TGTGInsightтелеграм анализLIVE / telegram public index
← Такты, стеки, два колеса

TGINSIGHT SIMILAR POSTS

Намери подобно съдържание

Изходен канал @clockstackwheels · Post #852 · 10.08

Автор OpenSource библиотеки тайно ворует данные разработчиков, чтобы проверять, донатят они ему, или нет. Вообще, скандалы с опенсорс-библиотеками бывают не так уж и редко. Разработчики делают что-то бесплатно, этот труд оказывается нужен тысячам людей, включая большие корпорации, а дальше возможны варианты. За последние пару лет ожидаемо было много политических заявлений и даже вредоносного кода по признаку страны, из которой запускается софт. Просто, стартуя с какой-то версии, какая-нибудь библиотека начинает делать что-то постороннее, помимо своей основной функциональности. К чести комьюнити, такие вещи всегда очень жестко критикуют, даже если идеологические взгляды разработчика выглядят общепринятыми в той среде, где это комьюнити развивается. Вот на днях новый такой скандал. Впервые в моей жизни в такую ситуацию попала библиотека, которую используем на работе — а именно Moq для .NET. Автор написал код, который спаунит новый системный процесс и командой git config --global user.email читает почту разработчика, а затем с помощью почти зашифрованной закрытой DLL-библиотеки, помещённой в поставку Moq, отправляет данные в сервис GitHub SponsorLink, чтобы проверить, платит ли разработчик донаты. Конечно же, система безопасности на проде не даст никуда сходить этому коду и ничего плохого сделать. Но, помимо прода, рабочие проекты запускаются еще и на компьютерах разработчиков локально. Вот тут заложена настоящая опасность. Где запрос почты, там может быть следующим шагом что угодно другое — скачивание ваших интимных фото и передача вовне, чтение файла с паролями из папки браузера, поиск номера кредитки... Разумеется, всё во имя самых благих целей. В общем, комьюнити порассуждало о том, что это критический подрыв доверия, хотя автор оправдывался как мог (как moq, хе-хе). Народ просто закидал его камнями, начал массово исключать Moq из своих зависимостей, ставить дизлайки, отправлять репорты. Вроде как это вынудило мейнтейнера откатить изменения. Но на всякий случай Moq лучше не обновлять больше никогда и постепенно заменить на аналоги. Доверие — важнейший ресурс в опенсорсе. #dev

Hashtags

Резултати

Намерени 1 подобни публикации

Търсене: #concentrationcamp

当前筛选 #concentrationcamp清除筛选
文学与革命

@xgunsandroses · Post #12355 · 08.12.2021 г., 09:28

日本政府仍未決定是否外交抵制北京冬奧之際,中國駐日本大阪總領事館近日突然使出軟功,以「美景、美食、美人」為賣點,邀請日本人到新疆旅遊,感受當地實況。有關的手法在日本引起疑慮和爭議。中國總領事館卻聲稱反應踴躍,至今有幾百人響應報名。有分析相信,北京向日本國民招手,與近日西方抵制北京冬奧的氛圍有關。⁣ ⁣ 到新疆你可以找到甚麼?中國駐大阪總領事館提供的答案是「美景、美食、美人」。⁣ // 日本是西方國家在亞洲唯一的重要成員國。六四大屠殺之後,西方各國對中共的外交全面凍結。(已故前副總理)錢其琛卸任後在回憶錄說過,1992年時,中國利用日本天皇訪中成功突破西方對中國的外交圍剿。(現時)大家(西方各國)要共同抵制冬奧,這時中共想到過去是如何突破的,就是靠日本,因為日本有些左派(人士)是非常親中的,所謂的親中不是親中國老百姓,而是親中共。它們想利用這幫人,把他們(日本國民)帶到新疆去。// 報導: #自由亞洲粵語@rfacantonese #大外宣⁣ #新疆⁣ #中國人權#北京冬奧#杯葛2022北京冬奧#解放西藏#CCPvirus#NeverTrustCCP#chinaliedpeopledied#Uyghurs#新疆#ConcentrationCamp#集中營#UyghurGenocide#evilCCP#SayNotToChina