В репозитории пакетов RubyGems.org выявлена критическая уязвимость (CVE-2022-29176), позволяющая без наличия должных полномочий подменить некоторые чужие пакеты в репозитории путём инициирования изъятия (yank) легитимного пакета и загрузки вместо него другого файла с тем же именем и номером версии...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57155

• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 09:59 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Онаним, 10:01 , 09-Май-22
• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,анонимоузе, 10:21 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 21:40 , 09-Май-22
• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Sergey, 10:22 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,YetAnotherOnanym, 16:41 , 09-Май-22
• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,КО, 10:35 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 14:28 , 09-Май-22
    • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 15:15 , 15-Май-22
• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 10:56 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Онанистмус, 14:31 , 09-Май-22
• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 11:36 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 11:52 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 11:59 , 09-Май-22
    • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 12:09 , 09-Май-22
      • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Fracta1L, 12:14 , 09-Май-22
      • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 14:21 , 09-Май-22
        • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 17:08 , 09-Май-22
        • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 21:09 , 09-Май-22
    • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 12:11 , 09-Май-22
      • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 12:13 , 09-Май-22
        • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 13:22 , 09-Май-22
          • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 14:51 , 09-Май-22
            • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 15:51 , 09-Май-22
              • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 16:31 , 09-Май-22
                • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 16:34 , 09-Май-22
                  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 19:19 , 09-Май-22
              • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,YetAnotherOnanym, 16:59 , 09-Май-22
                • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 17:07 , 09-Май-22
                  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,YetAnotherOnanym, 18:27 , 09-Май-22
                    • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:34 , 09-Май-22
                • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:34 , 09-Май-22
                  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:41 , 09-Май-22
              • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:47 , 09-Май-22
                • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 19:04 , 09-Май-22
              • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 21:22 , 09-Май-22
            • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 15:55 , 09-Май-22
              • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 19:04 , 09-Май-22
                • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 19:19 , 09-Май-22
                  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 19:42 , 09-Май-22
                  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 20:56 , 09-Май-22
                    • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 21:05 , 09-Май-22
                      • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 21:12 , 09-Май-22
                        • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 21:33 , 09-Май-22
                          • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 21:42 , 09-Май-22
                        • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 21:39 , 09-Май-22
      • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 14:48 , 09-Май-22
        • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:59 , 09-Май-22
      • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Анончик, 03:30 , 18-Май-22
• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,ip1982, 11:47 , 09-Май-22
• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 13:38 , 09-Май-22
• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Смузихлёб, 15:43 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 16:01 , 09-Май-22
    • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Смузихлёб, 18:35 , 09-Май-22
      • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:55 , 09-Май-22
        • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Смузихлёб, 19:13 , 09-Май-22
          • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 19:31 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:22 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 10:32 , 10-Май-22
• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:23 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:32 , 09-Май-22
    • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:56 , 09-Май-22
      • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 04:52 , 10-Май-22
• Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 18:36 , 09-Май-22
  • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 19:02 , 09-Май-22
    • Уязвимость в RubyGems.org, позволяющая подменить чужие пакет...,Аноним, 14:05 , 10-Май-22

Очередное доказательство превосходства ANSI C над скриптухой типа java, rust, ruby и подобными

Да не, ну если к сям приделать такое же убожество вида "затяни покед с покедами автоматом" - будет то же самое. Тут не в язычках дело, а в аудитории.

Дефис же, потому что "-". Тире "—".

en-тире: –
em-тире: —
двойное em-тире: ⸺
тройное em-тире: ⸻

Учите TeX, лапти )

Итерсно а как поможет фрозен если уже прилетел. Насколько я помню фрозен морозит автоматом то что уже прилитело.

Предполагается, что это фича для тех, кто проводит хоть какую-то минимальную проверку стороннего кода. Нужные фичи есть, не тормозит, не глючит, не крашится, зловреда не выявлено - можно зафризить, залочить, прибить гвоздями и больше на проверки время не тратить.

Продолжайте класть яйца в одну корзину

> яйца в одну корзину

Ну почему в одну... есть же хруст.

Хруст яиц необратим.

Кстати, почему в питоне такого не находили до сих пор, или я пропустил? Существуют ли какие-то объективные причины?

ИМХО такое было со всеми более менее популярными репозиториями пакетов. С PyPI тоже такое было. Если такого не было значит все еще впереди )
https://www.developer.com/languages/python-pypi-vulnerabilit...,on%20the%20PyPi%20code%20base.

Зато Ruby - безопасный язык. Переходите с Си на Ruby.

вот же, ну что вы прицепились к Си:)
интерпретатор вашего Ruby где-то на треть написан на Сях:)

черное это белое . для зомбей  - си один из САМЫХ БЕЗОПАСНЫХ языков если кто не в курсе. например руст даже не упоминается в списке. из зомбоящика вам навязали что если обезьяне дать гранату то она еще и пол дома разрушит, а то что ее надо обучать и окультуривать нигде и никто не говорит, потому для обезьяны будут только спешные шляпы и сарафаны, и если она будет тянуться к технологиям - бить палкой и заставлять носить смешной сарафан.

Если вы на сях пишете так же, как на русском, то за цивилизацию страшно.

К счастью, в русском языке не принято жонглировать указателями, да и буфера переполнять любили только русские классики.

> Если вы на сях пишете так же, как на русском, то за цивилизацию страшно.

На заметочку. Иногда вы вы..тесь грамацией перед людьми которые из стран где русский запрещен впринципе. Лично приходилось наблюдать понты кто во сколько лет убил своего первого русского. Фильтруйте свой помет товарищи. Подобными вы..нами вы настраиваете только против себя и это может закончиться очень и очень несмешно. Ведь процент реальных вражеских тролей обычно невелик, это ведь
все мы сами делаем.

Кого настраивают, ботофермыили могилизированных?

ЯННП

увы, беда в том, что нет такой книги которая бы одновременно 1) учила "современному" языку Си, и 2) как безопасно писать на нем код: как обрабатывать ошибки, как тестировать и тд и тп 3) как писать многопоточные программы и всё что с этим связано.
по крайней мере я не знаю такую книгу, даже на английском:(
если кто-то знает, то поделитесь названием сего чуда:)
Все только могут с умным видом советовать книгу K&R:) которая увы не подходит по второму пункту! (про 3-й пункт я вообще молчу)

Я это к тому, что а потом дико удивляются что в программах на Си столько дырок:) что же эти великие гуру не напишут книгу, о том как надо писать код на Си?) а то, только и могут что жаловаться!

сколько еще книг разряда "вода мокрая и вот почему" нехватает ?

ну вот очередной умник нарисовался! Вместо того чтобы предложить что-то конкреиное по делу (книгу в данном случае) - он тупо язвит!

ты же не говоришь о своем уровне знаний.

ну навскидку дай ответ не думая на вопрос, в чем разница между:

char str[] = "string";
char *str = "string";
char *str = strdup("string");

дальше я скажу что дочитать

Очевидно разница в том где будет произведено выделение памяти под строку "string".

с таким ответом - начинать с доброго старого К&R и не выеп..ться на форумах про си

хотите получить определенный ответ, потрудитесь сперва сформулировать вопрос должным образом!

Оптимизатор: можете там отвечать как угодно, а разница будет такая, какую я сочту нужной.

тоже самое, начинать с К&R

> тоже самое, начинать с К&R

Доооо, гордый выпускничок, поучи меня.

вопрос простейший. хак интервью со мной не пройдет

Если ты не можешь определить разницу то как ты определишь нужную, монетку кинешь? Похоже у вас большие гуманитарные познания.

Не подсказывай !!! ниже второй турик на оценку знаний, прям туда пиши раз понял всю банальность вопроса.

> ты же не говоришь о своем уровне знаний.
> ну навскидку дай ответ не думая на вопрос, в чем разница между:
> char str[] = "string";
> char *str = "string";
> char *str = strdup("string");

В том, что у тебя во втором случае у тебя не-const указатель на литерал, попытка модификации которого - будет UB.

Отличный пример!
> дальше я скажу что дочитать

Для начала, сам начни с более-менее актуального стандарта.

Какие сутра спьяну может быть стандарт :D пиши свой вопрос ниже, можно со стандартами , константы вижу знаешь.

та я ваших керниганов с ритчами вертел .. а по факту кроме одного анона которому ничего не надо сходу не сказал что это константа. тест на знание, и я хорошо умею их проверять. да сложномуторно, если советуют именно КиР то явно просадка в базовых знаниях, надо просто взять и подтянуть их, а не огрызаться. никто не хочет вас унизить, темболее кругом аноны. лан, пойду щебенку раскидывать

И еще задай мне вопрос по сям такой какой считаешь самым глубоким для себя.

Ну вот вам типичный Сишный подводный камень!

assert(sizeof(int) == 4);  // предположим, что это утвержение гарантированно верно!

// а что на счет утверждений, указанные ниже, они верны?
// если нет, то какие не верны и почему?
assert((4294967295 - 4294967295) - 1 == -1);
assert((4294967295 - 4294967295) - 1 < 0);
assert(0xFFFFFFFF == 4294967295);
assert((0xFFFFFFFF - 0xFFFFFFFF) - 1 == -1);
assert((0xFFFFFFFF - 0xFFFFFFFF) - 1 < 0);

ПС: что касается вашего примера выше, лично я не понял вопрос:)
если вопрос был про stack, static и heap, то я в курсе что это такое:)

> лично я не понял вопрос:)

банальные константы, ответ на которые даже мой парень знает, а он обычный курьер и сильно орнул с того что тут развели по поводу такого банального вопроса.

> а что на счет утверждений

странно что не указан конкретный процессор, ты же понимаешь что на некоторых будет по другому ? если да то и сам знаешь что читать или не читать.

Лучше научитесь грамотно формулировать свои вопросы, чтобы вас понимали другие люди, а не только ваш парень:)))

ПС: раз уж вам надо уточнять и такое казалось бы очевидное условие, то подразумевается обычный x86-64 процессор!

>>> банальные константы <<<

Кстати, мне вот просто любопытно:
Мне так и надо было ответить на ваш гениальный вопрос: банальные константы?:)
Может вы поясните, что вы подразумаете под этими "банальными константами"?
Давайте же, снизайдите до нас обычных смертных, и даруйте нам ответ на ваш столь грамотно сформулированный вопрос:) А то может вы сами не в курсе, что вы там написали:)))

> Может вы поясните,

K&R - константы, все написано

Всё с вами понятно:) Вы сами не в курсе о чем говорите:) Только язвите и всячески уходите от ответа:)))
Но чтобы окончательно убедиться, что грошь вам цена, будьте так любезны ответьте на мой вопрос выше! Я там специально для вас сделал необходимое уточнение!) Продемонстриуйте свои сакральные знания:))

> Продемонстриуйте свои сакральные знания:))

да запросто - сидя на 64х битном процессоре, скопировал код задачки про 32х битные регистры и считаешь себя самым умным при этом даже не понимая как работает процессор ибо выглядит просто смешно и по детски. достаточно сакраментально ?

вообще речь шла о том что тут я проверяю и советую что читать тем у кого забомбило по поводу неинформативности. вот она информативность, полный интерактив который тупо слит в угоду детских травм некоторых анонов

Я окончательно удостоверился, что вы вообще не разбираетесь в данном вопросе, если бы разбирались то без труда бы ответили на поставленный мной вопрос, поэтому разговор окончен!

прошу прощения, не один - а два анона знали ответ.

А где тогда такая книга для раста?

> А где тогда такая книга для раста?

А где Воен Против Раста тут раст углядел?

https://www.manning.com/books/modern-c
не совсем новая, но для современного подойдет.

RubyGerms

конкурент у npm

> Ruby

Не ради холивара, а ради интереса. Сейчас кто-то использует этот язык для новых проектов? Или это (как java) уже давно исключительно поддержка legacy?

ява легаси ? танегоните пожалуйста. ява это когда надо что-то больше хеловорлда. если хочется поспорить - поспорьте с китайским айти ;)

Много ты стартапов знаешь на java? И что там по вакансиям для джунов? А то сплошные миддлы да сеньоры с опытом 5+ лет, в отличии от того же питона или пэхэпэ, где берут вообще чуть ли не без знаний 😉 А ведь именно наличие джуновских вакансий говорит о том, что язык скорее жив, чем мёртв.

Я больше про технологии и один из крутых "стартапов" как по мне запила группа али. А о том как делать бабки на "джунах" не надо мне рассказывать, эта схема умирает и к техническим тонкастям не имеет никакого отношения, ммм было круче в сто раз, какой там язык был ?

> Я больше про технологии

Какие? Что там с UTF8? 🤣

ощущаю рождение шутки про иероглифы и кракозябры. проблемы кодировок, прохладный ветерок девяностых бррр

Нет.

NASA Langley Research Center использует Ruby для проведения моделирования.

Ну как, использовать языки программирования без пакетных менеджеров, вендорить и замораживать зависимости всё еще немодно?

Нет даже плюсовые проекты заставляют искать зависимости самому, а не кладут их рядом с собой.

Это создает опасность, что репозиторий зависимости будет удален или заражен или взломан или недоступен из определенных мест или засужен\заблокирован. А когда дублируешь в своём проекте - создаешь зеркало. Но вендоринг должен быть правильный и позволять использовать системные зависимости вместо завендоренных, а также менять завендоренные зависимости будь то ручное изменение кода или смена версии. Главное - сломать жёсткую привязку, к хостингам зависимостей, к репозиториям пакетных менеджеров языка, к системе контроля версий - вообще ко всем вещам, которые могут сильно поменяться или сломаться со временем.

Ну и отдельно хотелось бы поругаться на языки с пакетными менеджерами с точки зрения разработки операционных систем, очень трудно прикостыливать языковые и подъязыковые пакетные менеджеры к своему системному

Да, по тем же самым причинам следует отказаться от модели распространения линуксов, с их центральными репозиториями. Модель LFS получше будет.

Ох бэкдоры посыпались...

Сейчас как только видишь где-то крэйты - сразу обходишь стороной продукт.

Все эти пакетные менеджеры как общественный туалет: зайдя туда лучше ничего не трогать.