Фирма JFrog, занимающаяся безопасностью DevOps, обнаружила 17 новых вредоносных пакетов в репозитории npm (диспетчер пакетов Node.js), которые намеренно стремятся атаковать и украсть токены Discord пользователя.
«Mini Questions»: проблема обработки большого количества запросов с помощью Java и NodeJS
1 мин
16 декабря приглашаем всех желающих посетить последнюю встречу Miniq в 2021 году.
Miniq (событие формата «Mini Questions») регулярно проводится по инициативе Витебского IT-сообщества (Беларусь), с целью обмена опытом и подразумевает неформальное общение и короткие выступления спикеров с самыми нетривиальными докладами. Проводится бесплатно в формате онлайн является международным русскоязычным мероприятием для дискуссий и обмена опытом.
Для участия необходима регистрация.
Пакет pac-resolver с 3 млн загрузок закрыл серьезную уязвимость
1 мин
В пакете pac-resolver с тремя миллионами загрузок еженедельно обнаружена уязвимость, которая позволяла выполнять произвольный код в проекте Node.js всякий раз, когда он пытается сделать HTTP-запрос. Уязвимость затрагивала приложения Node.js с функцией автонастройки прокси-сервера.
У пустого пакета npm «-» обнаружили 700 тысяч загрузок
2 мин
Эксперты Bleeping Computer обнаружили, что у пустого пакета npm «-» более 700 тысяч загрузок. Причем их количество все время возрастает с каждым днем. Вероятно, разработчики и пользователи его случайно устанавливают, когда ставят лишний пробел между «i» и "-" при установке флагов в нужных им пакетах с помощью пакетного менеджера npm.
В популярной NPM-библиотеке netmask обнаружена критическая уязвимость
1 мин
В популярном npm-пакете node-netmask нашли уязвимость, которая позволяет обойти ограничение доступа к IP-адресам и провести атаку SSRF, RFI или LFI на приложение на базе Node.js. Уже выпущен патч.
Мажорный MeteorJS 2.0: HMR, Cloud и другое
3 мин
Команда MeteorJS выпустила новую версию фреймворка 2.0, а вместе с ним новую платформу Meteor Cloud.
Fwdays'20: Node.js Middleware – никогда больше
1 мин
В конце сентября в онлайне прошла конференция JavaScript Fwdays'20 Autumn, на которой я сделал доклад про проблемы мидлваров. После доклада меня почти каждый день просят ссылку на видео. И вот, наконец, его выложили в открытый доступ. Доклад чуть больше часа.
Встречайте Node.js 14.0.0
1 мин
Вышла версия Node.js 14.0.0. Эта версия будет жить долго, до апреля 2023 года, и сейчас в ней еще не появилось всех ожидаемых нами новшеств. Они будут постепенно появляться летом, а 19 октября 14 версия станет LTS.
Релиз Meteor 1.9
1 мин
9 января состоялся долгожданный релиз Meteor версии 1.9.
Данный релиз, в первую очередь, направлен на обновление NodeJS до 12 версии, так как предыдущие версии метеора работали на 8 версии ноды, у которой закончился срок LTS.
Так как NodeJS 12 не поддерживает 32-битный Linux, Meteor 1.9 так же прекращает поддержку данной архитектуры. Это означает, что начиная с версии 1.9 метеор поддерживает Mac/Linus x64, Windows x32/x64.
Чтобы обновить проект до последней версии необходимо выполнить в директории проекта команду:
Не забудьте обновить NodeJS на ваших серверах/контейнерах, где запускается приложение!
Важные изменения
Данный релиз, в первую очередь, направлен на обновление NodeJS до 12 версии, так как предыдущие версии метеора работали на 8 версии ноды, у которой закончился срок LTS.
Так как NodeJS 12 не поддерживает 32-битный Linux, Meteor 1.9 так же прекращает поддержку данной архитектуры. Это означает, что начиная с версии 1.9 метеор поддерживает Mac/Linus x64, Windows x32/x64.
Чтобы обновить проект до последней версии необходимо выполнить в директории проекта команду:
meteor update
Не забудьте обновить NodeJS на ваших серверах/контейнерах, где запускается приложение!
Релиз Meteor 1.8.3 и последние новости
4 мин
Давно ничего не слышно по поводу метеора на хабре, хотя фреймворк развивается. Сегодня вышла версия 1.8.3. Хочу рассказать о последних релизах и новостях вокруг метеора.
Обнаружен уникальный троянец на Node.js
2 мин
В лаборатории «Доктор Веб» исследован троянец-загрузчик, написанный на JavaScript и использующий для запуска Node.js. Вредоносное ПО распространяется через сайты с читами для популярных видеоигр и получило название Trojan.MonsterInstall.
Linux Foundation запустил «перезагрузку» JavaScript-сообщества
2 мин
Linux Foundation объявила о масштабном проекте по поддержке JS-сообщества. Новая организация JS Foundation (бывший jQuery Foundation) станет площадкой для сотрудничества и развития открытых проектов, связанных с использованием языка JavaScript. Целью проекта также является продвижение высококачественных стандартов разработки как серверных, так и клиентских JS-проектов.
Руководство нового организации также будет опираться на стандарты W3C, WHATWG, и ECMA TC39, которые приняты разработчиками и вендорами во всем мире.
Более того, JS Foundation запускает программу наставничества (Mentorship Program), которая как раз поможет достичь поставленных целей: она позволит укрепить сообщество и активизировать сотрудничество между JS-разработчиками.