forum.opennet.ru - "В NPM планируют использовать Sigstore для подтверждения подлинности пакетов" (90)

"В NPM планируют использовать Sigstore для подтверждения подлинности пакетов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В NPM планируют использовать Sigstore для подтверждения подлинности пакетов"	+/–
Сообщение от opennews (??), 09-Авг-22, 15:44
GitHub выставил на обсуждение предложение по внедрению сервиса Sigstore для верификации пакетов по цифровым подписям и ведения публичного лога для подтверждения подлинности при распространении релизов. Применение Sigstore позволит реализовать дополнительный уровень защиты от атак, нацеленных на подмену программных компонентов и зависимостей (supply chain). Например, внедряемое изменение защитит исходные тексты проектов в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом... Подробнее: https://www.opennet.me/opennews/art.shtml?num=57614
Ответить \| Правка \| Cообщить модератору

Оглавление

Как, друзья, вы не садитесь, И А Крылов , Аноним (7), 15:50 , 09-Авг-22, (7) +13

Не на пики приземлитесь, Аноним (28), 20:10 , 09-Авг-22, (28) +4
Правильный путь подписи OpenPGP, лучше с аппаратной защитой секретного ключа htt, Аноним (91), 15:46 , 10-Авг-22, (91) +1

Npm не спасти , pashev.ru (?), 15:52 , 09-Авг-22, (8) +11

Зато можно добавить ещё одну подпорочку , Аноним (10), 16:15 , 09-Авг-22, (10) +8
Что сделано лучше чем npm и почему Хотелось бы от вас получить технический анали, Аноним (48), 05:58 , 10-Авг-22, (48) –2

apt, Аноним (72), 12:40 , 10-Авг-22, (72) +6

Уважаемый анонимный эксперт, вы забыли добавить технический анализ почему apt лу, Аноним (105), 23:44 , 10-Авг-22, (105) –3

Раньше CDN был популярен Там нельзя как в NPM выполнить любой скрипт при устано, Аноним (111), 01:04 , 11-Авг-22, (111)

Хорошее предложение, было бы интересно посмотреть на реализацию, особенно если о, Аноним (25), 18:41 , 09-Авг-22, (25)

Я всегда думал, что distributed - это где угодно, а не на гитпуке , Аноним (75), 13:39 , 10-Авг-22, (75)

Значит ты всегда думал неправильно Передумывай заново всё , Аноним (25), 19:55 , 10-Авг-22, (98)
Let s encrypt так то тоже ни разу не децентрализованый Как может быть распредел, Аноним (-), 01:02 , 11-Авг-22, (109) –1

Скоро все разработчики убегут куда-нибудь на ржавчину , Аноним (27), 19:18 , 09-Авг-22, (27) +3

На карбонщину , Аноним (31), 20:46 , 09-Авг-22, (31) +1
Не все захотят убегать в эту эзотерику , аноним228 (?), 21:18 , 09-Авг-22, (34) +1
На кристальщинуhttps opennet ru 57549 там одной командой можно сервер поднять, Аноним774 (?), 07:42 , 10-Авг-22, (56)

А уронить , Аноним (71), 12:39 , 10-Авг-22, (71) +1
На лиспе этой одной командой можно его не то, что поднять, но и залезть ему в ки, Аноним (75), 13:41 , 10-Авг-22, (76)
Прикинь, на шеле тоже, истина в последней инстанции (?), 15:23 , 10-Авг-22, (88) –1
Более того И на C можно и на C можно Одной командой , истина в последней инстанции (?), 15:24 , 10-Авг-22, (89) +1

А в случае, если не злоумышленник, а автор решит добавить вредонос в новую верси, Аноним (29), 20:16 , 09-Авг-22, (29)

Конечно Персональная репутация Кроме того, в случае реального урона, на такого, Аноним (25), 21:26 , 09-Авг-22, (35) –1

какая репутация, какой суд там при установке чего угодно через npm обычно 10050, Аноним (29), 22:22 , 09-Авг-22, (36) +1

Я сплю и вижу, как анонимные кодеры на js пушат на гитхаб свои нетленки через то, Аноним (25), 00:52 , 10-Авг-22, (39)

Всё верно Только с точки зрения ответственности, разницы никакой нет Максимум а, Аноним (48), 04:05 , 10-Авг-22, (44) +2

Максимум найдут и на швабру насадят , Аноним (64), 11:18 , 10-Авг-22, (64) +2

Репутация Вот, например, лично ты что знаешь о тех людях, чьи исходники использ, YetAnotherOnanym (ok), 01:58 , 10-Авг-22, (42) +1

Тоже самое сделает и Microsoft А, нет, ещё 5 ущерба заплатит Пиши этот код сам, Аноним (48), 04:03 , 10-Авг-22, (43) +1
Напомню вопрос, на который я отвечал, раз уж чукча не читатель Ключевые слова а, Аноним (25), 20:41 , 10-Авг-22, (99)

Ну так тем более не будет дорожить своей репутацией тот, кто делает что-то, за ч, YetAnotherOnanym (ok), 09:51 , 11-Авг-22, (114)

Вы точно уверены, что сможете установить личность любого из авторов 100500 пакет, Аноним (29), 14:29 , 11-Авг-22, (115)

Кстати, да, очень хорошее наблюдение Что там насчёт репутации этих авторов, бОл, YetAnotherOnanym (ok), 18:54 , 11-Авг-22, (121)
Оксюморон , Аноним (122), 19:04 , 11-Авг-22, (122)

есть прецеденты даже ослу же ясно, что npm создан для того, чтобы приманивать ло, darkshvein (ok), 14:26 , 10-Авг-22, (82)

Есть И как арестовывают в транзитных аэропортах тоже есть Почитай хоть у того , Аноним (25), 20:47 , 10-Авг-22, (100)

это называется экономика, darkshvein (ok), 23:46 , 10-Авг-22, (106)

А какое отношение экономика имеет к ослиному мышлению , Аноним (122), 19:05 , 11-Авг-22, (123)

киса, ты обиделсо тебе пояснить, что проще и главное дешевле тебя по статье нат, darkshvein (ok), 21:23 , 11-Авг-22, (127)

Разверните подробнее вашу мысль, на каком основании вы считаете что npm для тех , Аноним (105), 23:40 , 10-Авг-22, (104)

К сожалению, персональная репутация становится пустым звуком во время войны, п, Аноним (131), 14:53 , 13-Авг-22, (131) +1

Конечно есть Отслюнявливаешь баксы юридическому лицу, с регистрацией, адресом, , Аноним (48), 01:32 , 10-Авг-22, (41) +2
Никакой защиты нет Теоретически можно было бы защититься если устанавливать толь, Аноним (105), 06:42 , 10-Авг-22, (50) +2

это тот неадекват, что рекламу пихает на компьютеры без разрешения что ему поме, вебмакак (?), 11:39 , 10-Авг-22, (67) +1

Рекламу чего , Аноним (105), 19:35 , 10-Авг-22, (96)

Круто, они придумали прибить сборочную конфигурацию на гвозди И удачи пересобра, Аноним (-), 04:41 , 10-Авг-22, (45)

Опеннет экспертам незачем , Аноним (105), 06:45 , 10-Авг-22, (51)

Так я сабжем и не пользуюсь, к счастью, так что вон то будет не моими проблемами, Аноним (-), 07:31 , 10-Авг-22, (54)

Нода она до всех доберется , Аноним (62), 10:23 , 10-Авг-22, (62)

Я не все, это их проблемы , Аноним (-), 01:03 , 11-Авг-22, (110)

Github CI должен себя окупать естественно, ради безопасности, вебмакак (?), 11:41 , 10-Авг-22, (68)
Ну ты попробуй пописать что-то сложнее hello world и накопленных скриптов, поймё, Аноним (25), 20:54 , 10-Авг-22, (101)

Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась , Аноним (-), 01:04 , 11-Авг-22, (112)

Если только во сне Это ужасная практика, которая приводит к несуразным тратам вр, Аноним (122), 19:08 , 11-Авг-22, (124)

А просто запретить выполнять произвольный скрипт при установке пакета до сих пор, Аноним (111), 05:36 , 10-Авг-22, (46) +1
Большинство NPM пакетов не лезут на левые сайты ajax всякий Если ввести прост, Аноним (111), 05:40 , 10-Авг-22, (47) +1

Да ладно Или вы имели ввиду, что они таки лезут, но на совершенно не левые , yet another anonymous (?), 08:09 , 10-Авг-22, (58) –3

Есть простое правило посылать нах все платформы и языки, которым из коробки нуж, Аноним (-), 09:51 , 10-Авг-22, (59) +1

Ты только что изобрел С стандарта С99 А примеры кода вообще надо брать из книж, Аноним (62), 10:21 , 10-Авг-22, (61) +1
Чтобы чего-то откуда-то не грузить, оно уже должно быть на компукторе, что порож, Ляля (??), 12:05 , 10-Авг-22, (70)

Ты только что открыл дистрибутив линукс с пакетным менеджером , Аноним (74), 13:09 , 10-Авг-22, (74) +2

Это же буквально то же самое чего-то откуда-то грузить Чем репозитории дистриб, Ляля (??), 14:29 , 10-Авг-22, (83) +1

Степенью проверенности ментейнеров пакетов Содержимое, а тем более обновления э, none7 (ok), 17:04 , 10-Авг-22, (92) +1

То есть принципиально ничем, только в деталях репозиторий дистра наполняют боле, Ляля (??), 14:50 , 11-Авг-22, (116)

Если не хочешь весь необходимый софт писать с нуля включая компиляторы, то необх, Аноним (119), 15:10 , 11-Авг-22, (119)

Спасибо, я об этом как раз и говорю Репа дистра не безопаснее NPM, но доверять , Ляля (??), 15:17 , 11-Авг-22, (120)

А можешь тезисно пояснить как ты пришёл к такому выводу Какие-то объективные кр, Аноним (122), 19:11 , 11-Авг-22, (125)

Иди в другом месте поиграй, сорванец , Ляля (??), 00:05 , 12-Авг-22, (128)

Тем, что репозитории дистров ОС поддерживаются слаженной командой дистростроител, Аноним (95), 17:35 , 10-Авг-22, (95)

А я их не знаю, для меня они какие-то люди в интернете Как их знакомство друг с, Ляля (??), 14:58 , 11-Авг-22, (118)

Если ничего умного не приходит, можно вспомнить про дискетки , Аноним (95), 17:32 , 10-Авг-22, (94)

Собственно, почему всякие удобные язычки с удобненькими пакетными менеджерами не, Аноним (75), 13:43 , 10-Авг-22, (77) +1

portage, Аноним (95), 17:30 , 10-Авг-22, (93)
Так называемые Фронтэнд разработчики не могут в apt Все что они могут это проз, Аноним (105), 23:28 , 10-Авг-22, (102)

Это тупые обезьянки дистростроители не могут в npmи не научились собирать пакеты, Аноним (48), 00:00 , 11-Авг-22, (107)
Так это не баг а фича сразу видно кто в вольере гадит , Аноним (-), 01:06 , 11-Авг-22, (113) +1

В песочницу их, с запросом на доступ на каждый чих , Аноним (-), 09:54 , 10-Авг-22, (60) +2

Ты все пропустил это называется докер и его все используют , Аноним (64), 11:17 , 10-Авг-22, (63) +1

Либо ты используешь докер или он начнет использовать тебя , Аноним (84), 14:32 , 10-Авг-22, (84)

Но докер - это не про песочницу Докер - это про я забыл ключи от apt-get , Аноним (75), 13:45 , 10-Авг-22, (78) +2

В интерактивном режиме команды набирай и будет тебе apt-get А если ты еще польз, Аноним (84), 14:33 , 10-Авг-22, (85)
Вы имеете в виду что современные разработчики не могут понять apt и поэтому изоб, Аноним (105), 23:35 , 10-Авг-22, (103)

а поясните за npm почему нельзя ставить те же rpm, deb на худой конец srcпочему, darkshvein (ok), 13:54 , 10-Авг-22, (79) +3

NPN это сплошной facepalm можно исполнить любой скрипт на стороне разработчика , Аноним (111), 15:04 , 10-Авг-22, (86) +3
Поставь react из Deb А потом из rpm, Аноним (105), 19:42 , 10-Авг-22, (97)
Потому, что можно без знаний и без душнилова писать от души слабо продуманный ко, A (?), 10:19 , 15-Авг-22, (132)

эхъ, а когда-то kde собирали в freebsd из сорцов, а чтоб все собиралось и работа, Аноним (129), 08:46 , 12-Авг-22, (129)

Дык до сих пор так делают, ну может в код особо не лезут, но желающие - могут , BorichL (ok), 14:58 , 12-Авг-22, (130)

Проблема мусорного бака в том что его нужно периодически вывозить Что npm, что , Аноним (134), 13:53 , 15-Авг-22, (134)

И при этом когда из содержимого бака что-либо обязательно неотъемлемая часть обе, Ааантоним (?), 18:25 , 15-Авг-22, (135)

Сообщения [Сортировка по времени | RSS]

7. "В NPM планируют использовать Sigstore для подтверждения подл..." +13 +/–

Сообщение от Аноним (7), 09-Авг-22, 15:50

Как, друзья, вы не садитесь, ... (И.А. Крылов)

Ответить | Правка | Наверх | Cообщить модератору

28. "В NPM планируют использовать Sigstore для подтверждения подл..." +4 +/–

Сообщение от Аноним (28), 09-Авг-22, 20:10

Не на пики приземлитесь

Ответить | Правка | Наверх | Cообщить модератору

91. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (91), 10-Авг-22, 15:46

Правильный путь подписи OpenPGP, лучше с аппаратной защитой секретного ключа:
https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f...
https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-...
https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu...

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "В NPM планируют использовать Sigstore для подтверждения подл..." +11 +/–

Сообщение от pashev.ru (?), 09-Авг-22, 15:52

Npm не спасти.

Ответить | Правка | Наверх | Cообщить модератору

10. "В NPM планируют использовать Sigstore для подтверждения подл..." +8 +/–

Сообщение от Аноним (10), 09-Авг-22, 16:15

Зато можно добавить ещё одну подпорочку.

Ответить | Правка | Наверх | Cообщить модератору

48. "В NPM планируют использовать Sigstore для подтверждения подл..." –2 +/–

Сообщение от Аноним (48), 10-Авг-22, 05:58

Что сделано лучше чем npm и почему?
Хотелось бы от вас получить технический анализ как от эксперта.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

72. "В NPM планируют использовать Sigstore для подтверждения подл..." +6 +/–

Сообщение от Аноним (72), 10-Авг-22, 12:40

apt

Ответить | Правка | Наверх | Cообщить модератору

105. "В NPM планируют использовать Sigstore для подтверждения подл..." –3 +/–

Сообщение от Аноним (105), 10-Авг-22, 23:44

Уважаемый анонимный эксперт, вы забыли добавить технический анализ почему apt лучше

Ответить | Правка | Наверх | Cообщить модератору

111. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (111), 11-Авг-22, 01:04

Раньше CDN был популярен. Там нельзя как в NPM выполнить любой скрипт при установке пакета (а без этого про безопасность вообще бессмысленно говорить - пакет может быть супер, а всё вредоносное можно добавить тихо при установке).

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

25. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (25), 09-Авг-22, 18:41

Хорошее предложение, было бы интересно посмотреть на реализацию, особенно если она позволит пользоваться любой DVCS-платформой, а не только гитхабом. Атаки на supply chain актуальная угроза.

Ответить | Правка | Наверх | Cообщить модератору

75. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (75), 10-Авг-22, 13:39

>DVCS-платформой, а не только гитхабом
Я всегда думал, что distributed - это где угодно, а не на гитпуке.

Ответить | Правка | Наверх | Cообщить модератору

98. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (25), 10-Авг-22, 19:55

Значит ты всегда думал неправильно. Передумывай заново всё.

Ответить | Правка | Наверх | Cообщить модератору

109. "В NPM планируют использовать Sigstore для подтверждения подл..." –1 +/–

Сообщение от Аноним (-), 11-Авг-22, 01:02

Let's encrypt так то тоже ни разу не децентрализованый. Как может быть распределенным его аналог?

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

27. "В NPM планируют использовать Sigstore для подтверждения подл..." +3 +/–

Сообщение от Аноним (27), 09-Авг-22, 19:18

Скоро все разработчики убегут куда-нибудь (на ржавчину)

Ответить | Правка | Наверх | Cообщить модератору

31. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (31), 09-Авг-22, 20:46

На карбонщину.

Ответить | Правка | Наверх | Cообщить модератору

34. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от аноним228 (?), 09-Авг-22, 21:18

Не все захотят убегать в эту эзотерику.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

56. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним774 (?), 10-Авг-22, 07:42

На кристальщину
https://opennet.ru/57549/
там одной командой можно сервер поднять

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

71. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (71), 10-Авг-22, 12:39

А уронить?

Ответить | Правка | Наверх | Cообщить модератору

76. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (75), 10-Авг-22, 13:41

На лиспе этой одной командой можно его не то, что поднять, но и залезть ему в кишки и так далее. И эту одну команду с собой на флешке таскать.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

88. "В NPM планируют использовать Sigstore для подтверждения подл..." –1 +/–

Сообщение от истина в последней инстанции (?), 10-Авг-22, 15:23

Прикинь, на шеле тоже

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

89. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от истина в последней инстанции (?), 10-Авг-22, 15:24

Более того. И на C можно и на C++ можно. Одной командой.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

29. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (29), 09-Авг-22, 20:16

> в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом
А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию?
От этого есть защита?

Ответить | Правка | Наверх | Cообщить модератору

35. "В NPM планируют использовать Sigstore для подтверждения подл..." –1 +/–

Сообщение от Аноним (25), 09-Авг-22, 21:26

Конечно. Персональная репутация. Кроме того, в случае реального урона, на такого разработчика можно подать в суд. Вполне возможно, что иск будет коллективный, а это неиллюзорная возможность сесть лет на десять.

Ответить | Правка | Наверх | Cообщить модератору

36. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (29), 09-Авг-22, 22:22

какая репутация, какой суд? там при установке чего угодно через npm обычно 100500 пакетов тянется в зависимостях и зависимостях зависимостей. бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале.

Ответить | Правка | Наверх | Cообщить модератору

39. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (25), 10-Авг-22, 00:52

> бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале.
Я сплю и вижу, как анонимные кодеры на js пушат на гитхаб свои нетленки через тор. Это именно тот опенсорс, о котором я так мечтал. Но в реальности большая часть авторов подписывается своим именем и делает это с домашнего компьютера, регистрируя гитхаб на свой ящик на gmail, который, в свою очередь, привязан к телефонному номеру. Ну и на всякий случай авторам популярных пакетов пришлют хардварный токен на домашний адрес.

Ответить | Правка | Наверх | Cообщить модератору

44. "В NPM планируют использовать Sigstore для подтверждения подл..." +2 +/–

Сообщение от Аноним (48), 10-Авг-22, 04:05

Всё верно. Только с точки зрения ответственности, разницы никакой нет.
Максимум авторам аккаунт заблокируют.

Ответить | Правка | Наверх | Cообщить модератору

64. "В NPM планируют использовать Sigstore для подтверждения подл..." +2 +/–

Сообщение от Аноним (64), 10-Авг-22, 11:18

Максимум найдут и на швабру насадят.

Ответить | Правка | Наверх | Cообщить модератору

42. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от YetAnotherOnanym (ok), 10-Авг-22, 01:58

Репутация? Вот, например, лично ты что знаешь о тех людях, чьи исходники используешь? А в суде, даже если ты сможешь его туда притащить, он ткнёт тебя носом в лицензию, где прописан отказ от ответственности.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

43. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (48), 10-Авг-22, 04:03

Тоже самое сделает и Microsoft. А, нет, ещё 5$ ущерба заплатит.
Пиши этот код сам, кто мешает? Или заказывай разработку.

Ответить | Правка | Наверх | Cообщить модератору

99. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (25), 10-Авг-22, 20:41

Напомню вопрос, на который я отвечал, раз уж чукча не читатель:
> А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию?
Ключевые слова: автор, решит, вредонос. Это намеренное (слово «решит» нам недвусмысленно говорит об этом) вредительство. Практически в любой стране мира, где есть IT, есть законы, явно запрещающие подобное поведение. Никакая лицензия не поможет, это преднамеренный взлом и за это сажают в тюрьму. В случае большого урона, даже необязательно тащиться к чёрту на рога, можно подать в суд в своей стране и затребовать экстрадицию. Или, как штаты, взять под белы рученьки в любой стране через которую автор будет проезжать транзитом.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

114. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от YetAnotherOnanym (ok), 11-Авг-22, 09:51

Ну так тем более не будет дорожить своей репутацией тот, кто делает что-то, за что можно сесть.
Кроме того, никто не застрахован от булочки с крысиным ядом, если какой-нибудь Аксель Джордах решит сделать прощальный сюрприз.

Ответить | Правка | Наверх | Cообщить модератору

115. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (29), 11-Авг-22, 14:29

Вы точно уверены, что сможете установить личность любого из авторов 100500 пакетов npm (бОльшая часть из которых - анонимы на github)?

Ответить | Правка | Наверх | Cообщить модератору

121. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от YetAnotherOnanym (ok), 11-Авг-22, 18:54

Кстати, да, очень хорошее наблюдение. Что там насчёт репутации этих авторов, бОльшпая часть из которых анонимы? У всех проверили? Удостоверились, что они ею дорожат?

Ответить | Правка | Наверх | Cообщить модератору

122. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (122), 11-Авг-22, 19:04

> анонимы на github
Оксюморон.

Ответить | Правка | К родителю #115 | Наверх | Cообщить модератору

82. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от darkshvein (ok), 10-Авг-22, 14:26

>Кроме того, в случае реального урона, на такого разработчика можно подать в суд.
есть прецеденты?
даже ослу же ясно, что npm создан для того, чтобы приманивать лохов, которые не осилят написать даже убогий скрипт для сайта.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

100. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (25), 10-Авг-22, 20:47

> есть прецеденты?
Есть. И как арестовывают в транзитных аэропортах тоже есть. Почитай хоть у того же Кребса на сайте.
> даже ослу же ясно, что npm создан для того, чтобы приманивать лохов, которые не осилят написать даже убогий скрипт для сайта.
Ослу может и понятно, но я не осёл. Можешь объяснить, раз уж ты такой специалист по ослиному мышлению, как же так вышло, что практически весь веб так или иначе оказался завязан на npm, включая огромные корпорации, которые уж точно могут себе позволить нанять хотя бы средненьких девелоперов?

Ответить | Правка | Наверх | Cообщить модератору

106. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от darkshvein (ok), 10-Авг-22, 23:46

>практически весь веб так или иначе оказался завязан на npm
это называется экономика

Ответить | Правка | Наверх | Cообщить модератору

123. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (122), 11-Авг-22, 19:05

А какое отношение экономика имеет к ослиному мышлению?

Ответить | Правка | Наверх | Cообщить модератору

127. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от darkshvein (ok), 11-Авг-22, 21:23

> А какое отношение экономика имеет к ослиному мышлению?
киса, ты обиделсо?
тебе пояснить, что проще и главное  дешевле тебя по статье натянуть, нежели доплачивать тебе за написание кода, который ты толком и не умеешь писать?
что ты потом блеять будет про какие то модули от врагов россии уже заказчика и суд волновать будет мало, ибо ответственным зицпредседателем будешь ты.

Ответить | Правка | Наверх | Cообщить модератору

104. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (105), 10-Авг-22, 23:40

Разверните подробнее вашу мысль, на каком основании вы считаете что npm для тех кто не осилит написать скрипт на сайт

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

131. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (131), 13-Авг-22, 14:53

К сожалению, "персональная репутация" становится пустым звуком во время войны, поскольку любой из цепочки доверия может оказаться отмороженным русофобом, мечтающим нагадить русским любой ценой, и в честь этого помещающим "приветик" в свой же собственный код. А самое печальное, что стоит ему слегка не рассчитать, и этот "приветик" пойдет вместо русских, всем подряд без особых различий в нации, расе или гражданстве. Классика терроризма, епта.
Кстати, если кому-то важно, то можете, в честь толерантности, заменить "русофоба" на "исламского террориста" или типа того... вот только что это меняет? Все фанатики, по определению, слегка неадекватны (некоторые даже и не слегка!), а спусковым крючком для такого урода может стать любая мелочь... не говоря уж о серьезных поворотных событиях.
Лично я думаю, что скоро появятся этакие гейты безопасности, которые будут анализировать исходный код и предоставлять его конечному потребителю только если он пройдет все проверки. Собственно у банков и крупных компаний давным-давно подобный механизм имеется. Ну, а для персональных потребителей появятся коммерческие аналоги, которые за платную подписку будут делать тоже самое. Печально звучит конечно же... ну, а что поделаешь? Такова реальность, - шкатулка Пандоры открыта.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

41. "В NPM планируют использовать Sigstore для подтверждения подл..." +2 +/–

Сообщение от Аноним (48), 10-Авг-22, 01:32

Конечно есть. Отслюнявливаешь баксы юридическому лицу, с регистрацией, адресом, фамилиями, ответственностью.
Подписываешь контракт на разработку с гарантиями и ответственностью. Наслаждаешься результатом.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

50. "В NPM планируют использовать Sigstore для подтверждения подл..." +2 +/–

Сообщение от Аноним (105), 10-Авг-22, 06:42

Никакой защиты нет.
Теоретически можно было бы защититься если устанавливать только пакеты программы, от Фейсбук, Гугл, мс, ещё babel и core-js.
А практически react-script от лицо книги это несколько тысяч пакетов. Storybook ещё столько же. В webpack добавить несколько плагинов, ещё тысяча однострочников вида isArray

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

67. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от вебмакак (?), 10-Авг-22, 11:39

> core-js
это тот неадекват, что рекламу пихает на компьютеры без разрешения? что ему помешает в целях рекламной акции зловред запихать?

Ответить | Правка | Наверх | Cообщить модератору

96. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (105), 10-Авг-22, 19:35

Рекламу чего?

Ответить | Правка | Наверх | Cообщить модератору

45. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (-), 10-Авг-22, 04:41

> разработчики смогут привязать сформированный пакет к
> использованному исходному коду и сборочному окружению,
Круто, они придумали прибить сборочную конфигурацию на гвозди. И удачи пересобрать как-то иначе, да... они там еще не забыли что это как минимум формально опенсорс? Зачем он ТАКОЙ нужен? :)

Ответить | Правка | Наверх | Cообщить модератору

51. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (105), 10-Авг-22, 06:45

Опеннет экспертам незачем.

Ответить | Правка | Наверх | Cообщить модератору

54. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (-), 10-Авг-22, 07:31

Так я сабжем и не пользуюсь, к счастью, так что вон то будет не моими проблемами.

Ответить | Правка | Наверх | Cообщить модератору

62. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (62), 10-Авг-22, 10:23

Нода она до всех доберется.

Ответить | Правка | Наверх | Cообщить модератору

110. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (-), 11-Авг-22, 01:03

Я не все, это их проблемы.

Ответить | Правка | Наверх | Cообщить модератору

68. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от вебмакак (?), 10-Авг-22, 11:41

Github CI должен себя окупать.. естественно, ради безопасности

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

101. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (25), 10-Авг-22, 20:54

> они придумали прибить сборочную конфигурацию на гвозди
Ну ты попробуй пописать что-то сложнее hello world и накопленных скриптов, поймёшь зачем это и почему так делают дольше, чем ты на свете живёшь

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

112. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (-), 11-Авг-22, 01:04

Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась. Более того при разработке хорошая практика это девелопать под самые новые версии компонентов, чтобы быть готовым к будущему сразу а не когда уже поздняк метаться.

Ответить | Правка | Наверх | Cообщить модератору

124. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (122), 11-Авг-22, 19:08

> Я уже попробовал, но такая фееричная вебмакакятина мне к счастью не требовалась.
Если только во сне.
> Более того при разработке хорошая практика это девелопать под самые новые версии компонентов, чтобы быть готовым к будущему сразу а не когда уже поздняк метаться.
Это ужасная практика, которая приводит к несуразным тратам времени на ремонт того, что не сломано. Погоня за циферками — удел админов локалхостов.

Ответить | Правка | Наверх | Cообщить модератору

46. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (111), 10-Авг-22, 05:36

А просто запретить выполнять произвольный скрипт при установке пакета до сих пор не могут.

Ответить | Правка | Наверх | Cообщить модератору

47. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (111), 10-Авг-22, 05:40

Большинство NPM пакетов не лезут на левые сайты (ajax всякий). Если ввести просто правило: всё новое не должно лезть или проходить отдельную верификацию (аккаунты фирм или ещё как - свод правил)? Это же на порядок быстрее и сильнее поднимет безопасность пакетов.

Ответить | Правка | Наверх | Cообщить модератору

58. "В NPM планируют использовать Sigstore для подтверждения подл..." –3 +/–

Сообщение от yet another anonymous (?), 10-Авг-22, 08:09

> Большинство NPM пакетов не лезут на левые сайты
Да ладно! Или вы имели ввиду, что они таки лезут, но на "совершенно не левые"?

Ответить | Правка | Наверх | Cообщить модератору

59. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (-), 10-Авг-22, 09:51

Есть простое правило: посылать нах все платформы и языки, которым из коробки нужно чего-то откуда-то грузить, и требуются особые усилия заставить это работать строго оффлайн.

Ответить | Правка | Наверх | Cообщить модератору

61. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (62), 10-Авг-22, 10:21

Ты только что изобрел С стандарта С99. А примеры кода вообще надо брать  из книжек и лучше из умных.

Ответить | Правка | Наверх | Cообщить модератору

70. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Ляля (??), 10-Авг-22, 12:05

Чтобы чего-то откуда-то не грузить, оно уже должно быть на компукторе, что порождает следующий вопрос: как помещать это чего-то на компуктор?

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

74. "В NPM планируют использовать Sigstore для подтверждения подл..." +2 +/–

Сообщение от Аноним (74), 10-Авг-22, 13:09

Ты только что открыл дистрибутив линукс с пакетным менеджером.

Ответить | Правка | Наверх | Cообщить модератору

83. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Ляля (??), 10-Авг-22, 14:29

Это же буквально то же самое: чего-то откуда-то грузить. Чем репозитории дистрибутива в этом смысле принципиально отличаются от NPM? Ничем, особенно если это AUR или «добавьте наш ppa».

Ответить | Правка | Наверх | Cообщить модератору

92. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от none7 (ok), 10-Авг-22, 17:04

Степенью проверенности ментейнеров пакетов. Содержимое, а тем более обновления этого содержимого в NPN НИКТО не проверяет. Это помойка. Вы если виндой пользуетесь и хотите чего либо, то просто гуглите и запускаете первый попавшийся бинарник с варезника? А вот пользователи ПО из NPM так делают.
PPA это конечно зло и их можно ставить только на свой страх и риск, думая насколько автору PPA можно доверять. По хорошему их стоит ставить только в песочницу.

Ответить | Правка | Наверх | Cообщить модератору

116. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Ляля (??), 11-Авг-22, 14:50

То есть принципиально ничем, только в деталях: репозиторий дистра наполняют более симпатичные люди, и попадает в туда не всё, а что эти люди посчитали нужным добавить.
С репой дистра мы полагаемся на неких абстрактных ментейнеров, изначально и безусловно доверяя им, хотя причин для этого просто нет. «У них подписанные ключи» и «они знают друг друга» это причина для доверия между ментейнерами, но не для юзера, юзеру остаётся только верить, что репа беды не принесёт, верить, что ментейнеры хорошие парни.

Ответить | Правка | Наверх | Cообщить модератору

119. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (119), 11-Авг-22, 15:10

Если не хочешь весь необходимый софт писать с нуля включая компиляторы, то необходимо кому-то доверять. И так уж сложилось, что бомж Вася, который свой аккаунт сольёт за бутылку водки любому прохожему, заслуживает меньшего доверия чем Линус Торвальдс.
Если доверять всем, то можете с тем же успехом оставить свой бумажник с кредитными картами в кафе, все же честные люди. А если не доверять не никому, то нужно собственный процессор печатать на собственном станке.

Ответить | Правка | Наверх | Cообщить модератору

120. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Ляля (??), 11-Авг-22, 15:17

Спасибо, я об этом как раз и говорю! Репа дистра не безопаснее NPM, но доверять ей проще.

Ответить | Правка | Наверх | Cообщить модератору

125. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (122), 11-Авг-22, 19:11

> доверять ей проще
А можешь тезисно пояснить как ты пришёл к такому выводу? Какие-то объективные критерии привести, определение простоты дать, разъяснить в общем для менее осведомленной публики.

Ответить | Правка | Наверх | Cообщить модератору

128. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Ляля (??), 12-Авг-22, 00:05

Иди в другом месте поиграй, сорванец.

Ответить | Правка | Наверх | Cообщить модератору

95. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (95), 10-Авг-22, 17:35

Тем, что репозитории дистров ОС поддерживаются слаженной командой дистростроителей. Они знают друг друга. Есть взаимное доверие, есть моральная ответственность.

Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

118. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Ляля (??), 11-Авг-22, 14:58

>Они знают друг друга.
А я их не знаю, для меня они какие-то люди в интернете. Как их знакомство друг с другом делает пакет безопаснее для меня?
>есть моральная ответственность
Тоже наверно перед друг другом, не передо мной же или другим админом.

Ответить | Правка | Наверх | Cообщить модератору

94. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (95), 10-Авг-22, 17:32

Если ничего умного не приходит, можно вспомнить про дискетки.

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

77. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (75), 10-Авг-22, 13:43

Собственно, почему всякие удобные язычки с удобненькими пакетными менеджерами не нужны. Нужен только один пакетный менеджер - это apt. Или что у вас там.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

93. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (95), 10-Авг-22, 17:30

portage

Ответить | Правка | Наверх | Cообщить модератору

102. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (105), 10-Авг-22, 23:28

Так называемые "Фронтэнд разработчики" не могут в apt.
Все что они могут это прозонтированный трехфакторной авторизацией каталог вредоносных пакетов npm

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

107. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (48), 11-Авг-22, 00:00

Это тупые обезьянки дистростроители не могут в npmи не научились собирать пакеты. Какая попоболь.
Ведь макакам не объяснили разницу между кодом, для чего используется npm, и готовым продуктом.
Который должны собирать apt макаки. Но они не осилили. Печаль.

Ответить | Правка | Наверх | Cообщить модератору

113. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (-), 11-Авг-22, 01:06

> Так называемые "Фронтэнд разработчики" не могут в apt.
Так это не баг а фича: сразу видно кто в вольере гадит.

Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

60. "В NPM планируют использовать Sigstore для подтверждения подл..." +2 +/–

Сообщение от Аноним (-), 10-Авг-22, 09:54

В песочницу их, с запросом на доступ на каждый чих!

Ответить | Правка | Наверх | Cообщить модератору

63. "В NPM планируют использовать Sigstore для подтверждения подл..." +1 +/–

Сообщение от Аноним (64), 10-Авг-22, 11:17

Ты все пропустил это называется докер и его все используют.

Ответить | Правка | Наверх | Cообщить модератору

Часть нити удалена модератором

84. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (84), 10-Авг-22, 14:32

Либо ты используешь докер или он начнет использовать тебя!

Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

78. "В NPM планируют использовать Sigstore для подтверждения подл..." +2 +/–

Сообщение от Аноним (75), 10-Авг-22, 13:45

Но докер - это не про песочницу. Докер - это про "я забыл ключи от apt-get".

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

85. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (84), 10-Авг-22, 14:33

В интерактивном режиме команды набирай и будет тебе apt-get. А если ты еще пользователя с рутового переключишь, то вообще будешь в полной безопасности.

Ответить | Правка | Наверх | Cообщить модератору

103. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (105), 10-Авг-22, 23:35

Вы имеете в виду что современные разработчики не могут понять apt и поэтому изобрели докер?
Но ведь докер гораздо сложнее apt

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

79. "В NPM планируют использовать Sigstore для подтверждения подл..." +3 +/–

Сообщение от darkshvein (ok), 10-Авг-22, 13:54

а поясните за npm.
почему нельзя ставить те же rpm, deb? на худой конец src
почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm?
разработчики nodejs знают толк в извращениях?

Ответить | Правка | Наверх | Cообщить модератору

86. "В NPM планируют использовать Sigstore для подтверждения подл..." +3 +/–

Сообщение от Аноним (111), 10-Авг-22, 15:04

NPN это сплошной facepalm: можно исполнить любой скрипт на стороне разработчика (то есть - без разницы что там сам js норм, можно встретится в систему сборки), политика разбиения на микропакеты (и использования этих васяновских микропакетов в продакшнне уровня react/angular), отсутствие нормальных правил публикации, ползновения многофакторной авторизации...

Ответить | Правка | Наверх | Cообщить модератору

97. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (105), 10-Авг-22, 19:42

Поставь react из Deb.
А потом из rpm

Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

132. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от A (?), 15-Авг-22, 10:19

> почему надо пихать в npm? как результат - почему надо тащить и ставить всё из npm?
Потому, что можно без знаний и без душнилова писать от души слабо продуманный код как стихи. Хорошие стихи написать трудно. Ну и хороший код - тоже.
А упаковать в Deb и пройти проверки на косолапость в Дебиан - трудно, нужно много выучить.
Короче - так было проще сделать обыкновенный тяп ляп.

Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

129. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (129), 12-Авг-22, 08:46

эхъ, а когда-то kde собирали в freebsd из сорцов, а чтоб все собиралось и работало комментили непонятные куски кода (! безопасность еще тогда).

Ответить | Правка | Наверх | Cообщить модератору

130. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от BorichL (ok), 12-Авг-22, 14:58

Дык до сих пор так делают, ну может в код особо не лезут, но желающие - могут   :-)

Ответить | Правка | Наверх | Cообщить модератору

134. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Аноним (134), 15-Авг-22, 13:53

Проблема мусорного бака в том что его нужно периодически вывозить.
Что npm, что pypi, что crates как раз такие бездонные баки, содержимое которых нужно в вулканической лаве растворять.
Причем "неймсквоттинг" там во все поля: условный белый джентльмен создаёт тысячу модулей на популярные названия и везде лепит одну и ту же фразу: "я создал этот проект чтобы не хорошие люди не могли напакостить, напишите мне туда-то если вы заинтересованы в проекте".
🤡

Ответить | Правка | Наверх | Cообщить модератору

135. "В NPM планируют использовать Sigstore для подтверждения подл..." +/–

Сообщение от Ааантоним (?), 15-Авг-22, 18:25

И при этом когда из содержимого бака что-либо обязательно неотъемлемая часть обеда у джентельмена.
Примечательно, для Питона есть Conda репозиторий. Была догадка - там отфильтрованы более менее нетухлые кусочки из бака. Не проверял.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

7. "В NPM планируют использовать Sigstore для подтверждения подл..."	+13 +/–
Сообщение от Аноним (7), 09-Авг-22, 15:50
Как, друзья, вы не садитесь, ... (И.А. Крылов)
Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "В NPM планируют использовать Sigstore для подтверждения подл..."	+4 +/–
	Сообщение от Аноним (28), 09-Авг-22, 20:10
	Не на пики приземлитесь
	Ответить \| Правка \| Наверх \| Cообщить модератору


	91. "В NPM планируют использовать Sigstore для подтверждения подл..."	+1 +/–
	Сообщение от Аноним (91), 10-Авг-22, 15:46
	Правильный путь подписи OpenPGP, лучше с аппаратной защитой секретного ключа: https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f... https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-... https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu...
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

8. "В NPM планируют использовать Sigstore для подтверждения подл..."	+11 +/–
Сообщение от pashev.ru (?), 09-Авг-22, 15:52
Npm не спасти.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "В NPM планируют использовать Sigstore для подтверждения подл..."	+8 +/–
	Сообщение от Аноним (10), 09-Авг-22, 16:15
	Зато можно добавить ещё одну подпорочку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "В NPM планируют использовать Sigstore для подтверждения подл..."	–2 +/–
	Сообщение от Аноним (48), 10-Авг-22, 05:58
	Что сделано лучше чем npm и почему? Хотелось бы от вас получить технический анализ как от эксперта.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	72. "В NPM планируют использовать Sigstore для подтверждения подл..."	+6 +/–
	Сообщение от Аноним (72), 10-Авг-22, 12:40
	apt
	Ответить \| Правка \| Наверх \| Cообщить модератору


	105. "В NPM планируют использовать Sigstore для подтверждения подл..."	–3 +/–
	Сообщение от Аноним (105), 10-Авг-22, 23:44
	Уважаемый анонимный эксперт, вы забыли добавить технический анализ почему apt лучше
	Ответить \| Правка \| Наверх \| Cообщить модератору


	111. "В NPM планируют использовать Sigstore для подтверждения подл..."	+/–
	Сообщение от Аноним (111), 11-Авг-22, 01:04
	Раньше CDN был популярен. Там нельзя как в NPM выполнить любой скрипт при установке пакета (а без этого про безопасность вообще бессмысленно говорить - пакет может быть супер, а всё вредоносное можно добавить тихо при установке).
	Ответить \| Правка \| К родителю #48 \| Наверх \| Cообщить модератору

25. "В NPM планируют использовать Sigstore для подтверждения подл..."	+/–
Сообщение от Аноним (25), 09-Авг-22, 18:41
Хорошее предложение, было бы интересно посмотреть на реализацию, особенно если она позволит пользоваться любой DVCS-платформой, а не только гитхабом. Атаки на supply chain актуальная угроза.
Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "В NPM планируют использовать Sigstore для подтверждения подл..."	+/–
	Сообщение от Аноним (75), 10-Авг-22, 13:39
	>DVCS-платформой, а не только гитхабом Я всегда думал, что distributed - это где угодно, а не на гитпуке.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	98. "В NPM планируют использовать Sigstore для подтверждения подл..."	+/–
	Сообщение от Аноним (25), 10-Авг-22, 19:55
	Значит ты всегда думал неправильно. Передумывай заново всё.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	109. "В NPM планируют использовать Sigstore для подтверждения подл..."	–1 +/–
	Сообщение от Аноним (-), 11-Авг-22, 01:02
	Let's encrypt так то тоже ни разу не децентрализованый. Как может быть распределенным его аналог?
	Ответить \| Правка \| К родителю #75 \| Наверх \| Cообщить модератору

27. "В NPM планируют использовать Sigstore для подтверждения подл..."	+3 +/–
Сообщение от Аноним (27), 09-Авг-22, 19:18
Скоро все разработчики убегут куда-нибудь (на ржавчину)
Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "В NPM планируют использовать Sigstore для подтверждения подл..."	+1 +/–
	Сообщение от Аноним (31), 09-Авг-22, 20:46
	На карбонщину.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "В NPM планируют использовать Sigstore для подтверждения подл..."	+1 +/–
	Сообщение от аноним228 (?), 09-Авг-22, 21:18
	Не все захотят убегать в эту эзотерику.
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	56. "В NPM планируют использовать Sigstore для подтверждения подл..."	+/–
	Сообщение от Аноним774 (?), 10-Авг-22, 07:42
	На кристальщину https://opennet.ru/57549/ там одной командой можно сервер поднять
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	71. "В NPM планируют использовать Sigstore для подтверждения подл..."	+1 +/–
	Сообщение от Аноним (71), 10-Авг-22, 12:39
	А уронить?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	76. "В NPM планируют использовать Sigstore для подтверждения подл..."	+/–
	Сообщение от Аноним (75), 10-Авг-22, 13:41
	На лиспе этой одной командой можно его не то, что поднять, но и залезть ему в кишки и так далее. И эту одну команду с собой на флешке таскать.
	Ответить \| Правка \| К родителю #56 \| Наверх \| Cообщить модератору


	88. "В NPM планируют использовать Sigstore для подтверждения подл..."	–1 +/–
	Сообщение от истина в последней инстанции (?), 10-Авг-22, 15:23
	Прикинь, на шеле тоже
	Ответить \| Правка \| К родителю #56 \| Наверх \| Cообщить модератору


	89. "В NPM планируют использовать Sigstore для подтверждения подл..."	+1 +/–
	Сообщение от истина в последней инстанции (?), 10-Авг-22, 15:24
	Более того. И на C можно и на C++ можно. Одной командой.
	Ответить \| Правка \| К родителю #56 \| Наверх \| Cообщить модератору

29. "В NPM планируют использовать Sigstore для подтверждения подл..."	+/–
Сообщение от Аноним (29), 09-Авг-22, 20:16
> в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию? От этого есть защита?
Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "В NPM планируют использовать Sigstore для подтверждения подл..."	–1 +/–
	Сообщение от Аноним (25), 09-Авг-22, 21:26
	Конечно. Персональная репутация. Кроме того, в случае реального урона, на такого разработчика можно подать в суд. Вполне возможно, что иск будет коллективный, а это неиллюзорная возможность сесть лет на десять.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "В NPM планируют использовать Sigstore для подтверждения подл..."	+1 +/–
	Сообщение от Аноним (29), 09-Авг-22, 22:22
	какая репутация, какой суд? там при установке чего угодно через npm обычно 100500 пакетов тянется в зависимостях и зависимостях зависимостей. бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "В NPM планируют использовать Sigstore для подтверждения подл..."	+/–
	Сообщение от Аноним (25), 10-Авг-22, 00:52
	> бОльшая часть их авторов неизвестны никому, просто анонимы на гитхаб. вы даже никогда не выясните, кто это в реале. Я сплю и вижу, как анонимные кодеры на js пушат на гитхаб свои нетленки через тор. Это именно тот опенсорс, о котором я так мечтал. Но в реальности большая часть авторов подписывается своим именем и делает это с домашнего компьютера, регистрируя гитхаб на свой ящик на gmail, который, в свою очередь, привязан к телефонному номеру. Ну и на всякий случай авторам популярных пакетов пришлют хардварный токен на домашний адрес.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "В NPM планируют использовать Sigstore для подтверждения подл..."	+2 +/–
	Сообщение от Аноним (48), 10-Авг-22, 04:05
	Всё верно. Только с точки зрения ответственности, разницы никакой нет. Максимум авторам аккаунт заблокируют.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	64. "В NPM планируют использовать Sigstore для подтверждения подл..."	+2 +/–
	Сообщение от Аноним (64), 10-Авг-22, 11:18
	Максимум найдут и на швабру насадят.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "В NPM планируют использовать Sigstore для подтверждения подл..."	+1 +/–
	Сообщение от YetAnotherOnanym (ok), 10-Авг-22, 01:58
	Репутация? Вот, например, лично ты что знаешь о тех людях, чьи исходники используешь? А в суде, даже если ты сможешь его туда притащить, он ткнёт тебя носом в лицензию, где прописан отказ от ответственности.
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	43. "В NPM планируют использовать Sigstore для подтверждения подл..."	+1 +/–
	Сообщение от Аноним (48), 10-Авг-22, 04:03
	Тоже самое сделает и Microsoft. А, нет, ещё 5$ ущерба заплатит. Пиши этот код сам, кто мешает? Или заказывай разработку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	99. "В NPM планируют использовать Sigstore для подтверждения подл..."	+/–
	Сообщение от Аноним (25), 10-Авг-22, 20:41
	Напомню вопрос, на который я отвечал, раз уж чукча не читатель: > А в случае, если не злоумышленник, а автор решит добавить вредонос в новую версию? Ключевые слова: автор, решит, вредонос. Это намеренное (слово «решит» нам недвусмысленно говорит об этом) вредительство. Практически в любой стране мира, где есть IT, есть законы, явно запрещающие подобное поведение. Никакая лицензия не поможет, это преднамеренный взлом и за это сажают в тюрьму. В случае большого урона, даже необязательно тащиться к чёрту на рога, можно подать в суд в своей стране и затребовать экстрадицию. Или, как штаты, взять под белы рученьки в любой стране через которую автор будет проезжать транзитом.
	Ответить \| Правка \| К родителю #42 \| Наверх \| Cообщить модератору