| 1.1, Ivan_83 (ok), 20:58, 15/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
 По паспорту давать коммитить, и хату в залог пусть оставляют, если зловреда захотят закомитить - хата отойдёт проекту :)
| | |
| |
| 2.4, Аноним (4), 21:12, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
А почему нельзя бесхозные пакеты просто заморозить без возможности восстановления доступа?
| | |
| 2.14, Аноним (14), 21:53, 15/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> По паспорту давать коммитить
Ты вот шутишь, а в коммерческой разработке по сути так и присходит испокон веков. Прежде чем васян с улицы закомитит в условный macOS, ему придется пройти многоступенчатый процесс фильтрации и найма, с проверками адекватности и компетенции, с заключанием контракта и т.п.
А тут прямо опенсорсное бинго: одни васяны сделали помойку, держащуюся на честном слове, другие васяны в нее гадят, а третьи из нее уплетают за обе щеки, не глядя.
| | |
| |
| 3.18, Аноним (18), 22:15, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> проверками адекватности
а индусячий код за 3 копейки, это как так вышло?
> А тут прямо опенсорсное бинго
в городе общественным местом считается абсолютно все, что не является чьейто частной территорией, покрай мере именно за нарушение общественного порядка тебя привлекут если тебе вздумается где-то, кроме своей спальни устроить пефоманс, но даже в твоей собственной спальне есть ограничения, например, громкость твоих ночьных пефомансов.
можешь попробовать поехать в антарктиду и попытаться там устроить чтото общественно опасное, если будешь пингвинам рассказывать про 4й рейх и агетировать, то наверное на это закроют глаза, а вот если начнешь создавать биологическое оружие, то статью найдут.
| | |
| |
| 4.19, Аноним (14), 22:18, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
>> проверками адекватности
> а индусячий код за 3 копейки, это как так вышло?
А что тут неадекватного? Потому и индусячий, что за 3 копейки.
| | |
| |
| 5.22, Аноним (18), 22:35, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
обьясняю, компания обязана по закону соблюдать правила, например хранить продукты в холодильнике, иначе она ничем не отличается от бабки агафьи которая по ночам потрошит крыс и продает днем беляши.
в части it правил для компаний не так уж много, да - еще пока it-шницы бабками не стали, но осталось не так много времени, и мы видим как гос-ва все дружно бросились регулировать, то что само работало.
потому что часики тикают, а мозги стареют и деградируют, и никакие сроки и штрафы сьеденого беляша не отменят.
| | |
| |
| 6.23, Аноним (14), 22:55, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Сорян, но я так и непонял, что ты хотел сказать этим словесным поносом. Ты можешь внятно мысль сформулировать?
| | |
|
|
|
|
|
| 1.2, Аноним (2), 21:09, 15/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> В репозитории насчитывается 141967 зарегистрированных пользователей и 69 сопровождающих пакеты (в предыдущую неделю было 140949 пользователей и 69 сопровождающих).
Это что за левые цифры? repology показывает там 21k мантейнеров.
| | |
| |
| |
| 3.16, Аноним (2), 22:02, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
На заборе написано в новости. Repology считает честных мантейнеров по пакетам.
| | |
|
|
| 1.3, Аноним (3), 21:10, 15/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
>Для захвата пакетов атакующие использовали предоставляемую в AUR возможность принимать сопровождение над пакетам, оставшихся без сопровождающих и имеющих статус "orphaned". Подобная возможность предоставлялась без ограничений и проверок любому желающему.
Может стоит отключить возможность каждому брать контроль над сопровождением заброшенного пакета, который может просто заваляться в системе пользователя и обновиться, принеся такую радость в дом? Почему вообще по всей логике если кто то хочет начать сопровождение пакета, он не обязан создавать отдельный форк и пускай его пользователи сами проверяют и устанавивают по новой? Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты.
| | |
| |
| 2.10, Аноним (14), 21:32, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты.
Ну так все by design, разве нет? Написано же "DISCLAIMER: AUR packages are user produced content. Any use of the provided files is at your own risk. "
Как-то странно загружать и запускать на своей машине баш-портянки от левых васянов - и при этом петь про какие-то "вектора атаки".
В том же Ubuntu PPA и загружаемый исходный код, и собранные из него пакеты для пользователей подписаны PGP. Что мешало ауропомойке сделать также - загадка.
| | |
| |
| 3.15, Аноним (15), 21:57, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>подписаны PGP
Не проблема вообще. Ключики для PGP можно и заменить. Обновление сломается, а вот если кто заново захочет добавить, то у него ничего и не пикнет.
| | |
| |
| 4.17, Аноним (14), 22:08, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Обновление сломается
В этом как бы и смысл, что пакеты от нового васяна не будут ставиться моча.
| | |
|
|
|
| 1.5, Аноним (4), 21:13, 15/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> возможность предоставлялась без ограничений и проверок любому желающему
Сами сделали - сами расплачиваются.
| | |
| |
| 2.9, Аноним (9), 21:23, 15/06/2026 [^] [^^] [^^^] [ответить]
| –3 +/– |
Судя по описанию, подобные "возможности" часто в последнее время предоставляются пользователям ядра Linux
| | |
|
| 1.8, Аноним (14), 21:23, 15/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Подобная возможность предоставлялась без ограничений и проверок любому желающему.
...но что-то пошло не по плану? 😂
Действительно, что может случиться, если давать любому васяну доступ к баш-портянкам, которые тысячи арчеводов запускают не глядя, и даже не предупреждать этих арчеводов о смене маинтайнера? 🤔
> После первой массовой атаки разработчики Arch Linux попытались защититься от проблемы через выборочные фильтры, но атакующие обошли их через замену npm на bun и обфускацию вызова своего кода в функции post_install.
Баш-портянщики против JS-портянщиков! Эта битва будет легендарной! 🤣 Пока что счет 0:3.
| | |
| |
| 2.21, Аноним (18), 22:24, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
нууу, безногая не может, для нее открытый и закрытый это одно и тоже, у любой с-и есть ключи от подьезда, хотябы от одного, и запирать все подьезды от всех других, сомнительное решение.
общественное порицание, многие годы и тысячелетия было решением проблемы, не идеальным, но случаи разные бывают.
| | |
|
|
