Научный форум dxdy

Данная тема посвящена проблеме (а скорее явлению) и путям её решения, не предполагает обсуждения политической подоплёки.
Выкладываю тут к сведению тех участников, кто возможно пользуется npm-репозиторием или пакетами, зависящими от.

На русском:
https://www.opennet.ru/opennews/art.shtml?num=56870

English:
https://www.reddit.com/r/linux/comments ... are_in_an/

Очевидный способ защиты - не использовать код, который не проверялся кем-то, кому вы доверяете. Это в общем-то и раньше стоило делать.
Не знаю, насколько это "мышки, станьте ежиками" в мире javascript, но в мире python как правило можно обойтись кодом, выпущенным крупными сообществами, а всякие мелкие пакеты реализовывать самостоятельно с помощью копипасты. Что произойдет, если подобным образом начнет развлекаться, например, numpy team - не знаю, скорее всего что-то очень нехорошее (вплоть до отказа от бесплатного кода).

Согласен. Я уже долгое время пользую Дебиан и стараюсь ставить всё из их репозитариев, то есть доверяю их разработчикам. К сожалению, разный политический активизм, не связанный с непосредственной деятельностью, понемногу проникает и туда (и не только).
Наверное, скоро придётся переходить на free/open bsd.

i	Тема перемещена из форума «Computer Science» в форум «Software» Причина переноса: это все-таки ПО, а не CS вообще.

-- 20.03.2022, 22:18 --

. Принципиально ничего не изменится. Пока достаточно лишь не накатывать свежевышедшие обновления сразу же на рабочую систему (а не на экспериментальную машину/песочницу),(ну и бэкапы делать, само собой - иначе говоря, действовать так, как в любом случае должен действовать нормальный сисадмин.

Там в статье написано, что запуск на удаление пользовательских данных происходит с вероятностью 1/4. То есть в 3/4 случаях при установке в песочницу ничего не произойдёт.

Ну и бэкап-софт под линукс/бсд, надеюсь, пока пишут адекватные товарищи.

Дык — старо как мир, не? Проблема копья и щита. Никто не гарантирует адекватности, увы. И сильно сомневаюсь, что разработчики Дебиана в состоянии серьёзно протестировать десятки тысяч пакетов из своего репозитория.

Старо как мир для специалистов по безопасности и тех, кому по долгу службы надо быть начеку. Но ведь это не все users кто пользуется данным пакетом со скачкой миллион раз в неделю.

Например: https://snippet.host/kvcb

Просто какие-то вещи должны оставаться вне политики. Конечно, если они, в том числе СПО, хотят существовать дальше.

Dan B-Yallay,
Тут, к сожалению, и без политики хватало случаев, когда open-source проекты преподносили неприятные сюрпризы (а точнее их авторы). Как, например было с color.js и faker.js - https://www.opennet.ru/opennews/art.shtml?num=56479
В некоторых больших компаниях, насколько я знаю, сейчас с этим пытаются бороться превентивно - отдел безопасности тестирует обновленные пакеты, проверяет отличия в исходном коде, самим же сотрудникам, без согласования с отделом безопасности, устанавливать открытые пакеты запрещается. Проверкой устанавливают "стабильные версии", которые вреда не наносят и разрешают проводить обновления только на такие версии пакетов.
Рядовому пользователю, как мне кажется, теперь тоже только что и остаётся, так это отключить автообновления системы и для тех пакетов/библиотек, что уже установлены - внимательно через github просматривать историю commit-ов (внесённых изменений на основе различий в коде, там есть интерфейс для отслеживания правок), чтобы понять, не внесли ли туда деструктивные правки.
Это особенно сильно касается front-end разработчиков, так как тот же фреймворк React, о популярности которого, наверное и говорить не стоит, является open source проектом, автором кода являются разработчики из Meta (Facebook, Instagram), отношения с которыми в России крайне накалились, что, так сказать, должно удваивать бдительность в отношении обновлений их программного обеспечения.

Я ожидаю что это снижает вероятность вредительства, а не увеличивает её - большие компании следят и за публикуемым от их имени кодом, и за своей репутацией.

Дык — кто б спорил. И вирусов бы писать не надо. И вообще, хорошо б все были нормальными людьми, а не вредителями.Чисто на всякий случай — «open-source» тут лишнее.

Честно сказать, насчёт репутации, у меня начинают появляться сомнения, что я правильно понимаю значение этого слова.
Не имеет прямого отношения к теме (хотя и это и Software), но Вы слышали о блокировках Slack в РФ?
Вот, примерно следуя этим новостям - https://vc.ru/services/379922-polzovate ... andy-sbera (этот сайт - грубо говоря тот же форум, где чаще всего обычные люди делятся новостями), https://www.cnews.ru/news/top/2022-03-1 ... opulyarnom (а это уже новостное агентство, хотя написано там в принципе тоже самое).
Кратко опишу ситуацию, я знаком с ней со слов знакомых, которых это затронуло. В одно прекрасное утро компания Salesforce без предупреждения просто запретила доступ к этому приложению для ряда компаний. Не было дано времени на сохранение данных, на перенос рабочей среды - в одно утро компании потеряли всё своё рабочее пространство. При этом сама компания позже заявила, что никаких блокировок нет - "мы приостановили работу программы, а не удалили вам пространство". На самом же деле, никаким способом получить доступ к своим данным компании теперь не могут - рабочего пространства как бы не существует. Насколько я знаю, этот вопрос будут пытаться решать в судебном порядке.
Я привел эту ситуацию просто как пример - лично я был ошарашен тем что настолько крупная компания могла без какого либо предупреждения просто уничтожить всё рабочее пространство, не дав ни компании, ни ее работникам времени сохранить данные. Замечу также, что реселлеры (официальные поставщики этого программного обеспечения) также не заявляли ни о каких рисках.

Теоретически они, поступая и заявляя подобным образом, опираются на некие пункты в EULA, нет?

(Оффтоп)