Vlákno názorů ke zprávičce Typo-squatting v npm repozitári od . . - kluci si s tímhle koledují o pěkný průser,...
-
. . (neregistrovaný)
kluci si s tímhle koledují o pěkný průser, za dva měsíce to bude 5 let co dostali první issue/návrhy na řešení transparentnosti, doteď to očividně nepovažují na problém.
U npm není žádná možnost jak ověřit konzistenci, autenticita a věrohodnost balíčku/autora. Nemám žádnou možnost jak ověřit, že daný balíček pochází opravdu od daného autora, z daného repositáře a z konkrétního commitu.
To je i přesně důvod poměrně dost forků a proto řada velkých společností nepoužívá public npm, ale svůj private, kde je nutné ručně nové balíčky a aktualizace těch public kontrolovat, jak to poté dopadá asi všichni tušíte. Cílený útok na aplikaci závislou na public npm je sice časově náročný, ale velice reálný, pár jsem jich už viděl i v ČR.
Autor zprávičky
-
- SAP ABAP Programátor/ka
- ⭕ Databázový specialista
- Junior Java Developer
- Senior/Medior Java Developer
- JAVA DEVELOPER HPP i IČO
- IT Service Manager (m/ž)
-
- PowerPoint – Práce s texty a obrazci
- Tajemství motivace: Jak zvyšovat spokojenost pracovníků
- Námitka ze strany klienta? Výborně, parádní příležitost udělat dojem!
- Prezentujte v angličtině!
- Digitální bezpečnost: naučte se chodit v online světě bezpečně
- Sebevědomá a asertivní komunikace
-
- SAP ABAP Programátor/ka
- ⭕ Databázový specialista
- OBCHODNÍK PRO CLOUDOVÉ SLUŽBY (hybrid)
- SPRÁVCE APLIKACÍ
- Senior/Medior Java Developer
- IT Service Manager (m/ž)
-
- PowerPoint – Práce s texty a obrazci
- Tajemství motivace: Jak zvyšovat spokojenost pracovníků
- Digitální bezpečnost: naučte se chodit v online světě bezpečně
- Emoce pod kontrolou II – 5 kroků ke zvládání emocí
- Sebevědomá a asertivní komunikace
- Staňte se mistrem zadávání úkolů
ČLÁNKY DO MAILU