アカウント名:
パスワード:
パッケージシステムとか怖いあんなどこの馬の骨が提供してて何に使ってるかもよくわからないライブラリをじゃんじゃか寄せ集めて何となくバイナリができちゃうとか、正気の沙汰とは思えない
半分冗談半分本気で何処まで精査したもんなんだろうねと思う。トラブル起きると精査してない方が悪いって言われるのは当然なんだけど。。今時のフロントエンドとかreact-scriptsで作った雛型をejectしたらnode_modulesに1000もパッケージ展開されるから、現実的に自分や誰かがちょっとtypoした時どうやってカバーしてんだろう。リスク飲むしかないのか。大手ITゼネコンでrailsでやった時は製造業ライクな先方の基準に従って事細かに管理させられて、理屈は分かるも若干辟易させられたが、そうはいかんところが大半だろうし。
typoに限らず、メンテナーが変わったタイミングでマルウェアが仕込まれる [opensource.srad.jp]なんてのもあるからね、
リポジトリに悪意あるコードを登録できてしまう以上、typoに限らず、パッケージの新規導入・バージョンアップ時に(パッケージが依存するパッケージ含めて)そういったコードが埋め込まれている可能性もあると思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
ていうか (スコア:1)
パッケージシステムとか怖い
あんなどこの馬の骨が提供してて何に使ってるかもよくわからないライブラリを
じゃんじゃか寄せ集めて何となくバイナリができちゃうとか、正気の沙汰とは思えない
Re:ていうか (スコア:0)
半分冗談半分本気で何処まで精査したもんなんだろうねと思う。
トラブル起きると精査してない方が悪いって言われるのは当然なんだけど。。
今時のフロントエンドとかreact-scriptsで作った雛型をejectしたらnode_modulesに1000もパッケージ展開されるから、
現実的に自分や誰かがちょっとtypoした時どうやってカバーしてんだろう。リスク飲むしかないのか。
大手ITゼネコンでrailsでやった時は製造業ライクな先方の基準に従って事細かに管理させられて、
理屈は分かるも若干辟易させられたが、そうはいかんところが大半だろうし。
Re: (スコア:0)
typoに限らず、メンテナーが変わったタイミングでマルウェアが仕込まれる [opensource.srad.jp]なんてのもあるからね、
リポジトリに悪意あるコードを登録できてしまう以上、
typoに限らず、パッケージの新規導入・バージョンアップ時に(パッケージが依存するパッケージ含めて)
そういったコードが埋め込まれている可能性もあると思う。