История изменений
Исправление javascript, (текущая версия) :
Всё отличие npm (которое давно не только лишь экосистема node,js если что) от других экосистем в том, что тут сами разработчики являются мейнтейнерами.
Этот разраб далеко не первый обиженка в этой экосистеме, и не последний.
Это случается не только в npm, и далеко не npm был первым. Вредоносный код мейнтенерился в таких публичных экосистемах, как aur (arch linux), pip (python), ruby gems.
Иные же репозитории, где верификация проходит более сложным образом тоже были подвержены атакам, просто не со стороны мейнтернеров напрямую. В истории были дискредитации репозиториев gentoo, linux mint, ломали kernel.org и даже засылали вредоносные патчи в ядро (привет, Университет Минесоты).
И даже от самих мейнтенеров были хоть и не явно злонамеренные выходки, но все же неоднозначные. Например, этим славится такой мейнтенер debian’а JWZ, который еще заблаговременно в 1999 году внес пасхалку в утлиту отображения часов, которые с началом нового тысячелителия начинала крутить их в обратную сторону (таким образом он пытался пошутить на тему проблемы 2000 года). А в 2016-ом году устав отвечать на баг-репорты по устаревшему пакету, просто пропатчил этот пакет таким образом, чтобы ответ на однотипный багрепорт выводился прямо на экране пользователя на лок-скрине.
Исправление javascript, :
Всё отличие npm (которое давно не только лишь экосистема node,js если что) от других экосистем в том, что тут сами разработчики являются мейнтейнерами.
Этот разраб далеко не первый обиженка в этой экосистеме, и не последний.
Это случается не только в npm, и далеко не npm был первым. Вредоносный код мейнтенерился в таких публичных экосистемах, как aur (arch linux), pip (python), ruby gems.
Иные же репозитории, где верификация проходит более сложным образом тоже были подвержены атакам, просто не со стороны мейнтернеров напрямую. В истории были дискредитации репозиториев gentoo, linux mint, ломали kernel.org и даже засылали вредоносные патчи в ядро (привет, Университет Минесоты).
И даже от самих мейнтенеров были хоть и не явно злонамеренные выходки, но все же неоднозначные. Например, этим славится такой мейнтенер debian’а JWZ, который еще заблаговременно в 1999 году внес пасхалку в утлиту отображения часов, которые с началом нового тысячелителия начинала крутить их в обратную сторону. А в 2016-ом году устав отвечать на баг-репорты по устаревшему пакету, просто пропатчил этот пакет таким образом, чтобы ответ на однотипный багрепорт выводился прямо на экране пользователя на лок-скрине.
Исходная версия javascript, :
Всё отличие npm (которе давно не только лишь экосистема node,js если что) от других экосистем в том, что тут сами разработчики являются мейнтейнерами.
Этот разраб далеко не первый обиженка в этой экосистеме, и не последний.
Это случается не только в npm, и не далеко не npm был первым. Вредоносный код мейнтенерился в таких публичных экосистемах, как aur (arch linux), pip (python), ruby gems.
Иные же репозитории, где верификация проходит более сложным образом тоже были подвержены атакам, просто не со стороны мейнтернеров напрямую. В истории были дискредитации репозиториев gentoo, linux mint, ломали kernel.org и даже засылали вредоносные патчи в ядро (привет, Университет Минесоты).
И даже от самих мейнтенеров были хоть и не явно злонамеренные выходки, но все же неоднозначные. Например, этим славится такой мейнтенер debian’а JWZ, который еще заблаговременно в 1999 году внес пасхалку в утлиту отображения часов, которые с началом нового тысячелителия начинала крутить их в обратную сторону. А в 2016-ом году устав отвечать на баг-репорты по устаревшему пакету, просто пропатчил этот пакет таким образом, чтобы ответ на однотипный багрепорт выводился прямо на экране пользователя на лок-скрине.