forum.opennet.ru - "В Rust-репозитории crates.io выявлены два вредоносных пакета" (34)

"В Rust-репозитории crates.io выявлены два вредоносных пакета"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от opennews (??), 25-Сен-25, 22:05
Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов faster_log и async_println, содержащих вредоносный код. Пакеты были размещены в репозитории 25 мая и с тех пор были загружены 8424 раза... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63944
Ответить \| Правка \| Cообщить модератору

Оглавление

В репо Оверхед к пакетам сканирует триггеры, процедуры инсталляции и проверки т, Аноним (2), 22:08 , 25-Сен-25, (2)

Рофлишь Конечно нет , Аноним (8), 22:38 , 25-Сен-25, (8)

Так все эти crates, pypi и тд 8211 свалка непроверенных библиотек Как aur Н, Аноним (3), 22:11 , 25-Сен-25, (3) +2

Почему не было https www opennet ru opennews art shtml num 63677причем, не , Аноним (5), 22:17 , 25-Сен-25, (5)

Твой пример под описанную ситуацию совсем не подходит , Аноним (7), 22:32 , 25-Сен-25, (7) +2

Ну да, аутотренинг еще никто не отменял , Аноним (5), 23:20 , 25-Сен-25, (16) –1
Ну да конечно, вы не понимаете это другое, Аноним (21), 23:39 , 25-Сен-25, (21)

Нет, не проверяют, и были случаи малвари в дебиане Конечно же, courated репозит, Аноним (9), 22:38 , 25-Сен-25, (9)

Нет, не было таких случаев Я говорю конкретно про ошибку с подменой А не когда, Аноним (3), 22:49 , 25-Сен-25, (11)

Скрыто модератором, Аноним (25), 23:59 , 25-Сен-25, (25)
Скрыто модератором, Аноним (3), 00:36 , 26-Сен-25, (30)

И потом, к чему этот негатив если альтернатив нет в принципе никаких , Аноним (9), 22:43 , 25-Сен-25, (10) –1

Это факт, а не негатив Свалка есть свалка Она полезна, если ты перепроверяешь , Аноним (3), 22:50 , 25-Сен-25, (12)
Nixpkgs , Аноним (3), 22:53 , 25-Сен-25, (13)

В каком месте это альтернатива, и в каком месте это менее помойка Репозитории м, Аноним (25), 00:06 , 26-Сен-25, (29)

Пакетов больше, чем в aur А я разве говорил обратное , Аноним (3), 00:38 , 26-Сен-25, (32)

NPM - да, помойка Aur - да, свалка Pypi - да, ещё одна помойка Rust-репозиторий , Аноним (17), 23:20 , 25-Сен-25, (17) +1

Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о д, Аноним (25), 00:02 , 26-Сен-25, (26) –1

Скрыто модератором, Аноним (18), 23:21 , 25-Сен-25, (18) –1

Смеешься Каждые полгода такие новости появляются Любая репа - это потенциальна, Аноним (21), 23:41 , 25-Сен-25, (22)

Назовите, пожалуйста, две за прошедший год , Аноним (3), 00:37 , 26-Сен-25, (31)

Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга н, Аноним (9), 22:12 , 25-Сен-25, (4) +1

эти придумают ещё более долбанутую нёх, можешь быть уверен, 12yoexpert (ok), 22:57 , 25-Сен-25, (14) +1

Скрыто модератором, нах. (?), 23:33 , 25-Сен-25, (19) +1

От этого спасает только не быть дурачком и использовать высоко энтропийные уника, Аноним (21), 00:02 , 26-Сен-25, (27)

алё, речь про раст, 12yoexpert (ok), 01:34 , 26-Сен-25, (35)

Сейчас много подобных атак Например, вредоносные NPM пакеты нацеленные на крипт, Доктор Альба (?), 22:20 , 25-Сен-25, (6)
Как так Обещали же на этапе компиляции безопасно делать Опять обманули с , Аноним (15), 23:17 , 25-Сен-25, (15) +4

Не, ну всего ж два пакетика В npm вон сотни, а сколько там в пиписке никто не с, нах. (?), 23:35 , 25-Сен-25, (20)
Обещали безопасную работу с памятью Сможешь доказать, что это не так , Аноним (21), 00:03 , 26-Сен-25, (28)

Для минимизации рисков в Rust рекомендуется 9671 Использовать только известны, Аноним (18), 23:52 , 25-Сен-25, (23)
Пффф а разговоров то было Зато прям сборище клованов в комментах, Аноним (-), 23:56 , 25-Сен-25, (24)

Ну, популярный язык Теперь представь, сколько не нашли , Аноним (33), 00:49 , 26-Сен-25, (33)

Деды не зря тарболы публиковали на своих сайтах , Аноним (34), 01:05 , 26-Сен-25, (34) +1

Сообщения [Сортировка по времени | RSS]

2. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (2), 25-Сен-25, 22:08

В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?

Ответить | Правка | Наверх | Cообщить модератору

8. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (8), 25-Сен-25, 22:38

Рофлишь? Конечно нет.

Ответить | Правка | Наверх | Cообщить модератору

3. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +2 +/–

Сообщение от Аноним (3), 25-Сен-25, 22:11

Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.

Ответить | Правка | Наверх | Cообщить модератору

5. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (5), 25-Сен-25, 22:17

> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил
> пакет на вредоносный"? Вот где люди реально проверяют.
Почему "не было"?
https://www.opennet.dev/opennews/art.shtml?num=63677
> Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
> 04.08.2025 22:08
причем, не "перепутал", а включил осознанно.
> Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию.
.

Ответить | Правка | Наверх | Cообщить модератору

7. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +2 +/–

Сообщение от Аноним (7), 25-Сен-25, 22:32

Твой пример под описанную ситуацию совсем не подходит.

Ответить | Правка | Наверх | Cообщить модератору

16. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –1 +/–

Сообщение от Аноним (5), 25-Сен-25, 23:20

>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn.
> Твой пример под описанную ситуацию совсем не подходит.
Ну да, аутотренинг еще никто не отменял ...

Ответить | Правка | Наверх | Cообщить модератору

21. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (21), 25-Сен-25, 23:39

Ну да конечно, вы не понимаете это другое

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (9), 25-Сен-25, 22:38

> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту.
Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 25-Сен-25, 22:49

> Нет, не проверяют, и были случаи малвари в дебиане.
Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню.
А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.

Ответить | Правка | Наверх | Cообщить модератору

25. Скрыто модератором +/–

Сообщение от Аноним (25), 25-Сен-25, 23:59

> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают.
> А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.

Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором +/–

Сообщение от Аноним (3), 26-Сен-25, 00:36

> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git.
Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

10. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –1 +/–

Сообщение от Аноним (9), 25-Сен-25, 22:43

> и тд – свалка непроверенных библиотек
И потом, к чему этот негатив если альтернатив нет в принципе никаких?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 25-Сен-25, 22:50

Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.

Ответить | Правка | Наверх | Cообщить модератору

13. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 25-Сен-25, 22:53

> если альтернатив нет в принципе никаких?
Nixpkgs.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

29. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (25), 26-Сен-25, 00:06

В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.

Ответить | Правка | Наверх | Cообщить модератору

32. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 26-Сен-25, 00:38

> В каком месте это альтернатива
Пакетов больше, чем в aur.
> и в каком месте это менее помойка?
А я разве говорил обратное?

Ответить | Правка | Наверх | Cообщить модератору

17. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (17), 25-Сен-25, 23:20

NPM - да, помойка!
Aur - да, свалка!
Pypi - да, ещё одна помойка!
Rust-репозиторий - к чему этот негатив?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

26. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –1 +/–

Сообщение от Аноним (25), 26-Сен-25, 00:02

Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.

Ответить | Правка | Наверх | Cообщить модератору

18. Скрыто модератором –1 +/–

Сообщение от Аноним (18), 25-Сен-25, 23:21

>если альтернатив нет в принципе никаких?
В принципе есть. Из бесплатных репозитариев - МосХаб, проверяет проекты на безопасность.
Из коммерческих - конвейеры безопасной разработки программных продуктов и сервисов https://www.tadviser.ru/index.php/Продукт:Ростелеком_и_ИСП_РАН:_Конвейеры_безопасной_разработки_программных_продуктов_и_сервисов

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

22. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (21), 25-Сен-25, 23:41

Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

31. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 26-Сен-25, 00:37

> Каждые полгода такие новости появляются.
Назовите, пожалуйста, две за прошедший год?

Ответить | Правка | Наверх | Cообщить модератору

4. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (9), 25-Сен-25, 22:12

Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.

Ответить | Правка | Наверх | Cообщить модератору

14. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от 12yoexpert (ok), 25-Сен-25, 22:57

эти придумают ещё более долбанутую нёх, можешь быть уверен

Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором +1 +/–

Сообщение от нах. (?), 25-Сен-25, 23:33

присоединяюсь. Уж у этих-то точно будет БЕЗОПАСТНО!
(тем более их пользуемые от них уж точно никуда не денутся, если тебя нет в crates, тебя вообще нет. Жабаскриптерам-то не привыкать тянуть в рот всякую пакость прямо с шитхаба и шитляпа.)

Ответить | Правка | Наверх | Cообщить модератору

27. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (21), 26-Сен-25, 00:02

От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

35. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от 12yoexpert (ok), 26-Сен-25, 01:34

> не быть дурачком
алё, речь про раст

Ответить | Правка | Наверх | Cообщить модератору

6. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Доктор Альба (?), 25-Сен-25, 22:20

Сейчас много подобных атак. Например, вредоносные NPM пакеты нацеленные на криптокошельки.

Ответить | Правка | Наверх | Cообщить модератору

15. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +4 +/–

Сообщение от Аноним (15), 25-Сен-25, 23:17

Как так? Обещали же "на этапе компиляции" безопасно делать... Опять обманули (с)

Ответить | Правка | Наверх | Cообщить модератору

20. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от нах. (?), 25-Сен-25, 23:35

Не, ну всего ж два пакетика. В npm вон сотни, а сколько там в пиписке никто не считал, там попробуй сперва найди в той помойке не вредоносный.
Не только лишь каждый убежит от борова так чтоб было что выкладывать в crates!

Ответить | Правка | Наверх | Cообщить модератору

28. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (21), 26-Сен-25, 00:03

Обещали безопасную работу с памятью. Сможешь доказать, что это не так?)

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

23. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (18), 25-Сен-25, 23:52

Для минимизации рисков в Rust рекомендуется:
◇ Использовать только известные и проверенные крейты.
◇ Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit.
◇ Фиксировать версии в Cargo.lock и избегать автоматических обновлений без ревью.

Ответить | Правка | Наверх | Cообщить модератору

24. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (-), 25-Сен-25, 23:56

> Пакеты были размещены в репозитории 25 мая и
> с тех пор были загружены 8424 раза
Пффф... а разговоров то было...
Зато прям сборище клованов в комментах

Ответить | Правка | Наверх | Cообщить модератору

33. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (33), 26-Сен-25, 00:49

Ну, популярный язык. Теперь представь, сколько не нашли.

Ответить | Правка | Наверх | Cообщить модератору

34. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (34), 26-Сен-25, 01:05

Деды не зря тарболы публиковали на своих сайтах.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от Аноним (2), 25-Сен-25, 22:08
В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (8), 25-Сен-25, 22:38
	Рофлишь? Конечно нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+2 +/–
Сообщение от Аноним (3), 25-Сен-25, 22:11
Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват. Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (5), 25-Сен-25, 22:17
	> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил > пакет на вредоносный"? Вот где люди реально проверяют. Почему "не было"? https://www.opennet.dev/opennews/art.shtml?num=63677 > Пакет StarDict в Debian отправляет выделенный текст на внешние серверы > 04.08.2025 22:08 причем, не "перепутал", а включил осознанно. > Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию. .
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+2 +/–
	Сообщение от Аноним (7), 25-Сен-25, 22:32
	Твой пример под описанную ситуацию совсем не подходит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–1 +/–
	Сообщение от Аноним (5), 25-Сен-25, 23:20
	>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. > Твой пример под описанную ситуацию совсем не подходит. Ну да, аутотренинг еще никто не отменял ...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (21), 25-Сен-25, 23:39
	Ну да конечно, вы не понимаете это другое
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	9. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (9), 25-Сен-25, 22:38
	> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват. > Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют. Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту. Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	11. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 25-Сен-25, 22:49
	> Нет, не проверяют, и были случаи малвари в дебиане. Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz. Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню. А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. Скрыто модератором	+/–
	Сообщение от Аноним (25), 25-Сен-25, 23:59
	> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz. Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают. > А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало. Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. Скрыто модератором	+/–
	Сообщение от Аноним (3), 26-Сен-25, 00:36
	> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты. Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git. Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	10. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–1 +/–
	Сообщение от Аноним (9), 25-Сен-25, 22:43
	> и тд – свалка непроверенных библиотек И потом, к чему этот негатив если альтернатив нет в принципе никаких?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	12. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 25-Сен-25, 22:50
	Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 25-Сен-25, 22:53
	> если альтернатив нет в принципе никаких? Nixpkgs.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	29. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (25), 26-Сен-25, 00:06
	В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 26-Сен-25, 00:38
	> В каком месте это альтернатива Пакетов больше, чем в aur. > и в каком месте это менее помойка? А я разве говорил обратное?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от Аноним (17), 25-Сен-25, 23:20
	NPM - да, помойка! Aur - да, свалка! Pypi - да, ещё одна помойка! Rust-репозиторий - к чему этот негатив?
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	26. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–1 +/–
	Сообщение от Аноним (25), 26-Сен-25, 00:02
	Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. Скрыто модератором	–1 +/–
	Сообщение от Аноним (18), 25-Сен-25, 23:21
	>если альтернатив нет в принципе никаких? В принципе есть. Из бесплатных репозитариев - МосХаб, проверяет проекты на безопасность. Из коммерческих - конвейеры безопасной разработки программных продуктов и сервисов https://www.tadviser.ru/index.php/Продукт:Ростелеком_и_ИСП_РАН:_Конвейеры_безопасной_разработки_программных_продуктов_и_сервисов
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	22. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (21), 25-Сен-25, 23:41
	Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	31. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 26-Сен-25, 00:37
	> Каждые полгода такие новости появляются. Назовите, пожалуйста, две за прошедший год?
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
Сообщение от Аноним (9), 25-Сен-25, 22:12
Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от 12yoexpert (ok), 25-Сен-25, 22:57
	эти придумают ещё более долбанутую нёх, можешь быть уверен
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. Скрыто модератором	+1 +/–
	Сообщение от нах. (?), 25-Сен-25, 23:33
	присоединяюсь. Уж у этих-то точно будет БЕЗОПАСТНО! (тем более их пользуемые от них уж точно никуда не денутся, если тебя нет в crates, тебя вообще нет. Жабаскриптерам-то не привыкать тянуть в рот всякую пакость прямо с шитхаба и шитляпа.)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (21), 26-Сен-25, 00:02
	От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	35. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от 12yoexpert (ok), 26-Сен-25, 01:34
	> не быть дурачком алё, речь про раст
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от Доктор Альба (?), 25-Сен-25, 22:20
Сейчас много подобных атак. Например, вредоносные NPM пакеты нацеленные на криптокошельки.
Ответить \| Правка \| Наверх \| Cообщить модератору

15. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+4 +/–
Сообщение от Аноним (15), 25-Сен-25, 23:17
Как так? Обещали же "на этапе компиляции" безопасно делать... Опять обманули (с)
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от нах. (?), 25-Сен-25, 23:35
	Не, ну всего ж два пакетика. В npm вон сотни, а сколько там в пиписке никто не считал, там попробуй сперва найди в той помойке не вредоносный. Не только лишь каждый убежит от борова так чтоб было что выкладывать в crates!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (21), 26-Сен-25, 00:03
	Обещали безопасную работу с памятью. Сможешь доказать, что это не так?)
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору