Комментарии 13
Мне одному кажется странным, что подозрительно мало вредоносных пакетов нашли за такое время?
Разве что для этих script-kiddies порог вхождения пока слишком высок.
От того, что вы выложите пакет в NPM он сам по себе не установится. Для это он должен делать что-то полезное в течение долго времени.
Разве это проблема? Легко ведь форкнуть что-то простое и добавить туда мелочь какую-то. Или вообще не добавлять.
Вам бы маркетингом заняться, продажами. В этом мире не так-то легко кому-то что-то втюхать, даже дёшево или бесплатно и тем более клон.
«Втюхивание» рассчитано на невнимательность людей, поэтому и работает если правильно поставить ловушки.
Хорошо, что вообще что-то обнаруживают и удаляют. Это делает мир чуть-чуть лучше. Хотя в итоге это всего лишь иллюзия защищенности…
Я думаю, находят всякие супер-очевидные вещи, вроде скачивания-запуска файлов в postinstall, или бинарных блобов, на которые срабатывает антивирус. Полноценный аудит всех пакетов npm провести ведь невозможно, они непрерывно меняются.

Даже неполная защита полезна, потому что она уменьшает совокупное время, когда зависимости от скомпрометированных пакетов остаются в живых проектах. Гитхаб довольно быстро оповещает про обновления и уязвимости в зависимостях, а при определённых настройках даже автоматически предлагает пулл-реквесты с патчем версии пакета.

А, да с этим никто не спорит, конечно полезно.

Вот фича с пулл-реквестами работает в обе стороны: если угнать npm-аккаунт мейнтейнера какой-нибудь библиотеки и зарелизить минорную версию с трояном — гитхаб сам собою понаделает пулл-реквестов для обновления до этой версии.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.