовать экстрадицию. Или, как штаты, взять под белы рученьки в любой стране через которую автор будет проезжать транзитом.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В NPM планируют использовать Sigstore для подтверждения подлинности пакетов, opennews, 09-Авг-22, 15:44 [смотреть все]

Как, друзья, вы не садитесь, И А Крылов , Аноним, 09-Авг-22, 15:50 (7) //
- Не на пики приземлитесь, Аноним, 09-Авг-22, 20:10 (28)
- Правильный путь подписи OpenPGP, лучше с аппаратной защитой секретного ключа htt, Аноним, 10-Авг-22, 15:46 (91)
Npm не спасти , pashev.ru, 09-Авг-22, 15:52 (8) //
- Зато можно добавить ещё одну подпорочку , Аноним, 09-Авг-22, 16:15 (10)
- Что сделано лучше чем npm и почему Хотелось бы от вас получить технический анали, Аноним, 10-Авг-22, 05:58 (48) //
  - apt, Аноним, 10-Авг-22, 12:40 (72) //
    - Уважаемый анонимный эксперт, вы забыли добавить технический анализ почему apt лу, Аноним, 10-Авг-22, 23:44 (105)
  - Раньше CDN был популярен Там нельзя как в NPM выполнить любой скрипт при устано, Аноним, 11-Авг-22, 01:04 (111)
Хорошее предложение, было бы интересно посмотреть на реализацию, особенно если о, Аноним, 09-Авг-22, 18:41 (25) //
- Я всегда думал, что distributed - это где угодно, а не на гитпуке , Аноним, 10-Авг-22, 13:39 (75) //
  - Значит ты всегда думал неправильно Передумывай заново всё , Аноним, 10-Авг-22, 19:55 (98)
  - Let s encrypt так то тоже ни разу не децентрализованый Как может быть распредел, Аноним, 11-Авг-22, 01:02 (109)
Скоро все разработчики убегут куда-нибудь на ржавчину , Аноним, 09-Авг-22, 19:18 (27) //
- На карбонщину , Аноним, 09-Авг-22, 20:46 (31)
- Не все захотят убегать в эту эзотерику , аноним228, 09-Авг-22, 21:18 (34)
- На кристальщинуhttps opennet ru 57549 там одной командой можно сервер поднять, Аноним774, 10-Авг-22, 07:42 (56) //
  - А уронить , Аноним, 10-Авг-22, 12:39 (71)
  - На лиспе этой одной командой можно его не то, что поднять, но и залезть ему в ки, Аноним, 10-Авг-22, 13:41 (76)
  - Прикинь, на шеле тоже, истина в последней инстанции, 10-Авг-22, 15:23 (88)
  - Более того И на C можно и на C можно Одной командой , истина в последней инстанции, 10-Авг-22, 15:24 (89)
А в случае, если не злоумышленник, а автор решит добавить вредонос в новую верси, Аноним, 09-Авг-22, 20:16 (29) //
- Конечно Персональная репутация Кроме того, в случае реального урона, на такого, Аноним, 09-Авг-22, 21:26 (35) //
  - какая репутация, какой суд там при установке чего угодно через npm обычно 10050, Аноним, 09-Авг-22, 22:22 (36) //
    - Я сплю и вижу, как анонимные кодеры на js пушат на гитхаб свои нетленки через то, Аноним, 10-Авг-22, 00:52 (39)
      - Всё верно Только с точки зрения ответственности, разницы никакой нет Максимум а, Аноним, 10-Авг-22, 04:05 (44)
        
        Максимум найдут и на швабру насадят , Аноним, 10-Авг-22, 11:18 (64)
  - Репутация Вот, например, лично ты что знаешь о тех людях, чьи исходники использ, YetAnotherOnanym, 10-Авг-22, 01:58 (42) //
    - Тоже самое сделает и Microsoft А, нет, ещё 5 ущерба заплатит Пиши этот код сам, Аноним, 10-Авг-22, 04:03 (43)
    - Напомню вопрос, на который я отвечал, раз уж чукча не читатель Ключевые слова а , Аноним, 10-Авг-22, 20:41 (99)
      - Ну так тем более не будет дорожить своей репутацией тот, кто делает что-то, за ч, YetAnotherOnanym, 11-Авг-22, 09:51 (114)
        
        Вы точно уверены, что сможете установить личность любого из авторов 100500 пакет, Аноним, 11-Авг-22, 14:29 (115)
        
        Кстати, да, очень хорошее наблюдение Что там насчёт репутации этих авторов, бОл, YetAnotherOnanym, 11-Авг-22, 18:54 (121)
        Оксюморон , Аноним, 11-Авг-22, 19:04 (122)
  - есть прецеденты даже ослу же ясно, что npm создан для того, чтобы приманивать ло, darkshvein, 10-Авг-22, 14:26 (82) //
    - Есть И как арестовывают в транзитных аэропортах тоже есть Почитай хоть у того , Аноним, 10-Авг-22, 20:47 (100)
      - это называется экономика, darkshvein, 10-Авг-22, 23:46 (106)
        
        А какое отношение экономика имеет к ослиному мышлению , Аноним, 11-Авг-22, 19:05 (123)
        
        киса, ты обиделсо тебе пояснить, что проще и главное дешевле тебя по статье нат, darkshvein, 11-Авг-22, 21:23 (127)
    - Разверните подробнее вашу мысль, на каком основании вы считаете что npm для тех , Аноним, 10-Авг-22, 23:40 (104)
  - К сожалению, персональная репутация становится пустым звуком во время войны, п, Аноним, 13-Авг-22, 14:53 (131)
- Конечно есть Отслюнявливаешь баксы юридическому лицу, с регистрацией, адресом, , Аноним, 10-Авг-22, 01:32 (41)
- Никакой защиты нет Теоретически можно было бы защититься если устанавливать толь, Аноним, 10-Авг-22, 06:42 (50) //
  - это тот неадекват, что рекламу пихает на компьютеры без разрешения что ему поме, вебмакак, 10-Авг-22, 11:39 (67) //
    - Рекламу чего , Аноним, 10-Авг-22, 19:35 (96)
Круто, они придумали прибить сборочную конфигурацию на гвозди И удачи пересобра, Аноним, 10-Авг-22, 04:41 (45) //
- Опеннет экспертам незачем , Аноним, 10-Авг-22, 06:45 (51) //
  - Так я сабжем и не пользуюсь, к счастью, так что вон то будет не моими проблемами, Аноним, 10-Авг-22, 07:31 (54) //
    - Нода она до всех доберется , Аноним, 10-Авг-22, 10:23 (62)
      - Я не все, это их проблемы , Аноним, 11-Авг-22, 01:03 (110)
- Github CI должен себя окупать естественно, ради безопасности, вебмакак, 10-Авг-22, 11:41 (68)
- Ну ты попробуй пописать что-то сложнее hello world и накопленных скриптов, поймё, Аноним, 10-Авг-22, 20:54 (101) //
  - Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась , Аноним, 11-Авг-22, 01:04 (112) //
    - Если только во сне Это ужасная практика, которая приводит к несуразным тратам вр, Аноним, 11-Авг-22, 19:08 (124)
А просто запретить выполнять произвольный скрипт при установке пакета до сих пор, Аноним, 10-Авг-22, 05:36 (46)
Большинство NPM пакетов не лезут на левые сайты ajax всякий Если ввести прост, Аноним, 10-Авг-22, 05:40 (47) //
- Да ладно Или вы имели ввиду, что они таки лезут, но на совершенно не левые , yet another anonymous, 10-Авг-22, 08:09 (58)
Есть простое правило посылать нах все платформы и языки, которым из коробки нуж, Аноним, 10-Авг-22, 09:51 (59) //
- Ты только что изобрел С стандарта С99 А примеры кода вообще надо брать из книж, Аноним, 10-Авг-22, 10:21 (61)
- Чтобы чего-то откуда-то не грузить, оно уже должно быть на компукторе, что порож, Ляля, 10-Авг-22, 12:05 (70) //
  - Ты только что открыл дистрибутив линукс с пакетным менеджером , Аноним, 10-Авг-22, 13:09 (74) //
    - Это же буквально то же самое чего-то откуда-то грузить Чем репозитории дистриб, Ляля, 10-Авг-22, 14:29 (83)
      - Степенью проверенности ментейнеров пакетов Содержимое, а тем более обновления э, none7, 10-Авг-22, 17:04 (92)
        
        То есть принципиально ничем, только в деталях репозиторий дистра наполняют боле, Ляля, 11-Авг-22, 14:50 (116)
        
        Если не хочешь весь необходимый софт писать с нуля включая компиляторы, то необх, Аноним, 11-Авг-22, 15:10 (119)
        
        Спасибо, я об этом как раз и говорю Репа дистра не безопаснее NPM, но доверять , Ляля, 11-Авг-22, 15:17 (120)
        
        А можешь тезисно пояснить как ты пришёл к такому выводу Какие-то объективные кр, Аноним, 11-Авг-22, 19:11 (125)
        
        Иди в другом месте поиграй, сорванец , Ляля, 12-Авг-22, 00:05 (128)
      - Тем, что репозитории дистров ОС поддерживаются слаженной командой дистростроител, Аноним, 10-Авг-22, 17:35 (95)
        
        А я их не знаю, для меня они какие-то люди в интернете Как их знакомство друг с, Ляля, 11-Авг-22, 14:58 (118)
  - Если ничего умного не приходит, можно вспомнить про дискетки , Аноним, 10-Авг-22, 17:32 (94)
- Собственно, почему всякие удобные язычки с удобненькими пакетными менеджерами не, Аноним, 10-Авг-22, 13:43 (77) //
  - portage, Аноним, 10-Авг-22, 17:30 (93)
  - Так называемые Фронтэнд разработчики не могут в apt Все что они могут это проз, Аноним, 10-Авг-22, 23:28 (102) //
    - Это тупые обезьянки дистростроители не могут в npmи не научились собирать пакеты, Аноним, 11-Авг-22, 00:00 (107)
    - Так это не баг а фича сразу видно кто в вольере гадит , Аноним, 11-Авг-22, 01:06 (113)
В песочницу их, с запросом на доступ на каждый чих , Аноним, 10-Авг-22, 09:54 (60) //
- Ты все пропустил это называется докер и его все используют , Аноним, 10-Авг-22, 11:17 (63) //
  - Но докер - это не про песочницу Докер - это про я забыл ключи от apt-get , Аноним, 10-Авг-22, 13:45 (78) //
    - В интерактивном режиме команды набирай и будет тебе apt-get А если ты еще польз, Аноним, 10-Авг-22, 14:33 (85)
    - Вы имеете в виду что современные разработчики не могут понять apt и поэтому изоб, Аноним, 10-Авг-22, 23:35 (103)
а поясните за npm почему нельзя ставить те же rpm, deb на худой конец srcпочему, darkshvein, 10-Авг-22, 13:54 (79) //
- NPN это сплошной facepalm можно исполнить любой скрипт на стороне разработчика , Аноним, 10-Авг-22, 15:04 (86)
- Поставь react из Deb А потом из rpm, Аноним, 10-Авг-22, 19:42 (97)
- Потому, что можно без знаний и без душнилова писать от души слабо продуманный ко, A, 15-Авг-22, 10:19 (132)
эхъ, а когда-то kde собирали в freebsd из сорцов, а чтоб все собиралось и работа, Аноним, 12-Авг-22, 08:46 (129) //
- Дык до сих пор так делают, ну может в код особо не лезут, но желающие - могут , BorichL, 12-Авг-22, 14:58 (130)
Проблема мусорного бака в том что его нужно периодически вывозить Что npm, что , Аноним, 15-Авг-22, 13:53 (134) //
- И при этом когда из содержимого бака что-либо обязательно неотъемлемая часть обе, Ааантоним, 15-Авг-22, 18:25 (135)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру