JF
Я говорю о пакетах, которые не в твоём package.json
Тогда не уверен
Size: a a a
2020 May 26
JF
Но есть же механизм
JF
То что люди не используют поворотник не делает машины плохими :)
EL
а антивирус для npm ещё не изобрели?
SФ
а антивирус для npm ещё не изобрели?
Давно
JF
npm audit
EL
Давно
серьёзно?
EL
я вообще пошутил
EL
но жизнь смешнее шуток конечно
SФ
Но есть же механизм
Ну ты выше писал очень уверенно )
JF
JF
Признал ошибку )
EL
npm audit
если я правильно понял документацию, ты можешь это делать вручную, а я скорее про эвристику, ну как фоновый антивирус в винде
EL
который бы при любом обновлении любой зависимости чекал бы что-то
JF
так оно и чекает
EL
так оно и чекает
ну так тут вроде обсуждают кейс, когда ты со своим ручным чеком ничего не исправишь)
SR
snyk чекает опенсорс бесплатно
JF
я к тому что можно локнуть версии и случайно свежий код не попадет, и к этому легко придти средствами npm, плюс он проводит аудит пакетов при установке/апдейте и ты моежшь увидеть что появился небезопасный код
JF
мое имхо, доверия больше пакетному менеджеру чем просто ссылкам
EL
я к тому что можно локнуть версии и случайно свежий код не попадет, и к этому легко придти средствами npm, плюс он проводит аудит пакетов при установке/апдейте и ты моежшь увидеть что появился небезопасный код
а какой конкретно кейс того, что злоумышленник перезалил код под той же версией, и тебе придёт вместо проверенного тобой кода другой?