1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Node.js: Hälfte der NPM-Pakete durch…

Sehr krass…

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Sehr krass…

    Autor: crash 23.06.17 - 15:08

    dass Entwickler so einfache Passwörter benutzen. Man muss auch mal sehen, wie viele Projekte z.B. durch Gulp betroffen wären. Viele Projekte in und außerhalb der Nodejs-Welt nutzen das als Buidl-System.

  2. Re: Sehr krass…

    Autor: Allandor 23.06.17 - 15:23

    Tja, das ist eines der großen neuen Probleme die hier diese automatisierten Buildsysteme geschaffen haben. Pakete werden nicht mehr lokal vorbehalten sondern automatisch gezogen und wenn dann ein Entwickler schlampt zieht sich das durch verdammt viele Projekte.

    Es dürfte da draußen auch verdammt viele ungepflegte Node.js "Server" geben welche offen wie ein Scheunentor sind. Einfach weil sie nicht mehr gepflegt werden (bzw. die verwendeten Pakete lücken haben).
    Natürlich müsste man erst mal wissen wo das verwendet wird, aber irgendwie fliegen solche lücken früher oder später auf.
    Einen unterschied zu anderen ungepflegten Systemen macht das natürlich nicht, aber besonders Node (bzw. der darauf basierende Paketverteilungsdienst NPM) ist dafür ziemlich anfällig.



    2 mal bearbeitet, zuletzt am 23.06.17 15:25 durch Allandor.

  3. Re: Sehr krass…

    Autor: Geistesgegenwart 24.06.17 - 12:15

    Allandor schrieb:
    --------------------------------------------------------------------------------
    > Tja, das ist eines der großen neuen Probleme die hier diese automatisierten
    > Buildsysteme geschaffen haben. Pakete werden nicht mehr lokal vorbehalten
    > sondern automatisch gezogen und wenn dann ein Entwickler schlampt zieht
    > sich das durch verdammt viele Projekte.
    >
    > Es dürfte da draußen auch verdammt viele ungepflegte Node.js "Server" geben
    > welche offen wie ein Scheunentor sind. Einfach weil sie nicht mehr gepflegt
    > werden (bzw. die verwendeten Pakete lücken haben).
    > Natürlich müsste man erst mal wissen wo das verwendet wird, aber irgendwie
    > fliegen solche lücken früher oder später auf.
    > Einen unterschied zu anderen ungepflegten Systemen macht das natürlich
    > nicht, aber besonders Node (bzw. der darauf basierende
    > Paketverteilungsdienst NPM) ist dafür ziemlich anfällig.

    Das Problem bei statischen Abhängigkeiten, die also z.B. im git miteingecheckt werden, dass diese viel unwahrscheinlicher geupdated werden wenn es Sicherheitslücken gibt. npm verwendet Semantic Versioning als Update, d.h. wenn du zu einem Zeitpunkt npm install ausführst, bekommst du auch automatisch jeweils die neusten Pakete (zumindest minor/patch updates). Das Problem ist (abesehen von dem hier im Artikel erwähnten Sicherheitsproblem) dass viele Pakete sich nicht an Semver halten, darunter auch einige große Projekte (z.B. Typescript, Angular erst seit v4 etc.)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. KfW Bankengruppe, Frankfurt am Main
  2. WBS GRUPPE, Berlin (Home-Office)
  3. parcIT GmbH, Köln
  4. WBS GRUPPE, deutschlandweit (Home-Office)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Lords of the Fallen Game of the Year Edition für 2,50€, Toybox Turbos für 3,33€, Heavy...
  2. (u. a. 2in1 Convertible Bluetooth TV-Soundbar mit Subwoofer für 95,99€, Party-Soundsystem für...
  3. 39,99€
  4. (u. a. Neff Spülmaschine 60cm für 549€, Bosch Spülmaschine 60cm für 319€, Siemens...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme