| 1.2, Аноним (2), 22:08, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?
| | |
| 1.3, Аноним (3), 22:11, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
| | |
| |
| 2.5, Аноним (5), 22:17, 25/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил
> пакет на вредоносный"? Вот где люди реально проверяют.
Почему "не было"?
https://www.opennet.dev/opennews/art.shtml?num=63677
> Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
> 04.08.2025 22:08
причем, не "перепутал", а включил осознанно.
> Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию.
.
| | |
| |
| |
| 4.16, Аноним (5), 23:20, 25/09/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn.
> Твой пример под описанную ситуацию совсем не подходит.
Ну да, аутотренинг еще никто не отменял ...
| | |
|
|
| 2.9, Аноним (9), 22:38, 25/09/2025 [^] [^^] [^^^] [ответить] | +1 +/– | Нет, не проверяют, и были случаи малвари в дебиане Конечно же, courated репозит... большой текст свёрнут, показать | | |
| |
| 3.11, Аноним (3), 22:49, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Нет, не проверяют, и были случаи малвари в дебиане.
Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню.
А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
| | |
| |
| 4.25, Аноним (25), 23:59, 25/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают.
> А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
| | |
| 4.30, Аноним (3), 00:36, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git.
Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.
| | |
|
|
| 2.10, Аноним (9), 22:43, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> и тд – свалка непроверенных библиотек
И потом, к чему этот негатив если альтернатив нет в принципе никаких?
| | |
| |
| 3.12, Аноним (3), 22:50, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.
| | |
| |
| 4.29, Аноним (25), 00:06, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.
| | |
| |
| 5.32, Аноним (3), 00:38, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> В каком месте это альтернатива
Пакетов больше, чем в aur.
> и в каком месте это менее помойка?
А я разве говорил обратное?
| | |
|
|
| 3.17, Аноним (17), 23:20, 25/09/2025 [^] [^^] [^^^] [ответить]
| +7 +/– |
NPM - да, помойка!
Aur - да, свалка!
Pypi - да, ещё одна помойка!
Rust-репозиторий - к чему этот негатив?
| | |
| |
| 4.26, Аноним (25), 00:02, 26/09/2025 [^] [^^] [^^^] [ответить]
| –3 +/– |
Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.
| | |
| |
| 5.46, Аноним (46), 07:32, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Дай лучше ссылку, где ты о других репозиториях писал "к чему этот негатив?".
| | |
|
|
|
| 2.22, Аноним (21), 23:41, 25/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность
| | |
| |
| 3.31, Аноним (3), 00:37, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Каждые полгода такие новости появляются.
Назовите, пожалуйста, две за прошедший год?
| | |
|
|
| 1.4, Аноним (9), 22:12, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.
| | |
| |
| |
| 3.19, нах. (?), 23:33, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
присоединяюсь. Уж у этих-то точно будет БЕЗОПАСТНО!
(тем более их пользуемые от них уж точно никуда не денутся, если тебя нет в crates, тебя вообще нет. Жабаскриптерам-то не привыкать тянуть в рот всякую пакость прямо с шитхаба и шитляпа.)
| | |
|
| 2.27, Аноним (21), 00:02, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда
| | |
|
| 1.23, Аноним (18), 23:52, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Для минимизации рисков в Rust рекомендуется:
◇ Использовать только известные и проверенные крейты.
◇ Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit.
◇ Фиксировать версии в Cargo.lock и избегать автоматических обновлений без ревью.
| | |
| |
| 2.36, Аноним (3), 02:26, 26/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Что будете делать, если популярный crate использует такую зависимость?
| | |
| |
| 3.47, Прохожий (??), 07:37, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Вам же написали: "Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit
| | |
|
|
| |
| 2.39, Аноним (-), 04:31, 26/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
XZ-бэкдор раздавался как раз в тарболе, в самом репозитории всё было чисто.
| | |
|
| 1.40, 0xdeadbee (-), 05:06, 26/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> faster_log вместо fast_log
а чего мелочиться. "superfastest_log" и все дела.
практически "ускоритель Интернета", ньюфаги не знают, олдфаги не помнят.
| | |
| 1.45, Аноним (45), 06:22, 26/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Две проблемы у проекта:
1. Уязвимость архитектуры (взято худшее от аналогов).
2. Проблемы с оплатой инфраструктуры - обсуждается введение оплаты.
Выводы каждый может сделать сам - нужно ли вкладывать ресурсы.
| | |
| |
| 2.49, Прохожий (??), 07:42, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
1. Не могли бы вы более детально раскрыть своё утверждение по поводу плохой архитектуры? Заодно приведите, пожалуйста, пример хорошей.
2. Ссылку можете дать на обсуждение (если оно, конечно, не приснилось вам)?
| | |
|
| 1.48, Аноним (48), 07:40, 26/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
разве может быть такое в самом безопасном языке, куда смотрел компилятор, поди unsafe были, но никто не обратил внимания.
| | |
| |
| 2.50, Прохожий (??), 07:46, 26/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Язык программирования не может гарантировать безопасность от подобного рода вредоносных действий. А его безопасность связана с типовыми ошибками при работе с памятью, а не вообще со всеми на свете классами ошибок.
| | |
|
| 1.51, Аноним (51), 07:48, 26/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот потому все тулзы с репозиториями идут лесом. В Hyperbola не зря их запретили на корню.
| | |
|
