気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント60件
- 注目コメント
- 新着コメント
オーナーコメントを固定しています
xlc
火事により困窮したOSS作者が復讐のために悪意のあるコードを埋め込んだという闇。npm もYouTubeみたいに利用数に応じた収益化ができるといいのにね。npm-force-resolutions を使えば古いnpmでもバージョンを固定できるはず。
fai_fx
Marak氏は https://b.hatena.ne.jp/entry/s/note.com/takahiroyte/n/nd6cceae3af04 OSSのゆく道:Faker.jsの顛末 で話題になった人...
オーナーコメントを固定しています
オーナー
efcl
colors.jsにDoS攻撃のコードを入れたものがpublishされていた問題について。 npmパッケージの直接的/間接的依存のチェック方法やYarnの`resolutions`、npm 8.3+の`overrides`でのバージョン固定方法について。
tmatsuu
golangのminimal version selection(とmirrorsとgo.sum)は今回のような悪意あるversiom bumpもうまく回避できているのでなるほどと思った。
estragon
Node.jsのパッケージマネージャnpmやyarnで使われてるcolorsというパッケージに悪意のコードが埋め込まれたとのこと。npmやyarn以外に最大五万個のパッケージに取り込まれてるかもとか
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
colorsなどのnpmパッケージに悪意あるコードが含まれている問題について
追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョ... 追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
2022/01/11 リンク