アカウント名:
パスワード:
実際はひっそりと乗っ取られてるリポジトリが他にもあるんじゃなかろうか
今回はflatmap-stream@0.1.1の悪意あるコードで使われているAPIがnode.js 11でdeprecated警告出るようになったから発覚したようなものなので当然見つかってないのはあるでしょうね
今回みたいに直接悪意あるコードを追加するのではなく新規のまともそうに見える依存ライブラリを追加し、さらにそのminify版にだけ悪意あるコードを注入していたら探すのは困難でしょうし
バグと言い訳できるレベルの巧妙なセキュリティーホールでバッグドアを仕掛けられたら、もはやどうにもならない。
とりよせバッグみたいな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
騒ぎになってないだけで (スコア:0)
実際はひっそりと乗っ取られてるリポジトリが他にもあるんじゃなかろうか
Re: (スコア:0)
今回はflatmap-stream@0.1.1の悪意あるコードで使われているAPIがnode.js 11でdeprecated警告出るようになったから発覚したようなものなので
当然見つかってないのはあるでしょうね
今回みたいに直接悪意あるコードを追加するのではなく
新規のまともそうに見える依存ライブラリを追加し、
さらにそのminify版にだけ悪意あるコードを注入していたら
探すのは困難でしょうし
Re: (スコア:0)
バグと言い訳できるレベルの巧妙なセキュリティーホールでバッグドアを仕掛けられたら、
もはやどうにもならない。
Re: (スコア:0)
とりよせバッグみたいな