2014 dxdy logo

Научный форум dxdy

Математика, Физика, Computer Science, Machine Learning, LaTeX, Механика и Техника, Химия,
Биология и Медицина, Экономика и Финансовая Математика, Гуманитарные науки




Начать новую тему Ответить на тему
 
 node-ipc
Сообщение20.03.2022, 20:17 
Заслуженный участник
Аватара пользователя


11/12/05
10056
Данная тема посвящена проблеме (а скорее явлению) и путям её решения, не предполагает обсуждения политической подоплёки.
Выкладываю тут к сведению тех участников, кто возможно пользуется npm-репозиторием или пакетами, зависящими от.

На русском:
https://www.opennet.ru/opennews/art.shtml?num=56870

English:
https://www.reddit.com/r/linux/comments ... are_in_an/

 Профиль  
                  
 
 Re: node-ipc
Сообщение20.03.2022, 20:50 
Заслуженный участник
Аватара пользователя


16/07/14
9143
Цюрих
Очевидный способ защиты - не использовать код, который не проверялся кем-то, кому вы доверяете. Это в общем-то и раньше стоило делать.
Не знаю, насколько это "мышки, станьте ежиками" в мире javascript, но в мире python как правило можно обойтись кодом, выпущенным крупными сообществами, а всякие мелкие пакеты реализовывать самостоятельно с помощью копипасты. Что произойдет, если подобным образом начнет развлекаться, например, numpy team - не знаю, скорее всего что-то очень нехорошее (вплоть до отказа от бесплатного кода).

 Профиль  
                  
 
 Re: node-ipc
Сообщение20.03.2022, 21:04 
Заслуженный участник
Аватара пользователя


11/12/05
10056
mihaild в сообщении #1550797 писал(а):
Очевидный способ защиты - не использовать код, который не проверялся кем-то, кому вы доверяете. Это в общем-то и раньше стоило делать.
Согласен. Я уже долгое время пользую Дебиан и стараюсь ставить всё из их репозитариев, то есть доверяю их разработчикам. К сожалению, разный политический активизм, не связанный с непосредственной деятельностью, понемногу проникает и туда (и не только).
Наверное, скоро придётся переходить на free/open bsd.

 Профиль  
                  
 
 Posted automatically
Сообщение20.03.2022, 22:16 
Заслуженный участник


09/05/12
25179
 i  Тема перемещена из форума «Computer Science» в форум «Software»
Причина переноса: это все-таки ПО, а не CS вообще.


-- 20.03.2022, 22:18 --

.
Dan B-Yallay в сообщении #1550799 писал(а):
Наверное, скоро придётся переходить на free/open bsd.
Принципиально ничего не изменится. Пока достаточно лишь не накатывать свежевышедшие обновления сразу же на рабочую систему (а не на экспериментальную машину/песочницу),(ну и бэкапы делать, само собой - иначе говоря, действовать так, как в любом случае должен действовать нормальный сисадмин.

 Профиль  
                  
 
 Re: node-ipc
Сообщение21.03.2022, 02:41 
Заслуженный участник
Аватара пользователя


11/12/05
10056
Там в статье написано, что запуск на удаление пользовательских данных происходит с вероятностью 1/4. То есть в 3/4 случаях при установке в песочницу ничего не произойдёт.

Ну и бэкап-софт под линукс/бсд, надеюсь, пока пишут адекватные товарищи.

 Профиль  
                  
 
 Re: node-ipc
Сообщение21.03.2022, 05:53 
Заслуженный участник


16/02/13
4194
Владивосток
Дык — старо как мир, не? Проблема копья и щита. Никто не гарантирует адекватности, увы. И сильно сомневаюсь, что разработчики Дебиана в состоянии серьёзно протестировать десятки тысяч пакетов из своего репозитория.

 Профиль  
                  
 
 Re: node-ipc
Сообщение21.03.2022, 08:05 
Заслуженный участник
Аватара пользователя


11/12/05
10056
Старо как мир для специалистов по безопасности и тех, кому по долгу службы надо быть начеку. Но ведь это не все users кто пользуется данным пакетом со скачкой миллион раз в неделю.

Например: https://snippet.host/kvcb

Просто какие-то вещи должны оставаться вне политики. Конечно, если они, в том числе СПО, хотят существовать дальше.

 Профиль  
                  
 
 Re: node-ipc
Сообщение21.03.2022, 09:21 


07/08/16
328
Dan B-Yallay,
Тут, к сожалению, и без политики хватало случаев, когда open-source проекты преподносили неприятные сюрпризы (а точнее их авторы). Как, например было с color.js и faker.js - https://www.opennet.ru/opennews/art.shtml?num=56479
В некоторых больших компаниях, насколько я знаю, сейчас с этим пытаются бороться превентивно - отдел безопасности тестирует обновленные пакеты, проверяет отличия в исходном коде, самим же сотрудникам, без согласования с отделом безопасности, устанавливать открытые пакеты запрещается. Проверкой устанавливают "стабильные версии", которые вреда не наносят и разрешают проводить обновления только на такие версии пакетов.
Рядовому пользователю, как мне кажется, теперь тоже только что и остаётся, так это отключить автообновления системы и для тех пакетов/библиотек, что уже установлены - внимательно через github просматривать историю commit-ов (внесённых изменений на основе различий в коде, там есть интерфейс для отслеживания правок), чтобы понять, не внесли ли туда деструктивные правки.
Это особенно сильно касается front-end разработчиков, так как тот же фреймворк React, о популярности которого, наверное и говорить не стоит, является open source проектом, автором кода являются разработчики из Meta (Facebook, Instagram), отношения с которыми в России крайне накалились, что, так сказать, должно удваивать бдительность в отношении обновлений их программного обеспечения.

 Профиль  
                  
 
 Re: node-ipc
Сообщение21.03.2022, 10:36 
Заслуженный участник
Аватара пользователя


16/07/14
9143
Цюрих
Sdy в сообщении #1550822 писал(а):
автором кода являются разработчики из Meta
Я ожидаю что это снижает вероятность вредительства, а не увеличивает её - большие компании следят и за публикуемым от их имени кодом, и за своей репутацией.

 Профиль  
                  
 
 Re: node-ipc
Сообщение21.03.2022, 12:33 
Заслуженный участник


16/02/13
4194
Владивосток
Dan B-Yallay в сообщении #1550818 писал(а):
Просто какие-то вещи должны оставаться вне политики
Дык — кто б спорил. И вирусов бы писать не надо. И вообще, хорошо б все были нормальными людьми, а не вредителями.
Sdy в сообщении #1550822 писал(а):
хватало случаев, когда open-source проекты преподносили неприятные сюрпризы
Чисто на всякий случай — «open-source» тут лишнее.

 Профиль  
                  
 
 Re: node-ipc
Сообщение21.03.2022, 12:37 


07/08/16
328
mihaild в сообщении #1550826 писал(а):
большие компании следят и за публикуемым от их имени кодом, и за своей репутацией.

Честно сказать, насчёт репутации, у меня начинают появляться сомнения, что я правильно понимаю значение этого слова.
Не имеет прямого отношения к теме (хотя и это и Software), но Вы слышали о блокировках Slack в РФ?
Вот, примерно следуя этим новостям - https://vc.ru/services/379922-polzovate ... andy-sbera (этот сайт - грубо говоря тот же форум, где чаще всего обычные люди делятся новостями), https://www.cnews.ru/news/top/2022-03-1 ... opulyarnom (а это уже новостное агентство, хотя написано там в принципе тоже самое).
Кратко опишу ситуацию, я знаком с ней со слов знакомых, которых это затронуло. В одно прекрасное утро компания Salesforce без предупреждения просто запретила доступ к этому приложению для ряда компаний. Не было дано времени на сохранение данных, на перенос рабочей среды - в одно утро компании потеряли всё своё рабочее пространство. При этом сама компания позже заявила, что никаких блокировок нет - "мы приостановили работу программы, а не удалили вам пространство". На самом же деле, никаким способом получить доступ к своим данным компании теперь не могут - рабочего пространства как бы не существует. Насколько я знаю, этот вопрос будут пытаться решать в судебном порядке.
Я привел эту ситуацию просто как пример - лично я был ошарашен тем что настолько крупная компания могла без какого либо предупреждения просто уничтожить всё рабочее пространство, не дав ни компании, ни ее работникам времени сохранить данные. Замечу также, что реселлеры (официальные поставщики этого программного обеспечения) также не заявляли ни о каких рисках.

 Профиль  
                  
 
 Re: node-ipc
Сообщение21.03.2022, 12:45 
Аватара пользователя


11/06/12
10390
стихия.вздох.мюсли
Sdy в сообщении #1550836 писал(а):
При этом сама компания позже заявила, что никаких блокировок нет - "мы приостановили работу программы, а не удалили вам пространство".
Теоретически они, поступая и заявляя подобным образом, опираются на некие пункты в EULA, нет?

 Профиль  
                  
 
 Re: node-ipc
Сообщение21.03.2022, 13:36 


07/08/16
328

(Оффтоп)

Aritaborian в сообщении #1550838 писал(а):
Теоретически они, поступая и заявляя подобным образом, опираются на некие пункты в EULA, нет?

Ну вот этим вопросом и будут заниматься юристы компаний. Так как это произошло совсем недавно, то ничего более того что я написал - я не знаю. Ведь соглашение компании с компанией - это не соглашение физического лица с компанией. И насколько я знаю (ну по крайней мере так было около недели назад), одиночных пользователей и небольшие компании эти ограничения не затронули - вообще когда я после этих событий пытался найти на сайте Salesforce хотя бы список компаний, к которым применимы ограничения, я ничего не нашел, кроме заявлений общего вида.

 Профиль  
                  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Модераторы: Karan, Toucan, PAV, maxal, Супермодераторы



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group