アカウント名:
パスワード:
パッケージシステムとか怖いあんなどこの馬の骨が提供してて何に使ってるかもよくわからないライブラリをじゃんじゃか寄せ集めて何となくバイナリができちゃうとか、正気の沙汰とは思えない
LFSを使っているのかな
半分冗談半分本気で何処まで精査したもんなんだろうねと思う。トラブル起きると精査してない方が悪いって言われるのは当然なんだけど。。今時のフロントエンドとかreact-scriptsで作った雛型をejectしたらnode_modulesに1000もパッケージ展開されるから、現実的に自分や誰かがちょっとtypoした時どうやってカバーしてんだろう。リスク飲むしかないのか。大手ITゼネコンでrailsでやった時は製造業ライクな先方の基準に従って事細かに管理させられて、理屈は分かるも若干辟易させられたが、そうはいかんところが大半だろうし。
typoに限らず、メンテナーが変わったタイミングでマルウェアが仕込まれる [opensource.srad.jp]なんてのもあるからね、
リポジトリに悪意あるコードを登録できてしまう以上、typoに限らず、パッケージの新規導入・バージョンアップ時に(パッケージが依存するパッケージ含めて)そういったコードが埋め込まれている可能性もあると思う。
> 何となくバイナリができちゃうとか
それってもうRubyの話じゃなくなってない?
最大限エスパーちからを働かせるとネイティブコードのbindingを含んだgemで…ってもどっちでも一緒なんだけどね
パッケージシステムってRubyの専売特許じゃないじゃん?
そのうち、コピペしたらマルウェアtypoパッケージが組み込まれる、糞Qiita記事とかもセットで出てきそう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
ていうか (スコア:1)
パッケージシステムとか怖い
あんなどこの馬の骨が提供してて何に使ってるかもよくわからないライブラリを
じゃんじゃか寄せ集めて何となくバイナリができちゃうとか、正気の沙汰とは思えない
Re:ていうか (スコア:2)
LFSを使っているのかな
Re: (スコア:0)
半分冗談半分本気で何処まで精査したもんなんだろうねと思う。
トラブル起きると精査してない方が悪いって言われるのは当然なんだけど。。
今時のフロントエンドとかreact-scriptsで作った雛型をejectしたらnode_modulesに1000もパッケージ展開されるから、
現実的に自分や誰かがちょっとtypoした時どうやってカバーしてんだろう。リスク飲むしかないのか。
大手ITゼネコンでrailsでやった時は製造業ライクな先方の基準に従って事細かに管理させられて、
理屈は分かるも若干辟易させられたが、そうはいかんところが大半だろうし。
Re: (スコア:0)
typoに限らず、メンテナーが変わったタイミングでマルウェアが仕込まれる [opensource.srad.jp]なんてのもあるからね、
リポジトリに悪意あるコードを登録できてしまう以上、
typoに限らず、パッケージの新規導入・バージョンアップ時に(パッケージが依存するパッケージ含めて)
そういったコードが埋め込まれている可能性もあると思う。
Re: (スコア:0)
> 何となくバイナリができちゃうとか
それってもうRubyの話じゃなくなってない?
Re: (スコア:0)
最大限エスパーちからを働かせるとネイティブコードのbindingを含んだgemで…
ってもどっちでも一緒なんだけどね
Re: (スコア:0)
パッケージシステムってRubyの専売特許じゃないじゃん?
Re: (スコア:0)
そのうち、コピペしたらマルウェアtypoパッケージが組み込まれる、糞Qiita記事とかもセットで出てきそう。