"he emailed me and said he wanted to maintain the module, so I gave it to him. I don't get any thing from maintaining this module, and I don't even use it anymore, and havn't for years."
C'est effectivement un débat intéressant car quel est le meilleur moyen de gérer ce cas de figure sans mettre en danger les utilisateur ? Surtout dans l'écosystème Node/NPM qui est un véritable chateau de cartes avec des dépendances dans tous les sens. Je me suis constitué une petite collection de fails NPM, cet épisode n'est que le dernier de la série. Et à chaque fois que l'une d'entre elles est {plantée, supprimée, attaquée} la moitié du net panique.
"Lucky for me, we live in an age where people install npm packages like they’re popping pain killers.
So, npm was to be my distribution method. I would need to come up with some borderline-useful package that people would install without thinking — my Trojan horse."
Des solutions ?
Une vraie bibliothèque standard pour Javascript éviterait sûrement les milliers de paquets "one-liner" sur NPM (genre is-positive ou left-pad qui avait planté Babel donc Facebook, Netflix, SPotify, React,...)
La généralisation de pkgsign qui permet... de signer les paquets npm
? (Oui je sais que vs serez nombreux à penser à la solution "supprimer javascript" mais ça n'est pas pour demain)
[^] # Re: Ha ouais, quand même...
Posté par Faya . En réponse au journal Une backdoor vient d’être trouvée dans un paquet npm connu. Évalué à 10.
Apparemment c'est bien ce qu'a fait le mainteneur d'origine : il a abandonné le code....entre les mains d'une personne malveillante.
C'est effectivement un débat intéressant car quel est le meilleur moyen de gérer ce cas de figure sans mettre en danger les utilisateur ? Surtout dans l'écosystème Node/NPM qui est un véritable chateau de cartes avec des dépendances dans tous les sens. Je me suis constitué une petite collection de fails NPM, cet épisode n'est que le dernier de la série. Et à chaque fois que l'une d'entre elles est {plantée, supprimée, attaquée} la moitié du net panique.
Comme l'a dit rougeth sur le ticket en question :
En janvier, un développeur avait déjà décrit ce vecteur d'attaque sur un poste Medium largement relayé : I’m harvesting credit card numbers and passwords from your site. Here’s how.
Des solutions ?
Notons également que ce problème de projets abandonnés et repris par des méchants n'est pas propre à Node :
Arch Linux PDF reader package poisoned