В npm нашли пакеты, умышленно уничтожающие данные

[Kahelman]

Никогда такого не было и вот опять….

Сначала били пользователей по рукам, чтобы они не загружали непонятно что из интернета и не запускали.

Потом разработчики сами стали непонятно что загружать и встраивать в код.

Кто бы мог подумать, что идея тащить непонятно что непонятно откуда может плохо кончится?

[granv1]

новое, цветочное поколение, сэр

[Raly]

npm install — и твой проект ушёл в отпуск без обратного билета. Похоже, теперь package.json — это не просто список зависимостей, а список предателей)) Пора вводить команду npm trust-but-verify!

[Andrey_Solomatin]

Кто её будет выполнять? В интеренет же написанно делай npm install.

Пробема решается через прокси, которые добавляют только проверенные пакеты или через проверки на CI, которые запрещают непроверенные пакеты. Сложно, не надёжно, но лучше, чем без защиты.

[Raly]

про npm trust-but-verify это был легкий сарказм)) Прокси и CI-проверки надёжная цепочка поставки, а еще лучше неизвестные в отдельном контейнере качать)

[max9]

в интернетах еще sudo curl ... | bash пишут. не повод так делать.

[Vindicar]

Интересно, а как у pypi дела...

[ALapinskas]

Судя по названиям - для умышленного уничтожения системы. Была же статья про саботажника.

[Lezvix]

По этому всю разработку лучше вести в docker контейнерах, заодно и окружение настраивать не придётся

[isumix]

Запускаю каждый проект в отдельном контейнере с доступом только к своей дирректории по этой причине, чтобы минимизировать потери. И бэкапы, бэкапы...