Здравствуйте, Cyberax, Вы писали: C>Автор патча забанен в Github и больше не будет вредить. C>В упор не вижу никаких попыток уничтожить российский софт.
Ты лжешь.
Дело обстоит следующим образом. 7 марта разработчик и мейнтенер с кистально чистой репутацией более 40 популрных пакетов для инфраструктуры npm, большая часть из которых транзитивные, создал пакет peacenotwar, который не просто выводил в консоль баннер мира в консоль, но еще и создавал текстовые файлы WITH-LOVE-FROM-AMERICA.txt с определенным содержимым на рабочем столе, в домашнем каталоге пользователя а так же в OneDrive, если он имеется на компьюетере.
После чего он добавил этот модуль в качестве зависимости в свой же пакет node-ipc, который являетс транзитивной зависимостью во множестве популярном программном обеспечении, например в инструментах Vue.js и Unity.
Но этого ему показалось мало, после чего он добавил деструктивный обсфуцированный код в сам пакет node-ipc (https://github.com/RIAEvangelist/node-ipc/blob/847047cf7f81ab08352038b2204f0e7633449580/dao/ssl-geospec.js), который совершал запрос к удаленному сервису геопозиции, определял страну по IP-адресу, и в случае совпадения страны с Росиией или Белоруссией рекурсивно проходил по всем каталогам на жестком диске и затирал содержимое всех файлов на эмоджи-сердечко, на которые хватало прав.
Помимо добавления вредоносного кода, разработчик так же опакетил эту версию модуля и опубликовал ее в репозитории пакетов. После чего она была скачана несколько тысяч раз.
Лишь спустя 24 часа пакет был заблокирован в репозитории, а разработчик стал активно заметать следы, пытаясь скрыть преступление. Он активно отрицал содеянное, удалял все комментарии в баг-трекере которые указывали на это и вообще до последнего врал. Тем временм сам пакет node-ipc в репозитории был обновлен до новой версии уже без кода удаляющего файлы, но все еще создающего файлы на рабочем столе и в OneDrive.
Боьшинство пользователей заметило что-то неладоное именно потому что у них ВНЕЗАПНО стали появляться файлы WITH-LOVE-FROME-AMERICA.txt на рабочем столе.
Тем временем один китайский разработчик проводил расследование, собирая все доказательства и деобсфуцируя вредоносный код. Сам же автор пытался всячески этому препятсовать. Лишь спусят неделю удалось доказать все, что произошло и зарегистрировать CVE. В том чсиле в базе NIST https://nvd.nist.gov/vuln/detail/CVE-2022-23812
Но даже после этого, разработчик всячески отрицал свою вину, говоря буквально — "этот код выглядит страшно, однако оне может быть исполнен, потому что я отозвал API_ключ к сервису геопозиционирования". Тем неменее на момент публикации пакета в репозитории ключ был работспособным, а следовательно код мог выполняться.
В то же время администрация гитахаба никак не реагирует на множество жалоб на данную ситуацию, несмотря на то, что явно нарушены ToS,а немногим ранее в аналогичном происшествии, когда другой раработчик color.js и faker решил протестова — он был заблокирован в тот же день.
Разработчик node-ipc не заблокирован до сих пор и никакого наказания он не понес. Все это создало прецедент показавший, что ЛЮБОЙ мейнтенер в ЛЮБОМ репозитории в современных условях может прикрыться какой-то идеей и не бояться уголовного преследования.
По состоянию на сегодняшний день разработчика активно травят. Ему заказывают доставку пиццы на дом и вызывают к нему домой полицию, о чем он активно пишет. Вчера был взломан его твиттер, в котором хакер сменил его аватар на Российский флаги разместил неколько изобличающих твиттов.
Таким образом мы видим, что на самом деле активный и ужасный лжец здесь именно ты, отрицающий происходящее и называющий белым черное, даже когда тебе показывают все перед носом.
Здравствуйте, scf, Вы писали:
scf>В репозитории на гитхабе начали добавлять малварь, включая деструктивную, которая срабатывает при запуске софта в РФ.
Врёшь ведь, как и все путинисты. Всё что они делают — пишут сообщение при запуске и/или добавляют баннер.
4. Affected users: new projects created during 2022-03-15T05:40:26.758Z and 2022-03-15T13:17:57.076Z; or those who updated project dependencies in that time span.
C>Автор патча забанен в Github и больше не будет вредить.
пруф? сегодня у автора была активность на гитхабе.
C>В упор не вижу никаких попыток уничтожить российский софт.
тебя ткнули носом в "безобидные" банеры, попавшие в vue-cli.
продолжишь рассказывать про вранье путинистов?
Строго говоря, это в очередной раз показало какое же адское говнище есть вся эта web js-фреймворчная архитектура, в которой один js фреймворк ссылается на другой, все это бурлит и загружается-подгружается со сторонних сайтов и конца краю не найдешь. Ранее уже были инциденты, когда автор, емнип colors.js возбухнул, что он получается за бесплатно на фейсбук работает, захотел зарплаты там, но его кажется даже не услышали и он как автор выпилил этот скрипт, куда мог дотянуться и отчего было дело слегка попадали даже крупные корпоративные сайты.
Здравствуйте, Эйнсток Файр, Вы писали:
ЭФ>Выводов всё равно никто не сделает.
Выводы уже сделаны, опнсорс будет расколот на доверенных поставщиков кода и всех остальных. Остается надеяться, что наша власть не поленится завести уголовные дела по 272й статье. И что остальные страны её поддержат.
S>>> Open source, кстати, не тоже самое, что open contribution.
ЭФ>>Особенно, когда российским разработчикам (например из Крыма) возможность contribution закрывают.
S>Владелец в своём праве. Разработай что-нибудь сам и не пускай контрибьютить жителей Европы, США, или Украины. Да или вообще никого не пускай, как делают в закрытой разработке.
Давай так. Ты в каком-нибудь активно используемом репозитории сделаешь политику, что черным в него вносить свой код нельзя. И расскажешь нам про "владелец в своём праве".
Я это к тому, что когда ты занимаешь довольно большую часть ниши, то правила устанавливаешь уже не только ты.
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, night beast, Вы писали:
C>>>Всё что они делают — пишут сообщение при запуске и/или добавляют баннер. NB>>ага. только баннер. NB>>https://github.com/vuejs/vue-cli/issues/7054 C>Это было найдено и исправлено до того, как могло причинить какой-либо вред: https://github.com/vuejs/vue-cli/issues/7054#issuecomment-1069642202
C>Автор патча забанен в Github и больше не будет вредить.
C>В упор не вижу никаких попыток уничтожить российский софт.
Какого патча? Кого забанили? Vue-cli просто запинили в зависимостях старую версию node-ipc. Вредоносные изменения в node-ipc вносил сам автор node-ipc.
Здравствуйте, Nuzhny, Вы писали:
N> scf>В репозитории на гитхабе начали добавлять малварь, включая деструктивную, которая срабатывает при запуске софта в РФ. N> Много всего на эту тему
Отлично! Они сами составляют список тех, кого надо будет обходить за версту, когда это все закончится.
scf> Остается надеяться, что наша власть не поленится завести уголовные дела по 272й статье. И что остальные страны её поддержат.
Остальной мир годами спокойно смотрел на то, как нацики сжигают людей и вооружали/обучали этих нацистов (например, батальон (уже полк) "Азов", признан нацистским даже конгрессом США).
Научись различать, что люди говорят и что они делают. По началу, может показаться, что большинство шизофреники. Но это не так. В реальности разговоры используют, чтобы выглядеть белыми и пушистыми, а втихую творить все, что выгодно. Эти люди будут продолжать творить, что хотят, и развешивать лапшу доверчивым слушателям, пока у них не останется выбора.
Заведение статьи УК поддерживаю. Возможно, эти "малолетние дебилы" когда-нибудь окажутся там, откуда их смогут экстрадировать и они ответят и за разжигание национальной розни по отношению к русским и за внедрение вредоносного кода в софт. На самом деле их действия подпадают под уголовный кодекс в странах их проживания, но там за это им ничего не будет. Такова политика тех стран на деле (а не на словах). Демократия.
Здравствуйте, Cyberax, Вы писали:
scf>>В репозитории на гитхабе начали добавлять малварь, включая деструктивную, которая срабатывает при запуске софта в РФ. C>Врёшь ведь, как и все путинисты.
или ты
C>Всё что они делают — пишут сообщение при запуске и/или добавляют баннер.
K> Мне вот интересно, сколько строк кода написал лично ты за свою жизнь?
У тебя профессиональная деформация. Сотрудники IT не только пишут код, но и обрабатывают данные, в том числе пишут тексты.
А уж сколько я нафлудил — не сосчитать.
Здравствуйте, scf, Вы писали:
scf>В репозитории на гитхабе начали добавлять малварь, включая деструктивную, которая срабатывает при запуске софта в РФ.
Open source, кстати, не тоже самое, что open contribution.
V> выпиливанием неадекватов из свободных дистрибутивов
Свободные дистрибутивы целиком и полностью из неадекватов состоят. Начиная с Торвальдса. И так у них везде.
Apache Foundation вроде на этом фоне выделяется, но я просто близко с ним не сталкивался.
Доиграются до того, что кто-нибудь где-нибудь запустит что-то подобное в корпоративной сети, которая неудачно распознается как "в России", и очередная кучка кул-хацкеров "скачает гигабайты корпоративного софта".
Можно присоединиться к веселью и делать свои коммиты, исправляя страны с РФ и Белоруссии на США с Украиной.
Но вообще это дурость, как раз в опенсорсе такое палится мгновенно.
А вот в проприетарный софт можно с легкостью запихать много всякого.
По УК РФ, если не ошибаюсь, это попадает под статью о написании вредоносного кода и, возможно, под терроризм.
Можно закатывать международные скандалы и требовать выдачу в РФ компьютерных преступников для суда над ними.
Обвинять при отказе власти США и ЕС в пособничестве преступности и т.д.
Как запру я тебя за железный замок, за дубовую дверь окованную,
Чтоб свету божьего ты не видела, мое имя честное не порочила…
М. Лермонтов. Песня про царя Ивана Васильевича, молодого опричника и удалого купца Калашникова
Здравствуйте, scf, Вы писали:
scf>В репозитории на гитхабе начали добавлять малварь, включая деструктивную, которая срабатывает при запуске софта в РФ.
Это уже всё было когда-то, кончилось выпиливанием неадекватов из свободных дистрибутивов. А в других местах чужое творчество мало кого волнует. Там люди уже сами ищут информацию и представь, что первое что они найдут это то, что программа является малварью.
scf>>В репозитории на гитхабе начали добавлять малварь, включая деструктивную, которая срабатывает при запуске софта в РФ.
scf>>https://github.com/vshymanskyy/StandWithUkraine#projects-that-standwithukraine _>Интересно, а насколько это законно с точки зрения использования github, по идее репозитории с malware должны удаляться?
Это не только нарушает правила github, но и уголовный кодекс страны проживания таких чудиков. Но если кто-то откроет рот, его обвинят в поддержке агрессии России против незалежной Украины и cancel culture включится на полную уже против открывшего рот. Развитая демократия, однако.
Opensource не "всё", а становится единственным нормальным вариантом для компаний по всему миру. Инциденты в GitHub отслеживаются, они видны и у пользователей есть возможность откатиться. Само же Opensource сообщество крайне резко встречает такие инициативы, т.к. они бьют по всему сообществу.
В то время как со Слэкой и им подобным ты вообще ничего не сделаешь, если компаниям что-то в голову придёт.
Здравствуйте, Ночной Смотрящий, Вы писали:
S>>Владелец в своём праве. Разработай что-нибудь сам и не пускай контрибьютить жителей Европы, США, или Украины.
НС>Уверен? Так я напомню, что один из топов того самого гитхаба недавно призывал бойкотировать проекты, в командах которых нет черных, женщин и/или ЛГБТ.
Да и хрен с ним. Если твой проект действительно нужен людям, они и с твоего репозитория скачают, а не с гитхаба.
Здравствуйте, Michael7, Вы писали:
M>Ранее уже были инциденты, когда автор, емнип colors.js возбухнул
Вроде бы первым сломавшим все интернетики был аффтар мегасложного кода leftpad.
Я ещё тогда фейспалмил от идиотов, которые будут подключать сторонний модуль хз откуда для такой элементарнейшей вещи.
Здравствуйте, Reset, Вы писали:
R>В таком случае любой сколько-нибудь крупный проект — либо "адское говнище", либо еле шевелится и не развивается. Потому что либо все всем доверяют и каждый вносит свой вклад, в результате чего проект довольно активно движется и обрастает участниками, но любой мудак может в него насрать и сделать плохо всем. Либо все за всеми следят в результате проект еле шевелится, потому что чем больше участников — тем медленнее вносятся изменения и новые участники тоже добавляются с трудом — велик порог входа (такая ситуация, например, в Debian, там стать мейнтейнером — пройти несколько кругов ада и проще создать свой репозиторий, зато код проверяют довольно тщательно).
Я так назвал именно веб-инфраструктуру за то, что в отличие от Debian, ядра Linux и прочих привычных операционных систем и софта в них, она подразумевает, что все эти скрипты все время апдейтятся и подгружаются со сторонних сайтов. Более того, чтобы все сделать статично и загружать со своих серверов надо приложить определенные усилия. В результате удивительно действительно не то, что подобные истории происходят, а что они все же еще достаточно редкие.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, graniar, Вы писали:
G>>А фишка оупенсорса в том, что множество людей проверяют код на закладки, и чем код популярнее, тем больше людей его проверили. CC>Гы, нет. CC>И мы уже в этом неоднократно имели возможность убедиться.
— Почему вы не пользуетесь страховкой при подъеме на скалу?
— Она бесполезна, я слышал историю, как у одного альпиниста страховочный трос порвался.
Вот примерно такая-же логика. К тому же в обсуждаемом кейсе закладку как раз обнаружили и обезвредили благодаря открытости, то есть "трос" сработал штатно.
M>Строго говоря, это в очередной раз показало какое же адское говнище есть вся эта web js-фреймворчная архитектура, в которой один js фреймворк ссылается на другой, все это бурлит и загружается-подгружается со сторонних сайтов и конца краю не найдешь. Ранее уже были инциденты, когда автор, емнип colors.js возбухнул, что он получается за бесплатно на фейсбук работает, захотел зарплаты там, но его кажется даже не услышали и он как автор выпилил этот скрипт, куда мог дотянуться и отчего было дело слегка попадали даже крупные корпоративные сайты.
В таком случае любой сколько-нибудь крупный проект — либо "адское говнище", либо еле шевелится и не развивается. Потому что либо все всем доверяют и каждый вносит свой вклад, в результате чего проект довольно активно движется и обрастает участниками, но любой мудак может в него насрать и сделать плохо всем. Либо все за всеми следят в результате проект еле шевелится, потому что чем больше участников — тем медленнее вносятся изменения и новые участники тоже добавляются с трудом — велик порог входа (такая ситуация, например, в Debian, там стать мейнтейнером — пройти несколько кругов ада и проще создать свой репозиторий, зато код проверяют довольно тщательно).
В ядре Linux не так давно была похожая история — чудаки из универа решили добавить туда багов и написали отчет, как хреново разработчики ядра следят за кодом, который в него добавляют (их коммиты пропустили). Мудаков оперативно забанили, их коммиты стали тщательно проверять. Короче, куча работы из-за очередных ушлепков.
Суть в том, что чем больше в проекте разработчиков и чем проще туда вносить свой код — тем быстрее он движется и тем проще туда нагадить (а если ты имеешь доступ к проекту, то насрать в него всегда найдешь как при желании). Более жесткие требования усложняют в первую очередь внесение полезного нового кода и напрочь убивают возможность попадания в такой проект новых людей (если ты в проекте давно, то к тебе и проще относятся и нужные связи у тебя уже налажены, а новичков часто откровенно чморят и относятся намного строже, да и связей еще никаких нет, поэтому: "Да ну, на — пойду на JS писать — там меня за человека считают и коммиты пропускают.").
Здравствуйте, Эйнсток Файр, Вы писали:
S>> вообще никого не пускай, как делают в закрытой разработке.
ЭФ>Я не могу, смотри выше по топику, с меня требуют доказательства количества строк кода.
В твоём проекте, которым ты владеешь сам, никто ничего не требует.
ЭФ>в то время как с нуля можно писать методами доказательного программирования
Да, можно писать. Небольшую простую софтинку, выполняющуюся за простой ЭВМ.
А когда в компе параллельно выполняются сотни процессов с кодом на миллионы строк, когда в процессоре сложный микрокод с навороченной оптимизацией, когда происходит взаимодействие с другими компами (серверами) — "доказательное программирование" становится практически невозможным (жутко долгим и дорогим).
Здравствуйте, cppguard, Вы писали:
C>Наконец-то дойдёт, что в серьёзные проекты нельзя просто так тащить первое попавшееся непотребство с гитхаба. По ссылке список каких-то noname проектов, из которых мне только PHPUnit известен.
Про транзитивные зависимости слышал?
> Как из этого следует, что СПО — всё? Вот если бы Столман вдруг обнаружил в себе латентного украинца, то можно было бы начинать беспокоиться, но он скорее съест свои ноги.
Ну вообще-то Столлман поддерживает Украину и осуждает Россию. Ты бы почитал его домашний сайт прежде, чем за него решать. Он вроде своего мнения не скрывает.
Здравствуйте, scf, Вы писали:
scf>В репозитории на гитхабе начали добавлять малварь, включая деструктивную, которая срабатывает при запуске софта в РФ.
scf>https://github.com/vshymanskyy/StandWithUkraine#projects-that-standwithukraine
Интересно, а насколько это законно с точки зрения использования github, по идее репозитории с malware должны удаляться?
R>Давай так. Ты в каком-нибудь активно используемом репозитории сделаешь политику, что черным в него вносить свой код нельзя. И расскажешь нам про "владелец в своём праве".
Я не пишу опенсорца, в мой код чёрным и так вносить правки нельзя. А если когда-нибудь буду, то контрибутор там будет один, и это буду я.
Здравствуйте, Эйнсток Файр, Вы писали:
scf>> В репозитории на гитхабе начали добавлять малварь, включая деструктивную, которая срабатывает при запуске софта в РФ. ЭФ>Выводов всё равно никто не сделает.
Сделают, если найдутся горячие головы из России, которые инвертируют условие, при котором срабатывает эта малварь.
R>>Давай так. Ты в каком-нибудь активно используемом репозитории сделаешь политику, что черным в него вносить свой код нельзя. И расскажешь нам про "владелец в своём праве".
S>Я не пишу опенсорца, в мой код чёрным и так вносить правки нельзя. А если когда-нибудь буду, то контрибутор там будет один, и это буду я.
Я спрашивал что будет для активно используемого репозитория, а ты мне рассказываешь про неуловимого Джо. По сути ты не ответил на вопрос, а спрыгнул с темы.
Здравствуйте, vsb, Вы писали:
vsb>Ну вообще-то Столлман поддерживает Украину и осуждает Россию. Ты бы почитал его домашний сайт прежде, чем за него решать. Он вроде своего мнения не скрывает.
Косяк, не знал об этом. Был о него лучшего мнения, точнее, о его способности анализировать.
C>Косяк, не знал об этом. Был о него лучшего мнения, точнее, о его способности анализировать.
Мнение и способности анализировать у него в порядке. Он правильно проанализировал, что если выскажет свое реальное мнение, это не понравится определенным силам, и снова начнутся разговоры про то, какой он насильник.
Добро пожаловать в реальный мир.
Здравствуйте, Anton Batenev, Вы писали:
AB>кого надо будет обходить за версту, когда это все закончится.
Это закончится не скоро, и особого выбора к тому моменту не будет.
Тю, проснулись, едрёнть. Китай с 2004-го года начал прорабатывать эти вопросы. И Harmony на замену трансгендерному ведру не просто так делают, а с полным пониманием целей и задач.
Здравствуйте, wraithik, Вы писали:
W>Теперь чужой код минное поле. W>Фишка опен-сосрса померла.
Он всегда таким был, как и хакеры желающие распространять свои трояны, не зависимо от идеологий и локаций.
А фишка оупенсорса в том, что множество людей проверяют код на закладки, и чем код популярнее, тем больше людей его проверили.
И если закладка рано или поздно всплывает, как в обсуждаемом случае, это создает проблемы ее автору.
Соответственно, если где и есть закладки под видом багов, о них всем подряд не рассказывают, и можно сказать, цена их использования весьма высока.
Здравствуйте, Эйнсток Файр, Вы писали:
ЭФ>Выводов всё равно никто не сделает.
Сделай ты. Мне вот интересно, сколько строк кода написал лично ты за свою жизнь?
Зачем? Просто для галочки? Или забугорная полиция будет помогать расследованию?
Куда полезнее нанять 10-20 тысяч программистов, которые бы отслеживали код наиболее используемого и важного софта. Чтобы был свой, "доверенный" репозиторий.
LK> Коррупционную схему можно на чём угодно соорудить.
В одних случаях это сделать труднее, а в других — проще. Есть показатель, которым меряют, называется "коррупционноёмкость".
В варианте, когда 20000 человек производят непроверяемый эффект "мы проверили"
коррупционноёмкость выше, чем в варианте "мы написали с нуля используя государственный алфавит".
Почему непроверяемый? Способов проверки море: начиная с тупейших провокаций (внесение заведомо вредоносных или просто ошибочных коммитов и выяснение: найдут баг или нет) и заканчивая социалистическим соревнованием (какой отдел найдёт больше бэкдоров и багов, тем переходящее знамя денежная премия).
Наконец-то дойдёт, что в серьёзные проекты нельзя просто так тащить первое попавшееся непотребство с гитхаба. По ссылке список каких-то noname проектов, из которых мне только PHPUnit известен. Как из этого следует, что СПО — всё? Вот если бы Столман вдруг обнаружил в себе латентного украинца, то можно было бы начинать беспокоиться, но он скорее съест свои ноги.
Лаптев же совсем недавно Дейкстру цитировал. На тему того, что тестирование ничего не доказывает,
в то время как с нуля можно писать методами доказательного программирования.
Здравствуйте, Эйнсток Файр, Вы писали:
S>> Open source, кстати, не тоже самое, что open contribution.
ЭФ>Особенно, когда российским разработчикам (например из Крыма) возможность contribution закрывают.
Владелец в своём праве. Разработай что-нибудь сам и не пускай контрибьютить жителей Европы, США, или Украины. Да или вообще никого не пускай, как делают в закрытой разработке.
Здравствуйте, Эйнсток Файр, Вы писали:
S>> В твоём проекте, которым ты владеешь сам, никто ничего не требует.
ЭФ>Ну тогда потребуют доказательства количества денег под управлением.
Для чего потребуют? В твоём проекте никто от тебя не может ничего потребовать. Отказываешь им, да и всё.
ЭФ>Выводов всё равно никто не сделает.
Что техническая инфраструктура не сможет функционировать при свободном доступе к ней диких стадных обезьян?
Что надо отстреливать обезьян пока маленькие?
(А не облегчать им проникновение к технике, через всякие пальцетыкательные интерфейсы).
Здравствуйте, scf, Вы писали:
scf> В репозитории на гитхабе начали добавлять малварь, включая деструктивную, которая срабатывает при запуске софта в РФ.
R>Я это к тому, что когда ты занимаешь довольно большую часть ниши, то правила устанавливаешь уже не только ты.
Отлично сказано.
Это к вопросу о том, как так получается, что в начале пути [Google|Facebook|...|Telegram|TikTok] белый и пушистый, но по мере роста и монетизации, все сводится к "не только ты".
Здравствуйте, Reset, Вы писали:
R>>>Давай так. Ты в каком-нибудь активно используемом репозитории сделаешь политику, что черным в него вносить свой код нельзя. И расскажешь нам про "владелец в своём праве".
Откуда я знаю, что будет в активно используемом репозитории? Если владелец один, и репозиторий держит на собственном сервере, то я думаю, что чёрным вносить код будет нельзя, вот и всё. Народ повопит повопит, да и будет дальше пользоваться. Если ты может помнишь (потому что я уже стал забывать) были какие-то довольно громкие скандалы с участием, скажем, Coraline Ada Ehmke, примерно на эту же тему, только не про чёрных, а про гомосеков и Гитлера (если я ничего не путаю).
Ну вроде vue среагировали: https://github.com/vuejs/vue-cli/issues/7054#issuecomment-1068677029
Забавно что владелец репозитория node-ipc (откуда это говно пошло) на голубом глазу убеждал что ничего вредоносного в его коде нет, когда его тыкнули в код, он сказал — проверьте api-key (для проверки geo-локации) — он невалидный, хотя кто-то уже успел проверить с валидным ключём и получил ожидаемое поведение, и вроде как этот api-key (особенно если сам автор кода владелец этого сайта) можно активировать заново. Что-то типа бомбы замедленного действия. JS воины пля
Здравствуйте, scf, Вы писали:
scf>В репозитории на гитхабе начали добавлять малварь, включая деструктивную, которая срабатывает при запуске софта в РФ.
S>>Владелец в своём праве. Разработай что-нибудь сам и не пускай контрибьютить жителей Европы, США, или Украины.
НС>Уверен? Так я напомню, что один из топов того самого гитхаба недавно призывал бойкотировать проекты, в командах которых нет черных, женщин и/или ЛГБТ.
А чем закончилось? Собака лает — караван идет. Или был какой-то реальный результат. Потому что на очередного балабола насрать.
R>>В таком случае любой сколько-нибудь крупный проект — либо "адское говнище", либо еле шевелится и не развивается. Потому что либо все всем доверяют и каждый вносит свой вклад, в результате чего проект довольно активно движется и обрастает участниками, но любой мудак может в него насрать и сделать плохо всем. Либо все за всеми следят в результате проект еле шевелится, потому что чем больше участников — тем медленнее вносятся изменения и новые участники тоже добавляются с трудом — велик порог входа (такая ситуация, например, в Debian, там стать мейнтейнером — пройти несколько кругов ада и проще создать свой репозиторий, зато код проверяют довольно тщательно).
M>Я так назвал именно веб-инфраструктуру за то, что в отличие от Debian, ядра Linux и прочих привычных операционных систем и софта в них, она подразумевает, что все эти скрипты все время апдейтятся и подгружаются со сторонних сайтов. Более того, чтобы все сделать статично и загружать со своих серверов надо приложить определенные усилия. В результате удивительно действительно не то, что подобные истории происходят, а что они все же еще достаточно редкие.
После разных историй типа чувак удалил свои репозитории потому что его задолбали особо политкорректные, а затем кто-то другой создал репозитории с тем же названием и зловредами внутри, репозитории в разных языках стали делать так, чтобы туда что-то троянское было добавить довольно сложно. Сейчас когда ты используешь внешние пакеты, для них высчитывается хеш и эта информация распространяется с твоими исходниками (в виде файла с версиями установленных пакетов и их хешами). В результате при клонировании твоего репозитория, все зависимости скачаются не просто той же версии, а побайтно одинаковые с тем, что было у тебя (даже если ссылка на твой пакте ведет на github).
Кроме того, в OpenSource мудаков-фанатиков не так много. И даже в случае с node-ipc информация о трояне стала оперативно известна, а мейнтейнеры vue-cli отреагировали рационально (сами зафиксировали версию внешнего пакета на варианте без трояна).
Так что таких событий не избежать, но они довольно редкие и исправляют ситуацию довольно оперативно.
В идеале я еще хочу, чтобы их прокуратура отреагировала на эти события. Ах, мечты, мечты...
Здравствуйте, Reset, Вы писали:
R>В ядре Linux не так давно была похожая история — чудаки из универа решили добавить туда багов и написали отчет, как хреново разработчики ядра следят за кодом, который в него добавляют (их коммиты пропустили).
И таки формально они правы. См байку про хакера и солонки в столовой.
R> Мудаков оперативно забанили, их коммиты стали тщательно проверять. Короче, куча работы из-за очередных ушлепков.
Хорошо что эти ушлёпки были в общем то безобидными, а не серьёзными дядьками с весьма нехорошими намерениями.
Здравствуйте, CreatorCray, Вы писали:
CC>Вроде бы первым сломавшим все интернетики был аффтар мегасложного кода leftpad. CC>Я ещё тогда фейспалмил от идиотов, которые будут подключать сторонний модуль хз откуда для такой элементарнейшей вещи.
Так это их гуру научили, про повторное использование кода. Хотя тут еще надо додуматься поискать такой пакет.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, L.K., Вы писали:
scf>>завести уголовные дела по 272й статье
LK>Зачем? Просто для галочки? Или забугорная полиция будет помогать расследованию?
Если эти умники, не успели сдрыснуть с Украины, то хватит российской полиции.
Если раньше от любой либы можно было ждать просто ошибок, то сейчас брать не провернный код стало опасно.
Я после этих событий скачивая обработку для 1С на всякий случай пробежал глазами по коду, чтобы явного говна не было.
Теперь чужой код минное поле.
Фишка опен-сосрса померла.
Если коротко, то fork+fix
Если длинно, то: вот тебе нужен некий опенсорц софт. Ты на него завязан. Крепко сидиш. В софте появляется некое говно. Что тебе будет дешевле — найти и внедрить чтото другое или нанять программиста/отсорс контору, которые форкнут и будут по мере необходимости черрипикать изменения из оригинального репозитория?
Как по мне, так всё зависит от глубины этой вязанки сосисек, которую уже успел проглотить. Если первая всего лишь только в желудке, то можно и вытащить аккуратно. И попробовать найти другие сосиски. Ну, если они вообще есть.
А вот если первая уже недалеко от выхода, то сами понимаете...
Здравствуйте, serj.e, Вы писали:
SE>Тю, проснулись, едрёнть. Китай с 2004-го года начал прорабатывать эти вопросы. И Harmony на замену трансгендерному ведру не просто так делают, а с полным пониманием целей и задач.
У нас тоже разрабатывается "Аврора" (купленная у Nokia), но пока как-то вяло. И зачем было Яндекс.Стор закрывать? Хотели сэкономить, так лучше бы тогда мразотный сервис TheQuestion раздавили (зачем этот гадюшник нужен кому-то кроме кучки русофобов, непонятно; никакой прибыли не приносит, в отличие от Дзена).
Как запру я тебя за железный замок, за дубовую дверь окованную,
Чтоб свету божьего ты не видела, мое имя честное не порочила…
М. Лермонтов. Песня про царя Ивана Васильевича, молодого опричника и удалого купца Калашникова
Здравствуйте, graniar, Вы писали:
G>А фишка оупенсорса в том, что множество людей проверяют код на закладки, и чем код популярнее, тем больше людей его проверили.
Гы, нет.
И мы уже в этом неоднократно имели возможность убедиться.
Здравствуйте, graniar, Вы писали:
G>- Она бесполезна, я слышал историю, как у одного альпиниста страховочный трос порвался.
Нет, это как забить на самостоятельную проверку что твой экип в порядке обосновывая тем, что на эту скалу уже множество альпинистов лазило.
Все эти басни про "миллионы мух" не гарантируют вообще ничего.
G>К тому же в обсуждаемом кейсе закладку как раз обнаружили и обезвредили благодаря открытости
И совсем не потому что она у кучи народа взорвалась и только потом полезли искать "что это там так бумкнуло?", нет!
