| 1.2, Аноним (2), 22:08, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?
| | |
| 1.3, Аноним (3), 22:11, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
| | |
| |
| 2.5, Аноним (5), 22:17, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
 > Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил
> пакет на вредоносный"? Вот где люди реально проверяют.
Почему "не было"?
https://www.opennet.me/opennews/art.shtml?num=63677
> Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
> 04.08.2025 22:08
причем, не "перепутал", а включил осознанно.
> Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию.
.
| | |
| |
| |
| 4.16, Аноним (5), 23:20, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn.
> Твой пример под описанную ситуацию совсем не подходит.
Ну да, аутотренинг еще никто не отменял ...
| | |
|
|
| 2.9, Аноним (9), 22:38, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту.
Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.
| | |
| |
| 3.11, Аноним (3), 22:49, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Нет, не проверяют, и были случаи малвари в дебиане.
Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню.
А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
| | |
|
| 2.10, Аноним (9), 22:43, 25/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> и тд – свалка непроверенных библиотек
И потом, к чему этот негатив если альтернатив нет в принципе никаких?
| | |
| |
| 3.12, Аноним (3), 22:50, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.
| | |
| |
| 4.29, Аноним (25), 00:06, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.
| | |
|
| 3.17, Аноним (17), 23:20, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
NPM - да, помойка!
Aur - да, свалка!
Pypi - да, ещё одна помойка!
Rust-репозиторий - к чему этот негатив?
| | |
| |
| 4.26, Аноним (25), 00:02, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.
| | |
|
|
| 2.22, Аноним (21), 23:41, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность
| | |
|
| 1.4, Аноним (9), 22:12, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.
| | |
| |
| 2.27, Аноним (21), 00:02, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда
| | |
|
| 1.15, Аноним (15), 23:17, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Как так? Обещали же "на этапе компиляции" безопасно делать... Опять обманули (с)
| | |
| |
| 2.20, нах. (?), 23:35, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Не, ну всего ж два пакетика. В npm вон сотни, а сколько там в пиписке никто не считал, там попробуй сперва найди в той помойке не вредоносный.
Не только лишь каждый убежит от борова так чтоб было что выкладывать в crates!
| | |
| 2.28, Аноним (21), 00:03, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Обещали безопасную работу с памятью. Сможешь доказать, что это не так?)
| | |
|
| 1.23, Аноним (18), 23:52, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Для минимизации рисков в Rust рекомендуется:
◇ Использовать только известные и проверенные крейты.
◇ Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit.
◇ Фиксировать версии в Cargo.lock и избегать автоматических обновлений без ревью.
| | |
| 1.24, Аноним (-), 23:56, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Пакеты были размещены в репозитории 25 мая и
> с тех пор были загружены 8424 раза
Пффф... а разговоров то было...
Зато прям сборище клованов в комментах
| | |
|
