• opensource JS психи npm Marak, разработчик faker.js сошёл с ума. Буквально.

    Он снёс faker.js и напакостил в colors.js, ещё одной своей библиотеке:

    github.com

    Добавил DDoS. Нюанс в том, что эти две библиотеки являются зависимостями огромнейшего числа других библиотек и утилит.

    Ну и что, спросите вы?

    А ничего. Завтра аналогичный пидараст внедрит в очередной npm-пакет вредоносный код — и пизда вам.

    Юзайте Vscode + Devcontainer и сносите нахрен Node.js со своих машин. Это не для десктопов с кучей конфиденциалки, это опасно. Сделайте это, пока не поздно (я уже).
    ♡ recommended by @Anonymous, @BradleyManning

Replies (17)

  • @janPona, программист, подключающий npm на очередном проекте: 64.media.tumblr.com
  • @janPona, @janPona потому что идеи а) автообновления не глядя б) ручного обновления просто потому что вышла новая версия или просто так для галочки в) не чтения ченжлогов г) не чтения изменений в коде — совершенно пагубны и чреваты звездецом. Весь код, каждая подключаемая строчка — это прежде всего код за который вы в проде отвечать будете, а не какой-то автор пакета. Странно почему это не очевидно любому трейни с улицы.
  • @janPona, лол abc7ny.com это было несколько месяцев назад
  • @lurker, А, понятно. Обыкновенный коммунистишка-неудачник. Сцук, интеллигенция в США — это боль. Через одного: или воинствующий ниггер, или трап, или краснопузик.
  • @Anonymous, Трейни-фигни. Так и представил сыньора-помидора, с 9 до 17 читающего чейнджлоги и исходники стапятисот зависимостей. Увы! В мире, где короткий time to market приравнивается к успеху, на это ни у кого нет времени — сам видел. Да и не поможет чтение чейнджлогов в случае, когда автор злонамеренного пакета захочет сделать реальную пакость. Он этот код даже в гитхабе не покажет — запаблишит трояна вручную да и всё.

    Локфайлы, конечно, спасают, если на них не забивать. Но есть такие вполне легальные практики, когда локфайлы не учитываются, кстати.
  • @janPona, Заглянул в комменты — пойду промою глаза
  • @janPona, @janPona а npm ещё не задеприкейтил возможность удаления пакетов?
  • @Anonymous, Задепрекейтил. Но удаление это даже не половина проблемы.

    Я рядом написал целый лонгрид о том, как версия пакета может проапдейтиться, даже если мы этого явно не просили. И вот как раз в новой версии может приехать троян.
  • @janPona, @janPona ну вот поэтому и происходят эти факапы — бОльшая часть индустрии выбирает не качество, а количество/скорость, здесь нечему удивляться. Покуда это одноразовое говно на коленке вопросов нет, если это очень большой и важный продакшен, чреватый жизнями или миллиардами/экономикой, то это уже преступное бездействие, халатность, непрофпригодность и некомпетентность — не делать то что описано выше.
  • @Anonymous, Не индустрия такая, клиенты такие:(
    Посади кодера в уголке — он с привеликим удовольствием будет код выдрачивать до блеска.
    Только кто ж посадит — его кормить надо.
  • @BradleyManning, @BradleyManning никто не обязывает вписываться к говноклиентам, не клиенты такие, индустрия такая, клиент кидает кость со стола и среднестатистический недодевелопер чтобы не сдохнуть с голода готов душу продать и любое говно писать, соучастник в общем-то, а не невинный сферический конь в вакууме. Но клиент, кстати говоря, обычно все же ожидает что команда следит за безопасностью, обновлениями и т.д. Это обычно факап команды — не доносить внятно сроки и эффорт на те или иные действия, которые клиент ожидает, но прямым текстом не озвучивает п.ч. вроде бы и так очевидно (с его колокольни конечно же, вас ж не нанимают писать заведомо протухший и заведомо небезопасный код?)
  • @Anonymous, ну если хороший кодер может и да, а неумеху типа меня только для написания заведомо протухшего и небезопасного кода и нанимают
  • @Anonymous, вас ж не нанимают писать заведомо протухший и заведомо небезопасный код
    По прочтении кода создаётся впечатление, что именно за этим и нанимают. Продуктовый код — он очень часто такой. Кстати говоря, слышал, что в проектах фреймворков — по-другому.

    Ну и хочется верить в лучшее и думать, что софт для медицины и авиации тщательнее вылизан. Боинги же не падают просто так. Ой.
  • @BradleyManning, @BradleyManning на самом деле нет, в таком случае это только твое несоответствие ожиданиям заказчика, никто в здравом уме не нанимает писать тухлый и небезопасный код, ты в магазин приходишь яйца же не покупаешь тухлые, на них даже не должно быть написано что они свежие. Иначе это потом и перерастает в неадекватные вакансии от эйчаров где явно прямым текстом пишут требования к коду что он должен быть актуальный, безопасный и прочее. Будто может/должно быть как-то иначе по-умолчанию. Делай хорошо, будет хорошо.
  • @janPona, @janPona это либо твои факапы если не учел либо руководства которое коммуницировать эти моменты должно. Я не говорю что это обязаловка каждого девелопера следить, но это обязаловка прямого технического и нетехнического руководства — лида, архитекта, менеджера. Если тех. руководство не следит и не коммуницирует лучше бежать прочь, потому что эти же люди потом девелоперов будут крайними делать в любых факапах.
  • @Anonymous, У нас никогда не делают — девелоперы очень защищены. Но давление в духе "не надо нормально, надо из говна и палок, но быстро" — постоянно
  • @BradleyManning, @BradleyManning покуда это не финансовая система, экономика, медицина и прочее, как уже сказано, где на кону очень большие деньги или здоровье людей, т.е. пока это условные пилы бабла ни о чем то ради бога, таких проектов очень много, менеджменту как-то нужно осваивать бюджет и девелоперы в нем только одно из звеньев. Самое главное на нормальных проектах с порога формошлепов безответственных отсеивать, оно формирует культуру определенную и человеку десятки лет занимающимся говнокодингом будет сложно с порога перестать мыслить категорией похуй и так сойдет.