Comments 19
Так а в чем предложение-то состоит? Как надо сделать? Как обогащение стандартной библиотеки защитит от атаки на просто популярные пакеты и как некая линуксовая модель распространения применима к библиотекам языка?
Решение, которое первым приходит в голову:
не хранить все ключи вперемешку в одном файле .env
если не получается использовать что-то типа Vault, а надо хранить именно ключи, достаточно было бы файла secrets.json со структурой "ключ => компоненты, которым разрешен к этому ключу доступ" и механизма доступа к этим ключам из папки secrets
Я так понимаю речь идет о том, чтобы функционал самых распространенных и при этом небольших пакетов включить в стандартную библиотеку. Хотя это не решит проблему полностью, но снизит вероятность негативных последствий да и сами последствия. Мелкие пакеты содержащие несколько простых но полезных функций - основной вектор атаки. Часто они поддерживаются единственным разработчиком, который не всегда серьезно относится к безопасности. А когда такой пакет добавляют в зависимости из сотни других пакетов, это приводит к тому, что вероятность получения зловредного кода сильно возрастает.
Ни в чем. У автора оригинальной статьи следующая статья называется Cloudflare bankrolls fascists. Человек просто любит писать громкие заголовки и пустые статьи.
Еще и ANTIFA пиарит у себя в блоге. Удачи ему.
Я понял посыл, как "у Микрософт много денег, пусть они сделают хорошо и безопасно".
Чувак по-моему просто ненавидит (других) разработчиков
I don’t trust developers to publish software with my best interests in mind, and developers shouldn’t ask for that level of trust.
и не понимает что его линуксовая модель не применима даже для бинарников, потому что пока вы не раскрутите свой софт, в том числе собирая все deb-rpm-appimage-flatpak самостоятельно, никакой дистр собирать за вас не начнет
Технические подробности атаки можно прочитать здесь: https://www.stepsecurity.io/blog/ctrl-tinycolor-and-40-npm-packages-compromised
Как и у России
Не даёт покоя некоторым сделать из нормальной системы очередной .NET Framework. Хорошо, что этот фарш назад уже не прокрутить
Это у JavaScript-то нормальная экосистема? Не смешите. Нет ничего более хаотичного и непостоянного, чем js. В .NET конечно полная беда с депрекейтед компонентами и неймингом своих нововведений, но они хотя бы в верном направлении развиваются(в качестве подтверждения - большинство последних обновлений Java скопировала).
Очередгая. заранее проигранная, битва с дураками, ибо сказано: сколько не прикручивай защит от дураков, всегда найдутся более продвинутые дураки.
Пст.
Проходи мимо. Питонист пишет про некий JavaScript. Статья водичка чистая. Ещё лучше, ставь минус данной статье.
Несмотря на отсутствие предложений по решению проблемы, в данной статье действительно затрагивается довольно актуальная тема. Вспомните недавние статьи о куче вредоносных NPM пакетов. Об этом нужно говорить, и нужно предлагать пути решения. Один из вариантов - создание безопасного репозитория, в котором проверяется каждый включённый пакет. Пакеты, не включённые туда, можно будет установить на свой страх и риск. Проблема в реализации такого подхода. Понятно, что для ручной проверки ресурсов не хватит. Если кто-то будет это финансировать, возможно, проблема решится. Но во многих случаях компании просто дорабатывают существующие пакеты под свои нужды
Прочитав про антифа статьи автора стало ясно, что статья бред не просто так. Но если по фактам, то в чем может быть роль дистрибутора пакетов для скриптовых языков? Скачать сорцы с GitHub и перелить без изменений в npm?
Схема с отдельным дистрибутором живет только потому, что для бинарных зависимостей неочевидны изменения внесенные в готовый код перед сборкой. Да и на самом базовом софте банкет-то и заканчивается. Нужно поставить что-то свежее предлагаемого копролита - добавляй левые PPA, собирай из непроверенных сорцов, запускай под рутом сетевые скрипты установки.
Ах, опять эти старческие вздохи о том, как "раньше трава была зеленее, а зависимости - надёжнее". Автор так трогательно нарисовал картину апокалипсиса в node_modules, что я чуть не пролил смузи на свой MacBook. Кажется, кто-то открыл для себя практики 30-летней давности и теперь пытается научить нас, инноваторов, жить.
Разработайте стандартную библиотеку!
Серьёзно? Стандартная библиотека? Это так... по-джавистски.
Консолидируйте микробиблиотеки!
Автор просто не понимает всей красоты атомарности. Каждый пакет - это произведение искусства, решающее одну-единственную задачу.
Учитесь у дистрибутивов Linux!
О да, давайте превратим npm в забюрократизированный редмондский кошмар с "сопровождающими", "сетями доверия" и "воспроизводимыми сборками". Звучит ужасно медленно.
Никто не извлечет уроков
А вот тут - бинго! Единственная здравая мысль во всей статье. Конечно, не извлечет. Потому что извлекать нечего. "Атака на цепочку поставок" — это просто цена, которую мы платим за жизнь на передовой прогресса. Сломалось? Починим. Взломали? Накатим 2FA (как автор и предсказал, кстати, гений аналитики) и побежим дальше.
Так что спасибо автору за заботу, но мы, пожалуй, откажемся от его "здравого плана". У нас тут своя атмосфера: динамичная, хаотичная и весёлая.
У JavaScript не будет прекрасного будущего