TGTGInsightтелеграм анализLIVE / telegram public index
← Такты, стеки, два колеса

TGINSIGHT SIMILAR POSTS

Намери подобно съдържание

Изходен канал @clockstackwheels · Post #852 · 10.08

Автор OpenSource библиотеки тайно ворует данные разработчиков, чтобы проверять, донатят они ему, или нет. Вообще, скандалы с опенсорс-библиотеками бывают не так уж и редко. Разработчики делают что-то бесплатно, этот труд оказывается нужен тысячам людей, включая большие корпорации, а дальше возможны варианты. За последние пару лет ожидаемо было много политических заявлений и даже вредоносного кода по признаку страны, из которой запускается софт. Просто, стартуя с какой-то версии, какая-нибудь библиотека начинает делать что-то постороннее, помимо своей основной функциональности. К чести комьюнити, такие вещи всегда очень жестко критикуют, даже если идеологические взгляды разработчика выглядят общепринятыми в той среде, где это комьюнити развивается. Вот на днях новый такой скандал. Впервые в моей жизни в такую ситуацию попала библиотека, которую используем на работе — а именно Moq для .NET. Автор написал код, который спаунит новый системный процесс и командой git config --global user.email читает почту разработчика, а затем с помощью почти зашифрованной закрытой DLL-библиотеки, помещённой в поставку Moq, отправляет данные в сервис GitHub SponsorLink, чтобы проверить, платит ли разработчик донаты. Конечно же, система безопасности на проде не даст никуда сходить этому коду и ничего плохого сделать. Но, помимо прода, рабочие проекты запускаются еще и на компьютерах разработчиков локально. Вот тут заложена настоящая опасность. Где запрос почты, там может быть следующим шагом что угодно другое — скачивание ваших интимных фото и передача вовне, чтение файла с паролями из папки браузера, поиск номера кредитки... Разумеется, всё во имя самых благих целей. В общем, комьюнити порассуждало о том, что это критический подрыв доверия, хотя автор оправдывался как мог (как moq, хе-хе). Народ просто закидал его камнями, начал массово исключать Moq из своих зависимостей, ставить дизлайки, отправлять репорты. Вроде как это вынудило мейнтейнера откатить изменения. Но на всякий случай Moq лучше не обновлять больше никогда и постепенно заменить на аналоги. Доверие — важнейший ресурс в опенсорсе. #dev

Hashtags

Резултати

Намерени 2 подобни публикации

Търсене: #tedhui

当前筛选 #tedhui清除筛选
Hong Kong Democracy Movement

@hkdmovement · Post #7223 · 19.02.2024 г., 20:30

Hong Kong Security Bureau Chief Tang Ping-keung continues to accuse Ted Hui and Chris Patten, but fails to acknowledge that the proposed Article 23 legislation could further undermine freedom in Hong Kong. Despite concerns raised by critics, Tang maintains that the bill is aimed at safeguarding press freedom and freedom of speech. However, many remain skeptical about the potential implications of this legislation on Hong Kong's cherished values of liberty and autonomy. #Article23#PressFreedom#FreedomOfSpeech#TedHui

Hong Kong Democracy Movement

@hkdmovement · Post #7943 · 20.02.2025 г., 00:59

警方通緝黃大仙前區議員 #劉珈汶,並拘捕其家人協助調查。控方指控她鼓吹香港獨立,請求對中港制裁。同時,前立法會議員 #許智峯 透露其家人在港財產被充公。 這顯示港府和警方可無理由以「國安威脅」為由逮捕任何人,侵害言論自由。全球應關注並呼籲保護香港基本自由。 #言論自由#人權#香港 Hong Kong's National Security Department has issued a wanted notice for former Wong Tai Sin District Councillor #KavinLau and detained her family for investigation. She is accused of advocating for Hong Kong's independence and calling for sanctions against China and Hong Kong. Meanwhile, former Legislative Council member #TedHui revealed that his family's assets in Hong Kong have been confiscated. This demonstrates that the Hong Kong government and police can arbitrarily arrest anyone claiming they are a national security threat, without reason. The global community must pay attention and call for the protection of fundamental freedoms in Hong Kong. #FreedomOfSpeech#HumanRights#FreeHK