TGTGInsightтелеграм анализLIVE / telegram public index
← Такты, стеки, два колеса

TGINSIGHT SIMILAR POSTS

Намери подобно съдържание

Изходен канал @clockstackwheels · Post #852 · 10.08

Автор OpenSource библиотеки тайно ворует данные разработчиков, чтобы проверять, донатят они ему, или нет. Вообще, скандалы с опенсорс-библиотеками бывают не так уж и редко. Разработчики делают что-то бесплатно, этот труд оказывается нужен тысячам людей, включая большие корпорации, а дальше возможны варианты. За последние пару лет ожидаемо было много политических заявлений и даже вредоносного кода по признаку страны, из которой запускается софт. Просто, стартуя с какой-то версии, какая-нибудь библиотека начинает делать что-то постороннее, помимо своей основной функциональности. К чести комьюнити, такие вещи всегда очень жестко критикуют, даже если идеологические взгляды разработчика выглядят общепринятыми в той среде, где это комьюнити развивается. Вот на днях новый такой скандал. Впервые в моей жизни в такую ситуацию попала библиотека, которую используем на работе — а именно Moq для .NET. Автор написал код, который спаунит новый системный процесс и командой git config --global user.email читает почту разработчика, а затем с помощью почти зашифрованной закрытой DLL-библиотеки, помещённой в поставку Moq, отправляет данные в сервис GitHub SponsorLink, чтобы проверить, платит ли разработчик донаты. Конечно же, система безопасности на проде не даст никуда сходить этому коду и ничего плохого сделать. Но, помимо прода, рабочие проекты запускаются еще и на компьютерах разработчиков локально. Вот тут заложена настоящая опасность. Где запрос почты, там может быть следующим шагом что угодно другое — скачивание ваших интимных фото и передача вовне, чтение файла с паролями из папки браузера, поиск номера кредитки... Разумеется, всё во имя самых благих целей. В общем, комьюнити порассуждало о том, что это критический подрыв доверия, хотя автор оправдывался как мог (как moq, хе-хе). Народ просто закидал его камнями, начал массово исключать Moq из своих зависимостей, ставить дизлайки, отправлять репорты. Вроде как это вынудило мейнтейнера откатить изменения. Но на всякий случай Moq лучше не обновлять больше никогда и постепенно заменить на аналоги. Доверие — важнейший ресурс в опенсорсе. #dev

Hashtags

Резултати

Намерени 2 подобни публикации

Търсене: #hatecrime

当前筛选 #hatecrime清除筛选
郭子健Daniel Kwok Tsz Kin

@tsingyidan · Post #931 · 24.08.2023 г., 02:57

#咬緊牙關 呢幾日繼續為蒞緊幾場活動宣傳,包括尋日派Poster到Edinburgh 唔同嘅合作夥伴同友好,感謝大家一直同行! 香港人除咗要努力貢獻社會,履行公民義務,更要莊敬自強。尋日聽到有香港人表示:面對來自其他族群,尤其係來自受中共慫恿不同意見者作出滋擾同傷害,面對呢啲情況,我哋唔應該啞忍。而有別於過去幾年嘅香港,我哋喺英國遇到呢啲問題,可以 #保留證據 、#聯絡支援組織 、#向相關部門報告 ,有需要嘅時候,更加可以 #報警 同埋尋求法律援助。嚟緊9月9日, #和你傾 活動會同大家更深入探討 #仇恨罪行#HateCrime ,會員大家報名參加: https://www.eventbrite.co.uk/e/9edinburgh--tickets-699294638087 有人話「區議員」離唔開個「區」字,然而我地已轉型成為具人權面向嘅僑胞會,服務在蘇格蘭的港人,正正與過去嘅身份息息相關。流散港人面對各種挑戰,往往不能夠獨善其身,嚟緊嘅日子我哋繼續同大家同行。子健誠意邀請大家 8.31 下晝嘅茶敘同晚上嘅祈禱會: https://www.eventbrite.com/e/698231217367 如果大家剛到埗,或者係喺蘇格蘭生活時希望尋求幫助,歡迎填寫以下表格同我哋聯絡: https://forms.gle/n8cSUkW2HS19BRVg7 香港人,頂住!