JF
Andrey Listochkin
Голангистам-аквалангистам это расскажи
А безопасность? Посмотрел код пакета, поставил. А потом под тем же урлом заливают бекдор и при следущем ребилде/инстале у нас вредоносный код
Size: a a a
2020 May 26
AL
А безопасность? Посмотрел код пакета, поставил. А потом под тем же урлом заливают бекдор и при следущем ребилде/инстале у нас вредоносный код
В Гитхабе можно ж ссылки на конкретный коммит иметь.
JF
Так а кто будет ставить ссылки на комит
JF
:)
JF
Если документация будет говорить что вот берете такой урл и пишите
AR
А безопасность? Посмотрел код пакета, поставил. А потом под тем же урлом заливают бекдор и при следущем ребилде/инстале у нас вредоносный код
Эта угроза существует везде
JF
Эта угроза существует везде
А если я залочил версию?
JF
Есть немного больше веры что нпм мне не отдаст новый код под старой версией
JF
Хотя я не вникал и если ошибаюсь то слишком много доверял npm
AR
Есть немного больше веры что нпм мне не отдаст новый код под старой версией
Не отдаст. Отдаст новый код с патчем который скачается сам, потому что какая-то из зависимостей в твоём дереве имеет не фиксированные версии
JF
Если не лочить версии
JF
Что относительно легче чем копировать урл с коммит хешом
AR
Что относительно легче чем копировать урл с коммит хешом
Уверен что у тебя сейчас все 100% зависимостей залочены?
JF
Уверен что у тебя сейчас все 100% зависимостей залочены?
Ага
JF
Но не везде
JF
Те проекты где я не один – все плохо ))
JF
Люди продолжают спотыкаться
JF
Недавно вот uuid
SФ
А зависимости зависимостей?
AR
Ага
Я говорю о пакетах, которые не в твоём package.json