08.12.2021

79% встроенных в код сторонних библиотек никогда не обновляются


  • 1.1, n00by (ok), 10:48, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    27% обязательно проверяют лицензию на совместимость

    54% не всегда проверяют лицензию на совместимость

    19% — ?
     
     
  • 2.11, Аноним (11), 11:03, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >    19% — ?

    прибегает автор нужного и важного патча, поменявшего colour на color в комментарии, и бьет себя пяткой в груть — я, у мамы, разработчик этой библиотеки! Вы украли мою лицензию, немедленно уберите и прекратите!

    (можете посмотреть на образцового м-ка подобного типа в ruffle)

    Авторам кода не до того — они херачат код, кто бы мог подумать! Да и было ли автору патча убирающего лишние пробелы, чем?

     

     
  • 2.7, myhand (ok), 10:57, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да.  Бэкдор же тоже можно рассматривать как часть функционала программы.
     

     
  • 2.13, Dzen Python (ok), 11:03, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это говорит всего лишь о том, что у большинства разработчиков над душой стоит очень слабо разбирающийся в разработке дедечка/тетенька/комитет, выкатывающие нереальные сроки, режущие по живому бюджет и вообще, всячески мешающих процессу, вместо заявленной им «помощи».

    *Летела ракета — упала в болото. Какая оплата (какие условия, какие делайны, etc) — такая работа!*

     
  • 2.21, Аноним (21), 11:12, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это говорит о том что нужно использовать репозиторий, такой как npm, composer и maven, а не копировать исходный код.
     

  • 1.8, Аноним (21), 10:59, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот поэтому во всех нормальных языках используют репощитории. frontend можно просто сделать npm update и всё обновиться согласно правилам, а не абы как.

    В spring вообще достаточно обновить версию spring boot
     
     
  • 2.15, Аноним (11), 11:06, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > frontend можно просто сделать npm update и всё обновиться

    только работать перестанет. Не смотря на заявления о том что «мы только устранили баги, зуб даем, совместимо-совместимо».

    См, опять же, репо единственного вроде бы нужного проекта на «нормальном языке» — сколько совершенно нечеловеческих усилий тратится на бессмысленные «bump version ….» — а сколько там реально кода.

     
  • 2.16, Dzen Python (ok), 11:07, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Разрабочик Larry Hullison продал компании Huei LaoWei Pedul HongKongPong Inc. права на библиотеку SuperHellYeahJSONSmooozyFractalEditor.

    > B npm автоматом прилетела свежая версия с трояном от китайцев

    Да…

     

  • 1.9, Dzen Python (ok), 11:00, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    146% разработчиков — разработчики.

    5% разработанных программ — могут считаться секурными на 100%

    80% всего бюджета разработки съедают 20% менеджеров, вставляющих 80% педуль разработчикам.
     
  • 1.12, Аноним (12), 11:03, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бандлинг дно, сегодня VCS позволяют указывать конкретные поддерживаемые версии сторонних зависимостей и подгружать их автоматически. Примерно 100% проектов бандлит зависимости просто так, большинство при этом не позволяет цеплять другие версии (скажем, системные) совершенно без причины (хотя поддерживаемые версии могли бы и указывать, это не так сложно обнаружить проблемы при самом минимальном тестировании).
     
     
  • 2.17, Аноним (17), 11:09, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > конкретные поддерживаемые версии сторонних зависимостей

    Удобно ты придумал.

    А что если уязвимость исправлена в версии 2.99.1, а у тебя 1.01?

    Кто заплатит программисту за работу с BC при переходе с 1.05 -> 2.99?

    Дядя Петя? Тётя Мотя?

     
  • 2.18, Аноним (11), 11:09, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Причина — что умному достаточно один раз получить по лбу граблями от очередного улучшизма.

    Чтобы указать «поддерживаемые версии» — надо для начала потратить время на проверку, какие же версии работают — а потом еще и разгребать багрепорты от тех кто подсунул-таки «поддерживаемую», а она, ну надо же — что-то поломала.

    Очевидно, что нах никому не вперлось этим заниматься.

    Нет, «самым минимальным» не отделаешься. Тестировать надо весь апи, включая неиспользуемые части — сегодня не используешь, завтра что-то по мелочи изменил в коде — и уже используешь, даже сам этого не зная (потому что при другом параметре той же функции оно внутри библиотеки начинает использоваться).

     

  • 1.14, ИмяХ (?), 11:05, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Очередное подтверждение того, что опенсурс — это рай для вирусописателей. Ни о какой безопасности тут не может быть и речи. Ведь тут даже не надо ничего дизассемблировать, проводить трассировку, перехватывать вызовы и т.п. — просто пишешь скрипты для отслеживания за диффами и смотри, какие уязвимости были исправлены, и кто эти библиотеки юзает и не обновляет. Все бекдоры у тебя прямо на ладони в открытом виде.
     
     
  • 2.19, Dzen Python (ok), 11:09, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И поэтому под откытые оси вирусов единицы, а под НЕрай для вирусописателей — терабайты баз с сигнатурами этих вирусов?
     

    Источник.