Size: a a a

2020 May 26

JF

Jelly Fish in BeerJS Summit
Alexey Raspopov
Я говорю о пакетах, которые не в твоём package.json
Тогда не уверен
источник

JF

Jelly Fish in BeerJS Summit
Но есть же механизм
источник

JF

Jelly Fish in BeerJS Summit
То что люди не используют поворотник не делает машины плохими :)
источник

EL

Evgeniy Lazarev in BeerJS Summit
а антивирус для npm ещё не изобрели?
источник

Sergey Фrolov in BeerJS Summit
Evgeniy Lazarev
а антивирус для npm ещё не изобрели?
Давно
источник

JF

Jelly Fish in BeerJS Summit
npm audit
источник

EL

Evgeniy Lazarev in BeerJS Summit
Sergey Фrolov
Давно
серьёзно?
источник

EL

Evgeniy Lazarev in BeerJS Summit
я вообще пошутил
источник

EL

Evgeniy Lazarev in BeerJS Summit
но жизнь смешнее шуток конечно
источник

Sergey Фrolov in BeerJS Summit
Jelly Fish
Но есть же механизм
Ну ты выше писал очень уверенно )
источник

JF

Jelly Fish in BeerJS Summit
Переслано от Jelly Fish
Тогда не уверен
источник

JF

Jelly Fish in BeerJS Summit
Признал ошибку )
источник

EL

Evgeniy Lazarev in BeerJS Summit
Jelly Fish
npm audit
если я правильно понял документацию, ты можешь это делать вручную, а я скорее про эвристику, ну как фоновый антивирус в винде
источник

EL

Evgeniy Lazarev in BeerJS Summit
который бы при любом обновлении любой зависимости чекал бы что-то
источник

JF

Jelly Fish in BeerJS Summit
так оно и чекает
источник

EL

Evgeniy Lazarev in BeerJS Summit
Jelly Fish
так оно и чекает
ну так тут вроде обсуждают кейс, когда ты со своим ручным чеком ничего не исправишь)
источник

SR

Sergey Rubanov in BeerJS Summit
snyk чекает опенсорс бесплатно
источник

JF

Jelly Fish in BeerJS Summit
я к тому что можно локнуть версии и случайно свежий код не попадет, и к этому легко придти средствами npm, плюс он проводит аудит пакетов при установке/апдейте и ты моежшь увидеть что появился небезопасный код
источник

JF

Jelly Fish in BeerJS Summit
мое имхо, доверия больше пакетному менеджеру чем просто ссылкам
источник

EL

Evgeniy Lazarev in BeerJS Summit
Jelly Fish
я к тому что можно локнуть версии и случайно свежий код не попадет, и к этому легко придти средствами npm, плюс он проводит аудит пакетов при установке/апдейте и ты моежшь увидеть что появился небезопасный код
а какой конкретно кейс того, что злоумышленник перезалил код под той же версией, и тебе придёт вместо проверенного тобой кода другой?
источник