Как стать автором
Обновить

Facebook и Google выпустили Yarn, новый менеджер пакетов для JavaScript

JavaScript *Программирование *


Вчера вечером Facebook официально анонсировала новый пакетный менеджер для JavaScript под названием Yarn. На одной из стадии разработки к проекту подключились компании Google, Exponent и Tilde.

«Самый популярный менеджер пакетов JavaScript — это NPM. Он обеспечивает доступ более чем к 300 тысячам пакетов. Используют его более 5 миллионов разработчиков, а ежемесячно к нему обращаются для загрузки более 5 миллиардов раз.

Мы успешно использовали NPM в Facebook в течение многих лет, но так как объем нашего кода и число разработчиков выросло, мы столкнулись с проблемами последовательности, безопасности и производительности. После попытки решить все эти вопросы, мы пришли к намерению создать собственное решение, чтобы обеспечить надежность управления разработкой. Итогом этой работы стал Yarn — быстрая, надежная и безопасная альтернатива клиенту NPM», — говорится в официальном блоге Facebook о новинке.
Читать дальше →
Всего голосов 50: ↑42 и ↓8 +34
Просмотры 41K
Комментарии 115

GitHub купил npm

Блог компании JUG Ru Group JavaScript *GitHub *


Пакетный менеджер npm становится частью GitHub. Объявления об этом появились и в блоге GitHub, и в блоге npm.

В блоге npm основатель проекта Айзек Шлютер подчёркивает «npm, который вы знаете, никуда не девается». Он выражает уверенность, что для проекта это перемена к лучшему, и сообщает, что сам продолжит работать над ним.
Читать дальше →
Всего голосов 48: ↑46 и ↓2 +44
Просмотры 12K
Комментарии 25

Ещё один однострочный пакет npm сломал экосистему JavaScript

Блог компании ITSumma Open source *JavaScript *Программирование *
В субботу обновление маленькой библиотеки is-promise вызвало переполох в значительной части экосистемы JavaScript. Зависимости от сломанной библиотеки встроены в 3,4 миллиона проектов. Это уже второй раз, когда крошечный проект JavaScript вызывает проблемы такого масштаба.

Библиотека is-promise состоит из двух строк кода, а разработчики могут использовать её в своих проектах с помощью однострочного вызова.

declare function isPromise<T, S>(obj: Promise<T> | S): obj is Promise<T>;
export default isPromise;

Предназначение библиотеки состоит в проверке, что JavaScript-объект является типом Promise, то есть представляет собой конечное завершение асинхронной операции и её результирующее значение.
Всего голосов 49: ↑43 и ↓6 +37
Просмотры 18K
Комментарии 79

Из каталога NPM удалили четыре зловредных пакета

JavaScript *Программирование *


В четверг, 16 октября, команда безопасности npm удалила с портала четыре пакета JavaScript, содержащие вредоносный код.

Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 5.8K
Комментарии 13

У пустого пакета npm «-» обнаружили 700 тысяч загрузок

Open source *Node.JS *GitHub *Разработка под Linux *


Эксперты Bleeping Computer обнаружили, что у пустого пакета npm «-» более 700 тысяч загрузок. Причем их количество все время возрастает с каждым днем. Вероятно, разработчики и пользователи его случайно устанавливают, когда ставят лишний пробел между «i» и "-" при установке флагов в нужных им пакетах с помощью пакетного менеджера npm.
Читать дальше →
Всего голосов 25: ↑22 и ↓3 +19
Просмотры 12K
Комментарии 7

Специалисты Sonatype обнаружили NPM-пакеты, распространявшие под видом Noblox.js вымогательское ПО и инфостилеры

Информационная безопасность *JavaScript *

Не успели специалисты Sonatype обнаружить в этом месяце вредоносное ПО для майнинга криптовалюты в трех JavaScript-библиотеках, загруженных в официальный репозиторий NPM, как появилась новая напасть. Речь пойдет о еще двух NPM-пакетах — noblox.js-proxy и noblox.js-proxies. Злоумышленники воспользовались известным способом, когда написание слова очень близко к написанию известных названий, в данном случае — пакета Noblox.js.proxied. Или так называемый тайпсквоттинг, когда злоумышленник или просто ловкий делец пользуется ошибками в написании, при которых не сразу заметна ошибка, и пользователь считает легитимным написание того или иного названия, в данном случае API обертку для Roblox под названием noblox.js-proxied.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 1.5K
Комментарии 0

Автор faker.js и colors.js намеренно сломал свои пакеты

Open source *Программирование *Node.JS *Монетизация IT-систем *Монетизация веб-сервисов *

Рисунок Injustice художника Baysal

Пользователи пакетов faker.js и colors.js, зависимость от которых имеют тысячи проектов, заметили аномалии в работе. В коде пакетов появился бесконечный цикл, который нарушал нормальную работу программ и выводил бессмыленные данные в консоль. Изначальные предположения о компрометации доступа разработчика не подтвердились: эти изменения внёс сам автор. Его более ранние публикации позволяют говорить, что этот саботаж — проявление несогласия с коммерческим использованием его открытых проектов.
Читать дальше →
Всего голосов 31: ↑30 и ↓1 +29
Просмотры 43K
Комментарии 133

Популярность npm-пакета '-' продолжает расти

Блог компании Дата-центр «Миран» Информационная безопасность *Open source *


В августе 2021 года внимание сообщества привлёк странный однобуквенный пакет '-' («минус»), у которого было более 700 000 скачиваний и 56 входящих зависимостей, то есть на тот момент 56 других пакетов зависели от «минуса».

Особую загадочность делу придавал тот факт, что пакет был по сути пустой и не содержал ничего, кроме шаблонных конструкций (название, номер версии и т. д.).

За прошедшее время популярность «минуса» значительно выросла. На 11 марта 2022 года (16:00) от него зависят уже 185 пакетов.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 9.7K
Комментарии 3

Исследователи обнаружили «фабрику» вредоносных пакетов npm

Информационная безопасность *

Checkmarx обнаружили угрозу, связанную с деятельностью злоумышленника RED-LILI, отметившегося созданием и доставкой сотен вредоносных пакетов в экосистему NPM в режиме автоматизации, что вызывает серьёзные опасения в контексте атак на цепочки зависимостей, особенно на фоне последних инцидентов с саботажем отдельных разработчиков.

Читать далее
Всего голосов 22: ↑18 и ↓4 +14
Просмотры 13K
Комментарии 21

Российский разработчик event-source-polyfill добавил послание для сограждан в версию библиотеки

Open source *JavaScript *GitHub *

Российский разработчик Виктор Мукачев (Yaffle) добавил в свою библиотеку event-source-polyfill фрагмент кода, в котором выразил протест против событий на территории Украины. 

Читать далее
Всего голосов 39: ↑35 и ↓4 +31
Просмотры 11K
Комментарии 13

GitHub рассказал о недавней атаке и произошедшей из-за нее утечке данных из приватных репозиториев некоторых клиентов

Информационная безопасность *Open source *GitHub *IT-компании


16 апреля 2022 года команда GitHub Security рассказала об инциденте по утечке данных из приватных репозиториев клиентов платформы с использованием скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CIGitHub.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 4.1K
Комментарии 0

GitHub запустил бета-тестирование улучшенного механизма 2FA для npm-аккаунтов

GitHub *IT-компании


По информации Bleeping Computer, веб-сервис для хостинга IT-проектов и их совместной разработки GitHub запустил бета-тестирование улучшенного механизма двухфакторной аутентификации (2FA) для всех npm-аккаунтов.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 814
Комментарии 0

GitHub раскрыла объем похищенных хакерами данных во время атаки с помощью скомпрометированных токенов Heroku и Travis-CI

Информационная безопасность *IT-инфраструктура *GitHub *IT-компании


GitHub раскрыла объем похищенных хакерами данных во время апрельской атаки с помощью скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CIGitHub.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 2.4K
Комментарии 1

Злоумышленники используют вредоносные npm-пакеты для кражи пользовательских данных

Информационная безопасность *Разработка веб-сайтов *

Исследователи из Reversing Labs рассказали, что злоумышленники публикуют вредоносные npm-пакеты для кражи пользовательских данных с сайтов и приложений. При этом хакеры выбирают для атаки названия популярных пакетов, чтобы смутить пользователей и заставить скачать шпионское программное обеспечение вместо оригинального.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 2.3K
Комментарии 1

В NPM ввели обязательную двухфакторную аутентификацию для сопровождающих значимых пакетов

Информационная безопасность *Open source *GitHub *

GitHub внедрил обязательное применение в репозитории NPM двухфакторной аутентификации к учётным записям разработчиков, сопровождающих пакеты с более чем 1 млн загрузок в неделю или используемых в качестве зависимости у более чем 500 пакетов. 

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 1.3K
Комментарии 0

GitHub потребует от всех пользователей включить 2FA к концу 2023 года

Информационная безопасность *Open source *GitHub *

GitHub к концу 2023 года потребует от всех пользователей, добавляющих код на платформу, включить двухфакторную аутентификацию (2FA) в качестве дополнительной меры защиты своих учётных записей.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 2.5K
Комментарии 25

Исследование: в репозиториях открытого ПО присутствуют десятки тысяч вредоносных пакетов

Информационная безопасность *Open source *Исследования и прогнозы в IT *

Компании Checkmarx и Illustria провели исследование, которое показало, что в репозиториях программного обеспечения с открытым исходным кодом присутствует множество вредоносных пакетов. В экосистемах NuGet, NPM и PyPi выявили более 144 тысяч таких пакетов. 

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 1.7K
Комментарии 10

Использование пакетного менеджера Node.js на Windows

Node.JS *
Мне долгое время хотелось полноценно поиграться с нодом, но так сложилась жизнь, что я пользуюсь Windows как на работе, так и дома.

Только недавно портировали, собственно, сам нод на Windows (и не без помощи Microsoft, за что им спасибо). Это хорошо, но как же быть с пакетным менеджером npm который используется чуть менее чем во всех туториалах?

Продолжительный поиск привел к нескольким статьям, в которых в общих чертах говорилось об установке чего-то, непонятно чего и непонятно как (cygwin и т. п.)

Долгое время я не мог вменяемо завести npm, но в какой то момент подвернулась замечательная статья некоего Pablo M. Cibraro. В которой простым языком описано что и как делать.

В общем итоге нам предлагают поставить Python, затем скачать утилиту, за авторством Japj. И запуска ее точно так же, как и npm — python ryppi install <имя_модуля>

Кроме того, что бы использовать express вам понадобится его модифицированная версия (потому что в оригинальной используются специфические для *nix команды)

И еще одна ремарка для новичков, таких как я. Для того, что бы использовать модули нода нужно поместить их в папку node_modules в папке с запускаемым файлом js.
Всего голосов 9: ↑6 и ↓3 +3
Просмотры 11K
Комментарии 2

Шпаргалка по пакетному менеджеру NPM

Node.JS *
Перевод

npm — это пакетный менеджер node.js. С его помощью можно управлять модулями и зависимостями.
Небольшая шпаргалка всех моих любимых команд npm:

Читать дальше →
Всего голосов 49: ↑44 и ↓5 +39
Просмотры 368K
Комментарии 11