forum.opennet.ru - "В Rust-репозитории crates.io выявлены два вредоносных пакета" (95)

"В Rust-репозитории crates.io выявлены два вредоносных пакета"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от opennews (??), 25-Сен-25, 22:05
Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов faster_log и async_println, содержащих вредоносный код. Пакеты были размещены в репозитории 25 мая и с тех пор были загружены 8424 раза... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63944
Ответить \| Правка \| Cообщить модератору

Оглавление

В репо Оверхед к пакетам сканирует триггеры, процедуры инсталляции и проверки т, Аноним (2), 22:08 , 25-Сен-25, (2)

Рофлишь Конечно нет , Аноним (8), 22:38 , 25-Сен-25, (8)

Раст же безопасный язык, разве на нём можно написать небезопасный код , Аноним (94), 15:23 , 26-Сен-25, (94) +2

Безопасная вредоносная вставка Это про ржавые пакеты из топика, а не про ржавый, Аноним (109), 18:48 , 26-Сен-25, (109) +2

Так все эти crates, pypi и тд 8211 свалка непроверенных библиотек Как aur Н, Аноним (3), 22:11 , 25-Сен-25, (3) +9

Почему не было https www opennet ru opennews art shtml num 63677причем, не , Аноним (5), 22:17 , 25-Сен-25, (5) +7

Твой пример под описанную ситуацию совсем не подходит , Аноним (7), 22:32 , 25-Сен-25, (7) –9

Ну да, аутотренинг еще никто не отменял , Аноним (5), 23:20 , 25-Сен-25, (16) +6
Ну да конечно, вы не понимаете это другое, Аноним (21), 23:39 , 25-Сен-25, (21) +5

Нет, не проверяют, и были случаи малвари в дебиане Конечно же, courated репозит, Аноним (9), 22:38 , 25-Сен-25, (9) +3

Нет, не было таких случаев Я говорю конкретно про ошибку с подменой А не когда, Аноним (3), 22:49 , 25-Сен-25, (11)

Так с чем ты споришь Я ровно про это написал - только от тайпсквоттинга репозит, Аноним (25), 23:59 , 25-Сен-25, (25) +1

Явно видно, что вы не понимаете о чем речь А она о том что почти все пакеты деби, Аноним (72), 12:30 , 26-Сен-25, (72)

Ответ неверный Копии исходников они не хранят и никогда не хранили Ссылка на к, Аноним (3), 00:36 , 26-Сен-25, (30) +3

И потом, к чему этот негатив если альтернатив нет в принципе никаких , Аноним (9), 22:43 , 25-Сен-25, (10)

Это факт, а не негатив Свалка есть свалка Она полезна, если ты перепроверяешь , Аноним (3), 22:50 , 25-Сен-25, (12) +3
Nixpkgs , Аноним (3), 22:53 , 25-Сен-25, (13)

В каком месте это альтернатива, и в каком месте это менее помойка Репозитории м, Аноним (25), 00:06 , 26-Сен-25, (29)

Пакетов больше, чем в aur А я разве говорил обратное , Аноним (3), 00:38 , 26-Сен-25, (32)

Но работающих пакетов меньше , Аноним (109), 18:52 , 26-Сен-25, (112)

С чего бы , Аноним (3), 22:15 , 26-Сен-25, (119)

NPM - да, помойка Aur - да, свалка Pypi - да, ещё одна помойка Rust-репозиторий , Аноним (17), 23:20 , 25-Сен-25, (17) +18

Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о д, Аноним (25), 00:02 , 26-Сен-25, (26) –4

Дай лучше ссылку, где ты о других репозиториях писал к чему этот негатив , Аноним (46), 07:32 , 26-Сен-25, (46)

В принципе есть Из бесплатных репозитариев - МосХаб, проверяет проекты на безоп, Аноним (18), 23:21 , 25-Сен-25, (18) –4

Смеешься Каждые полгода такие новости появляются Любая репа - это потенциальна, Аноним (21), 23:41 , 25-Сен-25, (22) +1

Назовите, пожалуйста, две за прошедший год , Аноним (3), 00:37 , 26-Сен-25, (31)

Оно 1 В апреле 2025 года исследователи из ReversingLabs обнаружили две вредонос, Прохожий (??), 07:51 , 26-Сен-25, (52)

И при чём здесь debian Речь шла про его репозитории Про pypi и схожие и так вс, Аноним (64), 10:57 , 26-Сен-25, (64)

Там выше про китайские словари-подстрочники можешь почитать , Аноним (116), 20:43 , 26-Сен-25, (116)

Я выше просил два случая А теперь вы откупаетесь одним случаем, который заметил, Аноним (3), 22:16 , 26-Сен-25, (120)

Надо вводить ветки crate io Stable, Testing, Experimental То же самое для PyPI , Соль земли2 (?), 09:58 , 26-Сен-25, (59) +1
И что, сильно там в твоем дебиане напрверяли бэкдор в xz https www opennet ru , Аноним (61), 10:47 , 26-Сен-25, (61) +1

Вы в упор не видите о чём я Перечитайте новость, подумайте ещё раз А про бекдо, Аноним (64), 10:58 , 26-Сен-25, (65)

Вижу конечно о свалке непроверенных библиотек и в репе Дебиана проверяют А, Аноним (61), 12:20 , 26-Сен-25, (71)

Вам расшифровать что такое Debian sid unstable Сюда вываливают для проверок Про, Аноним (72), 12:34 , 26-Сен-25, (73) –1

Не сочиняй В Дебиане ничего не проверили и не отловили Проблему выловил сотруд, Аноним (61), 12:55 , 26-Сен-25, (78) +1

Ну и В Debian попало , Аноним (72), 13:11 , 26-Сен-25, (79)

Ты совсем тугой Что не ясно в словах успели попасть в состав Debian sid И, Аноним (-), 13:19 , 26-Сен-25, (83)

Бино До тебя долго доходит Сид - это сид Он и нужен для выявления проблем , Аноним (72), 13:25 , 26-Сен-25, (84) +1

Но проблему не выявили в Дебиане Более того, бэкдор запрсто оказался бы в stabl, Аноним (61), 14:06 , 26-Сен-25, (85)

Если бы у бабушки были Пока это только ваши фантазии Реальность далека от н, Аноним (72), 14:26 , 26-Сен-25, (90)
Емнип в debian этот xz бекдор не мог сработать из-за особенностей сборки , Аноним (92), 15:03 , 26-Сен-25, (92)

Лол Как раз на дебиане тот чел из МС и заметил бекдор из-за загрузки CPU Не зн, Аноним (115), 20:42 , 26-Сен-25, (115)

Началось Это скайнет создал Раст, чтобы загрузить туда вредоносные пакеты, чтоб, Аноним (77), 12:40 , 26-Сен-25, (77)
Зачем мелочиться на пакеты, вредить бэкдорить, - так корневом уровне Если заб, OpenEcho (?), 14:28 , 26-Сен-25, (91)
Патаму , что нормальные языки программирования1 Имеют международный стандарт 2 , Arlezoner (?), 17:32 , 26-Сен-25, (104)

Это какие Зачем Разработчики копиляторов им просто подотрутся и или реализуют т, Аноним (-), 19:03 , 26-Сен-25, (113) +1

Очевидный Common Lisp, который тот аноним даже на картинках не видел , Аноним (116), 20:44 , 26-Сен-25, (117)
- значит вы где-то не инициализировал память И должны быть наказанны Но в , Arleziker (?), 23:11 , 26-Сен-25, (121) –1

Вы его уже проиграли Опыт фирм-разработчиков ПО с всемирной известностью доказа, Прохожий (??), 00:49 , 27-Сен-25, (124)

ментейнер дебиана перепутал и свёл до околонуля энтропию в openssl но ты тогда, Анонисссм (?), 18:39 , 26-Сен-25, (108)

Энтропию он свел Ради Безопасной Работы С Памятью с Опередил свое время, так с, Arleziker (?), 23:13 , 26-Сен-25, (122)

Конечно репозитории дебиана безопасны, ведь в них почти ничего нет , Аноним (110), 18:49 , 26-Сен-25, (110)

Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга н, Аноним (9), 22:12 , 25-Сен-25, (4) +3

эти придумают ещё более долбанутую нёх, можешь быть уверен, 12yoexpert (ok), 22:57 , 25-Сен-25, (14) +4

присоединяюсь Уж у этих-то точно будет БЕЗОПАСТНО тем более их пользуемые от н, нах. (?), 23:33 , 25-Сен-25, (19)

Традиционно, перепись экспертов, не пишущих на Расте - но очень обеспокоеных все, Аноним (61), 10:49 , 26-Сен-25, (62)

Перепись тех, кто говорил смотрите, вот это очень плохо пахнущее Некто обнару, Аноним (72), 12:37 , 26-Сен-25, (74)

Типа ХЗ библиотеки Если бы не мелкомягкие, то тысячи глаз так бы и видели фигу p, Аноним (-), 13:16 , 26-Сен-25, (81)

Типа использования зависимостей не из системы, а с непойми чего Нет ни одной пом, Аноним (72), 13:19 , 26-Сен-25, (82)

а мы теперь - просто ржем Чуть не вляпался , ага-ага , нах. (?), 16:20 , 26-Сен-25, (99)

Ну так это единственное что вы можете Ага, сидя по уши в том самом не вляпался , Аноним (100), 16:30 , 26-Сен-25, (100)

Забавно как пытаешься защищать свою точку зрения Ничем не обосновывая Приводя , Аноним (123), 00:09 , 27-Сен-25, (123)

От этого спасает только не быть дурачком и использовать высоко энтропийные уника, Аноним (21), 00:02 , 26-Сен-25, (27)

алё, речь про раст, 12yoexpert (ok), 01:34 , 26-Сен-25, (35) +1

Они раст придумали , Аноним (94), 15:27 , 26-Сен-25, (95)

Сейчас много подобных атак Например, вредоносные NPM пакеты нацеленные на крипт, Доктор Альба (?), 22:20 , 25-Сен-25, (6)
Для минимизации рисков в Rust рекомендуется 9671 Использовать только известны, Аноним (18), 23:52 , 25-Сен-25, (23) +2

Что будете делать, если популярный crate использует такую зависимость , Аноним (3), 02:26 , 26-Сен-25, (36)

Вам же написали Регулярно проверять зависимости на известные уязвимости с помо, Прохожий (??), 07:37 , 26-Сен-25, (47)

Не спасёт, очевидно, от того, что в новости , Аноним (64), 11:02 , 26-Сен-25, (66)

Если проверять тщательно - спасёт Но справедливости ради - это не так уж просто, Прохожий (??), 00:54 , 27-Сен-25, (125)

128514 128514 129322 Ужос Как будта прачол рекомендации ФТЭК России , Аноним (42), 05:46 , 26-Сен-25, (42) –3

Что там ужасного Эти меры ведь не являются обязательными , Прохожий (??), 08:00 , 26-Сен-25, (54)

Деды не зря тарболы публиковали на своих сайтах , Аноним (34), 01:05 , 26-Сен-25, (34) +1

XZ-бэкдор раздавался как раз в тарболе, в самом репозитории всё было чисто , Аноним (-), 04:31 , 26-Сен-25, (39) +1

Но тарбол на сайте самого xz был чист Github - очередной репозиторий , Аноним (97), 15:54 , 26-Сен-25, (97)

а чего мелочиться superfastest_log и все дела практически ускоритель Интерне, 0xdeadbee (-), 05:06 , 26-Сен-25, (40) +1

Забыл как эмпэтришки через флешгет качал , Аноним (58), 09:24 , 26-Сен-25, (58)

Две проблемы у проекта 1 Уязвимость архитектуры взято худшее от аналогов 2 П, Аноним (45), 06:22 , 26-Сен-25, (45) –1

1 Не могли бы вы более детально раскрыть своё утверждение по поводу плохой архи, Прохожий (??), 07:42 , 26-Сен-25, (49) +1

1 Все, использующие не контролируемые разработчиком репозитории для сборки прое, Аноним (45), 08:13 , 26-Сен-25, (55) –1

1 Это к архитектуре имеет опосредованное отношение Вас никто не заставляет пол, Прохожий (??), 01:00 , 27-Сен-25, (126)

Вот потому все тулзы с репозиториями идут лесом В Hyperbola не зря их запретили, Аноним (51), 07:48 , 26-Сен-25, (51) +1

Вам никто не запрещает использовать исключительно локальные репозитарии, закрыв , Прохожий (??), 07:54 , 26-Сен-25, (53)

Даже если сделать так, после развертывания вредоносы прилетят с обновлениями Ва, Аноним (45), 10:21 , 26-Сен-25, (60)

Само ничего никуда не летает Не хочешь обновляться - не обновляйся Автоматичес, Аноним (70), 12:15 , 26-Сен-25, (70)

Архитектура задает культуру разработки И тут она никакая , Аноним (72), 12:39 , 26-Сен-25, (76)

Тут у вас есть выбор Никакая архитектура - когда выбора нет и приходится самому, Прохожий (??), 01:06 , 27-Сен-25, (128)

Не заметил ни одного доказательства Ещё раз Вас никто не заставляет пользовать, Прохожий (??), 01:05 , 27-Сен-25, (127)

вот бы там еще блютуз работал, Аноним (87), 14:10 , 26-Сен-25, (87)

И это толко начало А то ли ещё будет 8230 , Аноним (68), 11:48 , 26-Сен-25, (68)

Для чего было придумано, то и происходит , asd (??), 13:15 , 26-Сен-25, (80) +1

А чего там за код Еще код посмотреть можно А то вирусы и прочее тоже надо посмо, Аноним (96), 15:36 , 26-Сен-25, (96)

Сообщения [Сортировка по времени | RSS]

2. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (2), 25-Сен-25, 22:08

В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?

Ответить | Правка | Наверх | Cообщить модератору

8. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (8), 25-Сен-25, 22:38

Рофлишь? Конечно нет.

Ответить | Правка | Наверх | Cообщить модератору

94. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +2 +/–

Сообщение от Аноним (94), 26-Сен-25, 15:23

Раст же безопасный язык, разве на нём можно написать небезопасный код?

Ответить | Правка | Наверх | Cообщить модератору

109. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +2 +/–

Сообщение от Аноним (109), 26-Сен-25, 18:48

Безопасная вредоносная вставка. Это про ржавые пакеты из топика, а не про ржавый язык. Хотя.. Погодите-ка!..

Ответить | Правка | Наверх | Cообщить модератору

3. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +9 +/–

Сообщение от Аноним (3), 25-Сен-25, 22:11

Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.

Ответить | Правка | Наверх | Cообщить модератору

5. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +7 +/–

Сообщение от Аноним (5), 25-Сен-25, 22:17

> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил
> пакет на вредоносный"? Вот где люди реально проверяют.
Почему "не было"?
https://www.opennet.dev/opennews/art.shtml?num=63677
> Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
> 04.08.2025 22:08
причем, не "перепутал", а включил осознанно.
> Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию.
.

Ответить | Правка | Наверх | Cообщить модератору

7. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –9 +/–

Сообщение от Аноним (7), 25-Сен-25, 22:32

Твой пример под описанную ситуацию совсем не подходит.

Ответить | Правка | Наверх | Cообщить модератору

16. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +6 +/–

Сообщение от Аноним (5), 25-Сен-25, 23:20

>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn.
> Твой пример под описанную ситуацию совсем не подходит.
Ну да, аутотренинг еще никто не отменял ...

Ответить | Правка | Наверх | Cообщить модератору

21. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +5 +/–

Сообщение от Аноним (21), 25-Сен-25, 23:39

Ну да конечно, вы не понимаете это другое

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +3 +/–

Сообщение от Аноним (9), 25-Сен-25, 22:38

> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту.
Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 25-Сен-25, 22:49

> Нет, не проверяют, и были случаи малвари в дебиане.
Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню.
А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.

Ответить | Правка | Наверх | Cообщить модератору

25. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (25), 25-Сен-25, 23:59

> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают.
> А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.

Ответить | Правка | Наверх | Cообщить модератору

72. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 12:30

> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
Явно видно, что вы не понимаете о чем речь.
А она о том что почти все пакеты дебиан имеют повторяемую сборку. Когда из пакета исходников собирается пакет ПОБАЙТОВО совподающий с тем, что на сервере.

Ответить | Правка | Наверх | Cообщить модератору

30. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +3 +/–

Сообщение от Аноним (3), 26-Сен-25, 00:36

> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git.
Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

10. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (9), 25-Сен-25, 22:43

> и тд – свалка непроверенных библиотек
И потом, к чему этот негатив если альтернатив нет в принципе никаких?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +3 +/–

Сообщение от Аноним (3), 25-Сен-25, 22:50

Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.

Ответить | Правка | Наверх | Cообщить модератору

13. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 25-Сен-25, 22:53

> если альтернатив нет в принципе никаких?
Nixpkgs.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

29. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (25), 26-Сен-25, 00:06

В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.

Ответить | Правка | Наверх | Cообщить модератору

32. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 26-Сен-25, 00:38

> В каком месте это альтернатива
Пакетов больше, чем в aur.
> и в каком месте это менее помойка?
А я разве говорил обратное?

Ответить | Правка | Наверх | Cообщить модератору

112. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (109), 26-Сен-25, 18:52

Но работающих пакетов меньше.

Ответить | Правка | Наверх | Cообщить модератору

119. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 26-Сен-25, 22:15

С чего бы?

Ответить | Правка | Наверх | Cообщить модератору

17. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +18 +/–

Сообщение от Аноним (17), 25-Сен-25, 23:20

NPM - да, помойка!
Aur - да, свалка!
Pypi - да, ещё одна помойка!
Rust-репозиторий - к чему этот негатив?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

26. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –4 +/–

Сообщение от Аноним (25), 26-Сен-25, 00:02

Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.

Ответить | Правка | Наверх | Cообщить модератору

46. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (46), 26-Сен-25, 07:32

Дай лучше ссылку, где ты о других репозиториях писал "к чему этот негатив?".

Ответить | Правка | Наверх | Cообщить модератору

18. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –4 +/–

Сообщение от Аноним (18), 25-Сен-25, 23:21

>если альтернатив нет в принципе никаких?
В принципе есть. Из бесплатных репозитариев - МосХаб, проверяет проекты на безопасность.
Из коммерческих - конвейеры безопасной разработки программных продуктов и сервисов https://www.tadviser.ru/index.php/Продукт:Ростелеком_и_ИСП_РАН:_Конвейеры_безопасной_разработки_программных_продуктов_и_сервисов

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

22. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (21), 25-Сен-25, 23:41

Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

31. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 26-Сен-25, 00:37

> Каждые полгода такие новости появляются.
Назовите, пожалуйста, две за прошедший год?

Ответить | Правка | Наверх | Cообщить модератору

52. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 26-Сен-25, 07:51

Оно?
1.В апреле 2025 года исследователи из ReversingLabs обнаружили две вредоносные Python-библиотеки — bitcoinlibdbfix и bitcoinlib-dev, которые маскировались под исправления популярной криптовалютной библиотеки bitcoinlib. Эти пакеты пытались украсть чувствительные данные, перезаписывая легитимную команду и пытаясь добыть конфиденциальные базы данных. Обе библиотеки были удалены из PyPI после обнаружения злоумышленных действий.
2. В сентябре 2025 года зафиксирована вспышка заражения более 500 популярных npm-библиотек вредоносным червём Shai-Hulud, который распространялся самостоятельно. Среди заражённых были библиотеки компании CrowdStrike и @ctrl/tinycolor, скачиваемая более 2 миллионов раз в неделю. Этот вредоносный код создавал угрозу утечки приватных репозиториев и исходного кода пользователей

Ответить | Правка | Наверх | Cообщить модератору

64. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (64), 26-Сен-25, 10:57

И при чём здесь debian? Речь шла про его репозитории. Про pypi и схожие и так всё понятно.

Ответить | Правка | Наверх | Cообщить модератору

116. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (116), 26-Сен-25, 20:43

Там выше про китайские словари-подстрочники можешь почитать.

Ответить | Правка | Наверх | Cообщить модератору

120. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 26-Сен-25, 22:16

Я выше просил два случая. А теперь вы откупаетесь одним случаем, который заметили сразу же, а не спустя месяцы.

Ответить | Правка | Наверх | Cообщить модератору

59. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Соль земли2 (?), 26-Сен-25, 09:58

Надо вводить ветки crate.io Stable, Testing, Experimental. То же самое для PyPI и NPM.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

61. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (61), 26-Сен-25, 10:47

> Так все эти crates, pypi и тд – свалка непроверенных библиотек.
> дебиана
> Вот где люди реально проверяют
И что, сильно там в твоем дебиане напрверяли бэкдор в xz?
> Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1 [...] которые успели попасть в состав [...] Debian sid/unstable
https://www.opennet.dev/opennews/art.shtml?num=60877
Ой, что-то плохо проверяли, получается. 😭

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

65. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (64), 26-Сен-25, 10:58

Вы в упор не видите о чём я? Перечитайте новость, подумайте ещё раз. А про бекдор в xz в курсе и без вас был.

Ответить | Правка | Наверх | Cообщить модератору

71. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (61), 26-Сен-25, 12:20

> Вы в упор не видите о чём я?
Вижу конечно: о "свалке непроверенных библиотек" и "в репе Дебиана проверяют". А теперь еще вижу и танцы "вы меня не так поняли 😭".

Ответить | Правка | Наверх | Cообщить модератору

73. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –1 +/–

Сообщение от Аноним (72), 26-Сен-25, 12:34

Вам расшифровать что такое Debian sid/unstable?
Сюда вываливают для проверок. Проверили. Отловили проблему. В Debian это не попало. Кто еще так делает?

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

78. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (61), 26-Сен-25, 12:55

> Проверили. Отловили проблему. В Debian это не попало. Кто еще так делает?
Не сочиняй. В Дебиане ничего не проверили и не отловили. Проблему выловил сотрудник Microsoft, который заметил странную нагрузку на CPU во время бенчмарков.

Ответить | Правка | Наверх | Cообщить модератору

79. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 13:11

> Не сочиняй. В Дебиане ничего не проверили и не отловили. Проблему выловил сотрудник Microsoft, который заметил странную нагрузку на CPU во время бенчмарков.
Ну и? В Debian попало?

Ответить | Правка | Наверх | Cообщить модератору

83. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (-), 26-Сен-25, 13:19

Ты совсем тугой?
> Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1 [...] которые успели попасть в состав [...] Debian sid/unstable
Что не ясно в словах "успели попасть в состав ... Debian sid" ?
Или Сид уже не Дебиан))?

Ответить | Правка | Наверх | Cообщить модератору

84. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (72), 26-Сен-25, 13:25

Бино! До тебя долго доходит.
Сид - это сид. Он и нужен для выявления проблем.

Ответить | Правка | Наверх | Cообщить модератору

85. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (61), 26-Сен-25, 14:06

> Он и нужен для выявления проблем.
Но проблему не выявили в Дебиане. Более того, бэкдор запрсто оказался бы в stable, если бы чел из МС обнаружил его до релиза.
Что непонятного? Ваше "crates и т.п. - помойки, а вот репа Дебиана - это другое" немного не соответствует действительности.

Ответить | Правка | Наверх | Cообщить модератору

90. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 14:26

> Но проблему не выявили в Дебиане. Более того, бэкдор запрсто оказался бы в stable, если бы чел из МС обнаружил его до релиза.
Если бы у бабушки были ....
> Что непонятного? Ваше "crates и т.п. - помойки, а вот репа Дебиана - это другое" немного не соответствует действительности.
Пока это только ваши фантазии. Реальность далека от них. Во всех помойках проблемы. Тот кто затачивает архитектуру разработки под помойки - будет иметь проблемы всегда.
Раст затачивает архитектуру разработки под помойку.

Ответить | Правка | Наверх | Cообщить модератору

92. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (92), 26-Сен-25, 15:03

Емнип в debian этот xz бекдор не мог сработать из-за особенностей сборки.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

115. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (115), 26-Сен-25, 20:42

> Емнип в debian этот xz бекдор не мог сработать из-за особенностей сборки.
Лол. Как раз на дебиане тот чел из МС и заметил бекдор из-за загрузки CPU. Не знаю, была ли там "работа" в том виде, в котором задумывал автор бэкдора, но тем не менее.

Ответить | Правка | Наверх | Cообщить модератору

77. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (77), 26-Сен-25, 12:40

Началось. Это скайнет создал Раст, чтобы загрузить туда вредоносные пакеты, чтобы поработить человечество.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

91. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от OpenEcho (?), 26-Сен-25, 14:28

> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Зачем мелочиться на пакеты, вредить/бэкдорить, - так корневом уровне :) Если забыли, то это про константный сид в генераторе случайности, который присутсвовал ну не простительно долго

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

104. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Arlezoner (?), 26-Сен-25, 17:32

Патаму , что нормальные языки программирования
1) Имеют международный стандарт.
2) Имеют несколько реализаций от различных организаций
3) Стандартную библиотеку пишут, либо разработчики транслятора, либо её нет вовсе
У Rust  c  первыми двумя пунктами пока все кисло, а по третьему стандартный сборочный инструментарий - скачивает из интернета вышеупомянутую малварь и надо прикладывать непрерывные усилия , чтобы от неё отвязаться, чтобы вот это все дерево зависимостей непрерывно проверять.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

113. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (-), 26-Сен-25, 19:03

> Патаму , что нормальные языки программирования
Это какие?)
> 1) Имеют международный стандарт.
Зачем?
Разработчики копиляторов им просто подотрутся и/или реализуют только половину.
> 2) Имеют несколько реализаций от различных организаций
Зачем?
Чтобы потом один и тот же код по разному работал в зависимости от вендора компилятора, версии, фазы луны?
> 3) Стандартную библиотеку пишут, либо разработчики транслятора, либо её нет вовсе
Ага, а потом получаем парад велосипедов.
С крутыми багами "мы не сумели сделать сплит строки".
> У Rust  c  первыми двумя пунктами пока все кисло,
Но я ядро линуск его добавили)
> а по третьему стандартный сборочный инструментарий - скачивает из интернета вышеупомянутую малварь
Ничем не отличается от скачивания какой-то дырявой жлибц или libwebpp прям с хранилища пакетов дистрибутива.
Вон дебилианы пропихнули спайварь в пакет и что?

Ответить | Правка | Наверх | Cообщить модератору

117. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (116), 26-Сен-25, 20:44

>> Патаму , что нормальные языки программирования
> Это какие?)
Очевидный Common Lisp, который тот аноним даже на картинках не видел.

Ответить | Правка | Наверх | Cообщить модератору

121. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –1 +/–

Сообщение от Arleziker (?), 26-Сен-25, 23:11

>Чтобы потом один и тот же код по разному работал в зависимости от вендора компилятора, версии, фазы луны?
> вендора компилятора  - вы писали программу вне соответствии стандарта языка и вы  должны быть  наказанны.
> версии - разработчики компиллятора выкатили незрелый продукт и все должны быть наказанны.
> фазы луны
   - значит вы  где-то не инициализировал память. И должны быть наказанны. Но в rust такое ведь никогда не бывает , не так-ли ??
PS
Держу пари, что если появится компиллятор rust от другого вендора вылезет столько ошибок и в логике программ, и в реализации самого rust, что лучше бы ему не появлятся ,бгг

Ответить | Правка | К родителю #113 | Наверх | Cообщить модератору

124. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 27-Сен-25, 00:49

>Держу пари, что если появится компиллятор rust от другого вендора вылезет столько ошибок и в логике программ, и в реализации самого rust, что лучше бы ему не появлятся
Вы его уже проиграли. Опыт фирм-разработчиков ПО с всемирной известностью доказал на практике (а не пустопорожней болтовней), что ошибок в ПО после перехода с Плюсов, Сей на Раст становится гораздо меньше.

Ответить | Правка | Наверх | Cообщить модератору

108. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Анонисссм (?), 26-Сен-25, 18:39

>ментейнер дебиана перепутал и заменил пакет на вредоносный
"ментейнер дебиана перепутал" и свёл до околонуля энтропию в openssl.
но ты тогда ещё в школу ходил, поэтому считай не было )

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

122. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Arleziker (?), 26-Сен-25, 23:13

Энтропию он свел Ради Безопасной Работы С Памятью !(с)
Опередил свое время, так сказать ...

Ответить | Правка | Наверх | Cообщить модератору

110. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (110), 26-Сен-25, 18:49

>Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"?
Конечно репозитории дебиана безопасны, ведь в них почти ничего нет.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +3 +/–

Сообщение от Аноним (9), 25-Сен-25, 22:12

Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.

Ответить | Правка | Наверх | Cообщить модератору

14. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +4 +/–

Сообщение от 12yoexpert (ok), 25-Сен-25, 22:57

эти придумают ещё более долбанутую нёх, можешь быть уверен

Ответить | Правка | Наверх | Cообщить модератору

19. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от нах. (?), 25-Сен-25, 23:33

присоединяюсь. Уж у этих-то точно будет БЕЗОПАСТНО!
(тем более их пользуемые от них уж точно никуда не денутся, если тебя нет в crates, тебя вообще нет. Жабаскриптерам-то не привыкать тянуть в рот всякую пакость прямо с шитхаба и шитляпа.)

Ответить | Правка | Наверх | Cообщить модератору

62. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (61), 26-Сен-25, 10:49

> 12yoexpert
> нах
> присоединяюсь
Традиционно, перепись экспертов, не пишущих на Расте - но очень обеспокоеных всем, что с ним связано.

Ответить | Правка | Наверх | Cообщить модератору

74. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 12:37

> Традиционно, перепись экспертов, не пишущих на Расте - но очень обеспокоеных всем, что с ним связано.
Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
Некто обнаружил что если наступить, то пахнет плохо.
И теперь они говорят, ну мы же вам говорили, что это очень плохо пахнущее...

Ответить | Правка | Наверх | Cообщить модератору

81. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (-), 26-Сен-25, 13:16

> Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
Типа ХЗ библиотеки?
Если бы не мелкомягкие, то тысячи глаз так бы и видели фигу.
ps я уже молчу что на сайте кернела 2 года (ДЖВА года, Карл!) был бекдор.

Ответить | Правка | Наверх | Cообщить модератору

82. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 13:19

> Типа ХЗ библиотеки?
Типа использования зависимостей не из системы, а с непойми чего.
Нет ни одной помойки, где это бы не приводило к проблемам. И разработчики rust внедряют архитектуры разработки построенную на помойке.

Ответить | Правка | Наверх | Cообщить модератору

99. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от нах. (?), 26-Сен-25, 16:20

> Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
> Некто обнаружил что если наступить, то пахнет плохо.
а мы теперь - просто ржем. "Чуть не вляпался", ага-ага.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

100. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (100), 26-Сен-25, 16:30

> а мы теперь - просто ржем.
Ну так это единственное что вы можете)
> "Чуть не вляпался", ага-ага.
Ага, сидя по уши в том самом "не вляпался", получая ХЗ библиотеки из такой репо-помойки)

Ответить | Правка | Наверх | Cообщить модератору

123. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (123), 27-Сен-25, 00:09

> Ага, сидя по уши в том самом "не вляпался", получая ХЗ библиотеки из такой репо-помойки)
Забавно как пытаешься защищать свою точку зрения. Ничем не обосновывая. Приводя в пример библиотеку - контроль разработки которой захватил злоумышленнки и обломался. То есть опровергая сам себя.
Ты смешной!

Ответить | Правка | Наверх | Cообщить модератору

27. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (21), 26-Сен-25, 00:02

От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

35. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от 12yoexpert (ok), 26-Сен-25, 01:34

> не быть дурачком
алё, речь про раст

Ответить | Правка | Наверх | Cообщить модератору

95. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (94), 26-Сен-25, 15:27

> Надеюсь хоть эти-то не будут вводить ересь
Они раст придумали...

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Доктор Альба (?), 25-Сен-25, 22:20

Сейчас много подобных атак. Например, вредоносные NPM пакеты нацеленные на криптокошельки.

Ответить | Правка | Наверх | Cообщить модератору

23. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +2 +/–

Сообщение от Аноним (18), 25-Сен-25, 23:52

Для минимизации рисков в Rust рекомендуется:
◇ Использовать только известные и проверенные крейты.
◇ Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit.
◇ Фиксировать версии в Cargo.lock и избегать автоматических обновлений без ревью.

Ответить | Правка | Наверх | Cообщить модератору

36. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 26-Сен-25, 02:26

Что будете делать, если популярный crate использует такую зависимость?

Ответить | Правка | Наверх | Cообщить модератору

47. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 26-Сен-25, 07:37

Вам же написали: "Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit

Ответить | Правка | Наверх | Cообщить модератору

66. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (64), 26-Сен-25, 11:02

Не спасёт, очевидно, от того, что в новости.

Ответить | Правка | Наверх | Cообщить модератору

125. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 27-Сен-25, 00:54

Если проверять тщательно - спасёт. Но справедливости ради - это не так уж просто в мире современного ПО.

Ответить | Правка | Наверх | Cообщить модератору

42. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –3 +/–

Сообщение от Аноним (42), 26-Сен-25, 05:46

😂 😂 🤪 Ужос! Как будта прачол рекомендации ФТЭК России.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

54. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 26-Сен-25, 08:00

Что там ужасного? Эти меры ведь не являются обязательными.

Ответить | Правка | Наверх | Cообщить модератору

34. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (34), 26-Сен-25, 01:05

Деды не зря тарболы публиковали на своих сайтах.

Ответить | Правка | Наверх | Cообщить модератору

39. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (-), 26-Сен-25, 04:31

XZ-бэкдор раздавался как раз в тарболе, в самом репозитории всё было чисто.

Ответить | Правка | Наверх | Cообщить модератору

97. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (97), 26-Сен-25, 15:54

Но тарбол на сайте самого xz был чист. Github - очередной репозиторий.

Ответить | Правка | Наверх | Cообщить модератору

40. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от 0xdeadbee (-), 26-Сен-25, 05:06

> faster_log вместо fast_log
а чего мелочиться. "superfastest_log" и все дела.
практически "ускоритель Интернета", ньюфаги не знают, олдфаги не помнят.

Ответить | Правка | Наверх | Cообщить модератору

58. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (58), 26-Сен-25, 09:24

Забыл как эмпэтришки через флешгет качал?

Ответить | Правка | Наверх | Cообщить модератору

45. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –1 +/–

Сообщение от Аноним (45), 26-Сен-25, 06:22

Две проблемы у проекта:
1. Уязвимость архитектуры (взято худшее от аналогов).
2. Проблемы с оплатой инфраструктуры - обсуждается введение оплаты.
Выводы каждый может сделать сам - нужно ли вкладывать ресурсы.

Ответить | Правка | Наверх | Cообщить модератору

49. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Прохожий (??), 26-Сен-25, 07:42

1. Не могли бы вы более детально раскрыть своё утверждение по поводу плохой архитектуры? Заодно приведите, пожалуйста, пример хорошей.
2. Ссылку можете дать на обсуждение (если оно, конечно, не приснилось вам)?

Ответить | Правка | Наверх | Cообщить модератору

55. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –1 +/–

Сообщение от Аноним (45), 26-Сен-25, 08:13

1. Все, использующие не контролируемые разработчиком репозитории для сборки проектов.
2. Модератор удалил ссылку на securitylab. Google Вам в помощь.

Ответить | Правка | Наверх | Cообщить модератору

126. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 27-Сен-25, 01:00

1. Это к архитектуре имеет опосредованное отношение. Вас никто не заставляет пользоваться публичными репозитариями, вполне можете создать свой собственный, находящийся только под вашим неусыпным контролем.
Всё-таки, приведите пример хорошей архитектуры. Или вам просто нечего сказать?

2. Я не собираюсь искать вместо вас аргументы, подтверждающие вашу точку зрения. Потому что трудно найти чёрную кошку в тёмной комнате, особенно, когда её там нет.

Ответить | Правка | Наверх | Cообщить модератору

51. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (51), 26-Сен-25, 07:48

Вот потому все тулзы с репозиториями идут лесом. В Hyperbola не зря их запретили на корню.

Ответить | Правка | Наверх | Cообщить модератору

53. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 26-Сен-25, 07:54

Вам никто не запрещает использовать исключительно локальные репозитарии, закрыв доступ к публичным.

Ответить | Правка | Наверх | Cообщить модератору

60. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (45), 26-Сен-25, 10:21

Даже если сделать так, после развертывания вредоносы прилетят с обновлениями. Вам уже три человека выше помимо самой новости доказали ущербность такой архитектуры, а Вы всё упорствуете, как будто вложились в сабж. Видимо, так и есть.

Ответить | Правка | Наверх | Cообщить модератору

70. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (70), 26-Сен-25, 12:15

Само ничего никуда не летает. Не хочешь обновляться - не обновляйся. Автоматическое скачивание зависимостей - для тех, кто хочет обновляться, но не хочет руками каждый пакет качать.

Ответить | Правка | Наверх | Cообщить модератору

76. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 12:39

> Автоматическое скачивание зависимостей - для тех, кто хочет обновляться, но не хочет руками каждый пакет качать.
Архитектура задает культуру разработки. И тут она никакая.

Ответить | Правка | Наверх | Cообщить модератору

128. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 27-Сен-25, 01:06

Тут у вас есть выбор. Никакая архитектура - когда выбора нет и приходится самому рыться по куче сайтов, чтобы собрать что-то путное.

Ответить | Правка | Наверх | Cообщить модератору

127. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 27-Сен-25, 01:05

>Вам уже три человека выше помимо самой новости доказали ущербность такой архитектуры
Не заметил ни одного доказательства. Ещё раз. Вас никто не заставляет пользоваться публичными источниками. Хотите полный контроль над кодом - создаёте свой репозитарий и вливаете туда код руками после тщательной проверки.

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

87. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (87), 26-Сен-25, 14:10

вот бы там еще блютуз работал

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

68. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (68), 26-Сен-25, 11:48

И это толко начало! А то ли ещё будет…

Ответить | Правка | Наверх | Cообщить модератору

80. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от asd (??), 26-Сен-25, 13:15

Для чего было придумано, то и происходит..

Ответить | Правка | Наверх | Cообщить модератору

96. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (96), 26-Сен-25, 15:36

А чего там за код? Еще код посмотреть можно?
А то вирусы и прочее тоже надо посмотреть как писать на Rust.
Интеерсно же...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от Аноним (2), 25-Сен-25, 22:08
В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (8), 25-Сен-25, 22:38
	Рофлишь? Конечно нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	94. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+2 +/–
	Сообщение от Аноним (94), 26-Сен-25, 15:23
	Раст же безопасный язык, разве на нём можно написать небезопасный код?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	109. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+2 +/–
	Сообщение от Аноним (109), 26-Сен-25, 18:48
	Безопасная вредоносная вставка. Это про ржавые пакеты из топика, а не про ржавый язык. Хотя.. Погодите-ка!..
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+9 +/–
Сообщение от Аноним (3), 25-Сен-25, 22:11
Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват. Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+7 +/–
	Сообщение от Аноним (5), 25-Сен-25, 22:17
	> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил > пакет на вредоносный"? Вот где люди реально проверяют. Почему "не было"? https://www.opennet.dev/opennews/art.shtml?num=63677 > Пакет StarDict в Debian отправляет выделенный текст на внешние серверы > 04.08.2025 22:08 причем, не "перепутал", а включил осознанно. > Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию. .
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–9 +/–
	Сообщение от Аноним (7), 25-Сен-25, 22:32
	Твой пример под описанную ситуацию совсем не подходит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+6 +/–
	Сообщение от Аноним (5), 25-Сен-25, 23:20
	>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. > Твой пример под описанную ситуацию совсем не подходит. Ну да, аутотренинг еще никто не отменял ...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+5 +/–
	Сообщение от Аноним (21), 25-Сен-25, 23:39
	Ну да конечно, вы не понимаете это другое
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	9. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+3 +/–
	Сообщение от Аноним (9), 25-Сен-25, 22:38
	> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват. > Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют. Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту. Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	11. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 25-Сен-25, 22:49
	> Нет, не проверяют, и были случаи малвари в дебиане. Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz. Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню. А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от Аноним (25), 25-Сен-25, 23:59
	> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz. Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают. > А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало. Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (72), 26-Сен-25, 12:30
	> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты. Явно видно, что вы не понимаете о чем речь. А она о том что почти все пакеты дебиан имеют повторяемую сборку. Когда из пакета исходников собирается пакет ПОБАЙТОВО совподающий с тем, что на сервере.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+3 +/–
	Сообщение от Аноним (3), 26-Сен-25, 00:36
	> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты. Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git. Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	10. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (9), 25-Сен-25, 22:43
	> и тд – свалка непроверенных библиотек И потом, к чему этот негатив если альтернатив нет в принципе никаких?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	12. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+3 +/–
	Сообщение от Аноним (3), 25-Сен-25, 22:50
	Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 25-Сен-25, 22:53
	> если альтернатив нет в принципе никаких? Nixpkgs.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	29. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (25), 26-Сен-25, 00:06
	В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 26-Сен-25, 00:38
	> В каком месте это альтернатива Пакетов больше, чем в aur. > и в каком месте это менее помойка? А я разве говорил обратное?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	112. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (109), 26-Сен-25, 18:52
	Но работающих пакетов меньше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	119. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 26-Сен-25, 22:15
	С чего бы?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+18 +/–
	Сообщение от Аноним (17), 25-Сен-25, 23:20
	NPM - да, помойка! Aur - да, свалка! Pypi - да, ещё одна помойка! Rust-репозиторий - к чему этот негатив?
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	26. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–4 +/–
	Сообщение от Аноним (25), 26-Сен-25, 00:02
	Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (46), 26-Сен-25, 07:32
	Дай лучше ссылку, где ты о других репозиториях писал "к чему этот негатив?".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–4 +/–
	Сообщение от Аноним (18), 25-Сен-25, 23:21
	>если альтернатив нет в принципе никаких? В принципе есть. Из бесплатных репозитариев - МосХаб, проверяет проекты на безопасность. Из коммерческих - конвейеры безопасной разработки программных продуктов и сервисов https://www.tadviser.ru/index.php/Продукт:Ростелеком_и_ИСП_РАН:_Конвейеры_безопасной_разработки_программных_продуктов_и_сервисов
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	22. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от Аноним (21), 25-Сен-25, 23:41
	Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	31. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 26-Сен-25, 00:37
	> Каждые полгода такие новости появляются. Назовите, пожалуйста, две за прошедший год?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Прохожий (??), 26-Сен-25, 07:51
	Оно? 1.В апреле 2025 года исследователи из ReversingLabs обнаружили две вредоносные Python-библиотеки — bitcoinlibdbfix и bitcoinlib-dev, которые маскировались под исправления популярной криптовалютной библиотеки bitcoinlib. Эти пакеты пытались украсть чувствительные данные, перезаписывая легитимную команду и пытаясь добыть конфиденциальные базы данных. Обе библиотеки были удалены из PyPI после обнаружения злоумышленных действий. 2. В сентябре 2025 года зафиксирована вспышка заражения более 500 популярных npm-библиотек вредоносным червём Shai-Hulud, который распространялся самостоятельно. Среди заражённых были библиотеки компании CrowdStrike и @ctrl/tinycolor, скачиваемая более 2 миллионов раз в неделю. Этот вредоносный код создавал угрозу утечки приватных репозиториев и исходного кода пользователей
	Ответить \| Правка \| Наверх \| Cообщить модератору


	64. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (64), 26-Сен-25, 10:57
	И при чём здесь debian? Речь шла про его репозитории. Про pypi и схожие и так всё понятно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	116. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (116), 26-Сен-25, 20:43
	Там выше про китайские словари-подстрочники можешь почитать.
	Ответить \| Правка \| Наверх \| Cообщить модератору