Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, провёл второе исследование в рамках программы Census, нацеленной на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52415

• Рейтинг библиотек, требующих особой проверки безопасности,Здрасьте, 10:26 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 10:56 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 12:18 , 22-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,InuYasha, 13:27 , 22-Фев-20
        • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 00:12 , 23-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 17:12 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Анон Анонов, 22:09 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 00:13 , 23-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,Чувак, 13:50 , 24-Фев-20
        • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 23:37 , 24-Фев-20
          • Рейтинг библиотек, требующих особой проверки безопасности,Чувак, 14:54 , 25-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Анонимус2, 10:38 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,abi, 12:20 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Анонимус2, 20:31 , 04-Мрт-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 12:53 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Анонимус2, 20:31 , 04-Мрт-20
• Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 11:19 , 22-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 11:26 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 11:52 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 16:25 , 22-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,Анон Анонов, 22:12 , 22-Фев-20
        • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 02:50 , 23-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,Урри, 01:14 , 24-Фев-20
        • Рейтинг библиотек, требующих особой проверки безопасности,Чувак, 13:53 , 24-Фев-20
        • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 14:16 , 24-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 14:09 , 28-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 12:05 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 12:12 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Michael Shigorin, 12:17 , 22-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,Шнягорин, 12:22 , 22-Фев-20
        • Рейтинг библиотек, требующих особой проверки безопасности,имя, 13:44 , 22-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 13:17 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 13:18 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,nelson, 16:38 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Аноним84701, 17:52 , 22-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 00:01 , 23-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,Урри, 23:05 , 23-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Michael Shigorin, 12:16 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 23:48 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 00:00 , 23-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,модный мальчик с подворотиками, 16:46 , 23-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Чувак, 13:55 , 24-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 12:51 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,InuYasha, 13:29 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 00:40 , 23-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,пох., 16:47 , 23-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 13:12 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 13:19 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 13:21 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Анон Анонов, 22:15 , 22-Фев-20
      • Рейтинг библиотек, требующих особой проверки безопасности,abi, 22:43 , 22-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 13:17 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,InuYasha, 13:36 , 22-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 19:11 , 22-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Грусть, 15:19 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 19:12 , 22-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,InuYasha, 20:04 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 04:24 , 25-Фев-20
    • Рейтинг библиотек, требующих особой проверки безопасности,InuYasha, 16:05 , 25-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 20:34 , 22-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Урри, 01:08 , 24-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Онаним, 23:15 , 22-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,borbacuca, 10:14 , 23-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 10:26 , 25-Фев-20
• Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 12:02 , 23-Фев-20
  • Рейтинг библиотек, требующих особой проверки безопасности,Аноним, 06:22 , 24-Фев-20

Дерьмовый рейтинг. Берём однострочную (всё остальное там — бойлерплейт) библиотеку «isarray», смотрим четыре его issues.

Первый — спрашивают зачем нужна односточная библиотека, во втором обсуждают лицензию, в третьем хотят промисы в эту библиотеку (зачем?), в последнем советуют поправить тесты.

В итоге «проблемы» там яйца выеденного не стоит.

От души посмеялся над автором isarray и Linux FUNdation

Fund-ation вообще-то.

или FFFFFFFUUUUUUUUU- NDA-tion :D (что в особенности касается работы с железками)

Не, тут чуваки явно на FUND'ation расчитывают, иначе зачем бы они полезли ворошить такой ынтырпрайз :)

Так сделай лучше. Давай посмотрим на твой?

Если такой умный, то напиши по памяти полифил для Array.isArray.

Блин, чувак, не хочу ничего сказать но даже голимые сишники в 196К строк умещают, сцуко, целый навороченный сервер с дохраналионом прибабахов в оном, а не какой-то там отдельный компонентик с няшечками.

Так че ты не пойдешь не исправишь интернет, раз такой умный

> Так че ты не пойдешь не исправишь интернет, раз такой умный

Для этого сначала терминаторов надо заимплементить.

Так пойди заимплементи, или только комменты писать умеешь?

logback давно мёртв, нужно просто везде его выкинуть, что при правильном его применении не составит труда

А можно поподробнее? logback-gelf-ом удобно в грейлог записывать.

> А можно поподробнее? logback-gelf-ом удобно в грейлог записывать.

Достаточно открыть их джиру и посчитать количество багов. Или посмотреть коммиты в репозиторий и релизы

Ого, а чё щас модно использовать?

> Ого, а чё щас модно использовать?

Log4j2 имеет паритет по фичам с logback но при этом поддерживается

Вот так посмотришь и задумаешься… Но я тоже так могу. Открыл рандомную портянку на баше, 2000 строк кода. Открыл вторую, 1000 строк. открыл 3 - 500… Осталось добавить тесты и документацию, и вот уже 300000 строк с 9999 проблем готово. И это практически чистый код без бойлерплейта.

isArray прекрасен:
>var toString = {}.toString;
>
>module.exports = Array.isArray || function (arr) {
>  return toString.call(arr) == '[object Array]';
>};

до введения Array.isArray проверка на ecmascript-овский Object#toString() была самым простым из надежных способов убедиться, что работаем именно с массивом. https://www.ecma-international.org/ecma-262/5.1/#sec-15.2.4.2

Естественный способ - var instanceof Array - всегда работал надежно. Но в некоторых браузерах довольно медленно. В общем, toString - результат микрооптимизаций.

Зачем понадобилось добавлять Array.isArray вместо оптимизации instanceof  - загадка.

если сравнивать instanceof массивов из разных фреймов, то получишь false.

Что, простите? Какое отношение Dom модель с frame имеет к языку?

Какой прекрасный язык. Какая прекрасная и продуманная архитектура. Какая лаконичность и читабельность!

Зачем? Почему? Как люди на этом работают? Зачем жрать этот кактус???
Вселенский мазохизм какой-то..

Просто ты родился сильно поздно и не успел изобрести что то не похожее на кактус, но у тебя все еще есть шанс

А что, в браузеры завезли другие кактусы?

В баге про лицензию спрятана ссылка на статью, в которой говориться, что isinstance не работает, если массив получен из iframe.

Вообще сам факт того, что семейство жабы критично в плане безопасности, довольно примечателен
С жаба-скриптом все понятно, это передний край, а вот то, что жаба критична, я не знал

Да и чай Java тоже не особо безопасен. А сигареты Ява так и вовсе вызывают проблемы с онко-безопасностью. Все ява-семейство небезопасно короче.

Забыли, возможно, самое тяжёлое и опасное из всего семейства? :)

Мотоциклы Ява? Или остров?

Belomorkanal programming language.

какое?

Все явы дырявые друшлаки. Любой нормальный человек это понимает.

>> Вообще сам факт того, что семейство жабы критично в плане безопасности, довольно примечателен

это ещё что. впереди длинная череда фэйлов в плане безопасности с участием поделок на якобы "безопасной" растишке.
безопасность - это вообще не про отсутствие адресной арифметики, сборщик мусора и gets, это про квалификацию разработчика

> безопасность - это вообще не про отсутствие адресной арифметики, сборщик мусора и  gets, это про квалификацию разработчика

Это да! Настоящий разработчик сразу опкоды вбивает.
А неосиляторы придумали всякие
Address/Thread/Memory/UB/DataFlow/Leak Sanitizer-ы да варнинги в компиляторах, вместо того чтобы просто прокачать квалификацию до нужного уровня :(

> Настоящий разработчик сразу опкоды вбивает.

Приятно почувствовать себя настоящим разработчиком :]

Переход на крайности - явный признак отсутствия аргументов.

Тьфу ты, я уж было думал, речь про _библиотеки_, а тут опять какая-то инициатива инициативных дураков о таких же :-/

Как кого покусает "политкорректность", так вот такое и остаётся вместо дела.

Самое противное, что сторожилы срать хотят на все это и пишут на кошерном Си или Паскале

Сторожилы должны сторожить. А прогать им ни к чему.

Безобразие. Ну ничего, скоро появится одна новая интересная инициатива - объявлять весь код, написанный на небезопастных языках - небезопастным, и не выполнять, без установки специальной безопастной версии системы, пятнадцати нажатий ok, трех подтверждений паролем и потом - все равно не выполнять, ибо небезопастно же!

В принципе, в ведроиде уже так и сделали, но что-то пока недостаточно интенсивно внедряют в остальной мир.

Кто обзывается тот так и называется

>>Javascript
>>11 авторов, 11 незакрытых проблем
>>3 автора, 3 незакрытых проблемы

Тонко.

Намёк на "Нет человека - нет проблемы?" )

> Намёк на "Нет человека - нет проблемы?" )

Давно пора выдавать лицензию на охоту на вебмакак.

на вредных животных можно охотиться без лицензий в любое время года.

Нужно вводить премию за сданные хвосты.

>isarray (317 строк кода, 3 автора, 3 коммитера, 4 незакрытых проблемы);

"Sorry, but I think that it doesn't make any sense, because it's ONE LINE OF CODE.
Why did you make it as NPM module?"

Потому что он лицензионный тролль, выпустил функцию, которая итак есть, а потом будет всех кто её использует терроризировать своей лицензией.

В новых браузерах есть, а например в ie нету.

Там MIT лицензия, ало

Её смогли нарушить когда заинлайнили функцию в nodejs, посмотрите откуда растут ноги у одной незакрытой проблемы.

Почему Линукс фаундейшн сама не выпустит единственно верные гнушные библиотеки на все случаи жизни? И сам не закроет все ишуи?

Нашёл в логах:
Caused by: Generic.foundation.OutOfMoneyError: Donation heap space
Out of money: Kill member 440 (java) score 0 or sacrifice project.
System halted.

Это компания состоит из юристов, там программистов то и нет, так что сколько денег им не давай будут падать с ошибкой.

Они таки спутали Java и JavaScript?

Юристы же.

Что, никого не смутило название "Census"?

Мы такое видели, что нас уже ничем не смутить.
Чем тебе Цензус не нравится? Радуйся что не анус.

ну, анус хоть как-то но хотя бы пропускает :)

> 196 тысяч строк кода,

Обречено умереть безопасТным...

Я вообще не понимаю для чего там 196 тысяч(!!!) строк. Да в 196'000 строк можно вместить 200 разных асинков для 200 разных языков.

[added]
Фух, сам асинк занимает всего 5'000 строк. Не знаю как эти балбесы считали...
асинк: https://github.com/caolan/async/blob/master/dist/async.js

Помнити лифпат!

и эти пингвины смеются над виндой

Где вы там пингвинов увидели? Всё обезьянья вебня.

где библиотеки php?

достаточно просто сказать: библиотеки php.