Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
Dat NPM vol ongewenste rommel staat is al een poos bekend. Andere repositories hebben daar ook last van overigens, hoewel ik wel denk/gok dat NPM het ergst geïnfesteerd van alle is.
Nu gebruik ik zelf amper/geen NPM (ik gebruik NuGet, andere hoek
) maar heb je dit gezien?
New npm features for secure publishing and safe consumption en misschien dat je hier nog wat tips kunt vinden (zoals npm audit bijvoorbeeld).
Over het algemeen prefereer ik alleen packages met een reputatie van een reputabele bron, een flinke userbase etc. Neemt niet weg dat die ook geïnfecteerd kunnen worden op elk willekeurig moment. Maar het is vooral bij de meer "niche" packages dat ik wat dieper duik voor ik daar een download aan waag. Uiteindelijk weet je het nooit 100% zeker.
Nu gebruik ik zelf amper/geen NPM (ik gebruik NuGet, andere hoek
) maar heb je dit gezien?New npm features for secure publishing and safe consumption en misschien dat je hier nog wat tips kunt vinden (zoals npm audit bijvoorbeeld).
Over het algemeen prefereer ik alleen packages met een reputatie van een reputabele bron, een flinke userbase etc. Neemt niet weg dat die ook geïnfecteerd kunnen worden op elk willekeurig moment. Maar het is vooral bij de meer "niche" packages dat ik wat dieper duik voor ik daar een download aan waag. Uiteindelijk weet je het nooit 100% zeker.
[ Voor 46% gewijzigd door RobIII op 19-12-2024 22:24 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
:strip_icc():strip_exif()/u/113112/crop5ec4fb9b6ea94_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/104670/66407.jpg?f=community)
Het probleem bij NPM is echter dat je vaak ongemerkt een heel oerwoud aan sub-dependencies meekrijgt. Ik heb soms het gevoel dat voor iedere standaard handeling (bijv. string toUpper, string concat, etc.) wel een package is gemaakt. Als ik een standaard Angular app door onze OSS scan haal, zitten daar standaard al iets van 1200 (!) NPM package dependencies in, ga dat maar eens bijhouden allemaal
Bij een beetje kale .NET Core app zit je ook al zo op ruim 100 libraries, maar daarvan zijn in ieder geval de meeste nog van Microsoft zelf.
Maar om even terug te komen op de vraag: ja ik zou me daar wel zorgen over maken, in die zin dat het in ieder geval verstandig is om je source code door een OSS scanner te halen (zoals SonaType bijvoorbeeld
maar ook Snyk, Mend, Blackduck, .. )
[ Voor 10% gewijzigd door Haan op 20-12-2024 08:45 ]
Kater? Eerst water, de rest komt later