Size: a a a

2020 May 26

JF

Jelly Fish in BeerJS Summit
Andrey Listochkin
Голангистам-аквалангистам это расскажи
А безопасность? Посмотрел код пакета, поставил. А потом под тем же урлом заливают бекдор и при следущем ребилде/инстале у нас вредоносный код
источник

AL

Andrey Listochkin in BeerJS Summit
Jelly Fish
А безопасность? Посмотрел код пакета, поставил. А потом под тем же урлом заливают бекдор и при следущем ребилде/инстале у нас вредоносный код
В Гитхабе можно ж ссылки на конкретный коммит иметь.
источник

JF

Jelly Fish in BeerJS Summit
Так а кто будет ставить ссылки на комит
источник

JF

Jelly Fish in BeerJS Summit
:)
источник

JF

Jelly Fish in BeerJS Summit
Если документация будет говорить что вот берете такой урл и пишите
источник

AR

Alexey Raspopov in BeerJS Summit
Jelly Fish
А безопасность? Посмотрел код пакета, поставил. А потом под тем же урлом заливают бекдор и при следущем ребилде/инстале у нас вредоносный код
Эта угроза существует везде
источник

JF

Jelly Fish in BeerJS Summit
Alexey Raspopov
Эта угроза существует везде
А если я залочил версию?
источник

JF

Jelly Fish in BeerJS Summit
Есть немного больше веры что нпм мне не отдаст новый код под старой версией
источник

JF

Jelly Fish in BeerJS Summit
Хотя я не вникал и если ошибаюсь то слишком много доверял npm
источник

AR

Alexey Raspopov in BeerJS Summit
Jelly Fish
Есть немного больше веры что нпм мне не отдаст новый код под старой версией
Не отдаст. Отдаст новый код с патчем который скачается сам, потому что какая-то из зависимостей в твоём дереве имеет не фиксированные версии
источник

JF

Jelly Fish in BeerJS Summit
Если не лочить версии
источник

JF

Jelly Fish in BeerJS Summit
Что относительно легче чем копировать урл с коммит хешом
источник

AR

Alexey Raspopov in BeerJS Summit
Jelly Fish
Что относительно легче чем копировать урл с коммит хешом
Уверен что у тебя сейчас все 100% зависимостей залочены?
источник

JF

Jelly Fish in BeerJS Summit
Alexey Raspopov
Уверен что у тебя сейчас все 100% зависимостей залочены?
Ага
источник

JF

Jelly Fish in BeerJS Summit
Но не везде
источник

JF

Jelly Fish in BeerJS Summit
Те проекты где я не один – все плохо ))
источник

JF

Jelly Fish in BeerJS Summit
Люди продолжают спотыкаться
источник

JF

Jelly Fish in BeerJS Summit
Недавно вот uuid
источник

Sergey Фrolov in BeerJS Summit
А зависимости зависимостей?
источник

AR

Alexey Raspopov in BeerJS Summit
Я говорю о пакетах, которые не в твоём package.json
источник