[Перевод] npm audit работает неправильно — это настоящий театр безопасности
Безопасность важна. Никто не хочет выступать против безопасности. Поэтому все замалчивают проблему с npm audit. Но кто-то должен сказать.
Думаю, придётся мне.
npm audit работает принципиально неправильно. Проверка по умолчанию на каждый npm install — поспешный, непродуманный и неадекватный подход.
Слышали историю про мальчика, который часто кричал «Волк!»? Спойлер: в результате волк съел овец. Если мы не хотим такого итога, нам нужны лучшие инструменты.
На сегодняшний день npm audit — это пятно на всей экосистеме npm. Надо было исправить его с самого начала, но лучше поздно, чем никогда.
Читать дальше →
Думаю, придётся мне.
npm audit работает принципиально неправильно. Проверка по умолчанию на каждый npm install — поспешный, непродуманный и неадекватный подход.
Слышали историю про мальчика, который часто кричал «Волк!»? Спойлер: в результате волк съел овец. Если мы не хотим такого итога, нам нужны лучшие инструменты.
На сегодняшний день npm audit — это пятно на всей экосистеме npm. Надо было исправить его с самого начала, но лучше поздно, чем никогда.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри
- [Перевод] Пять документов ломают ваш RAG: где реальная уязвимость и что с ней делать
- Простой гайд как на одном и том же сервере иметь и панель 3X-UI за NGINX, и свой сервис
- Спираль эволюции веб-дизайна: от десктопной версии к адаптиву и обратно к многоликости
- Окружайте, так удобнее промахиваться! Встроенные в Hugging Face проверки ML-моделей против одного сканера
- [Перевод] Проблемы санации SVG
- Яндекс Плюс AdTech: как экосистемные решения обеспечили рост продаж билетов на фильм «Горыныч»
- Молодые дизайнеры против алгоритмов: страх перед ИИ испытывает лишь каждый десятый
- Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей
- Доля рекламных бюджетов под управлением ИИ в Яндексе достигла 85%