@nodejs_ru
Vladimir10.08.2016
11:54:25
11:54:25
боже
Алексей10.08.2016
11:54:35
11:54:35
https://nodesecurity.io кокраз об этом
Leonid10.08.2016
11:54:38
11:54:38
всегда смешно читать как народ на это попадается))
Vladimir10.08.2016
11:54:46
11:54:46
все правда верят в этот шуточный вброс?
Google
Anton10.08.2016
11:55:56
11:55:56
Мне нраивтся особенно один комментарий
"Похоже, что все устанавливают модули так же, как читают эту статью"
Алексей10.08.2016
11:56:31
11:56:31
вброс не вброс, но в каждой шутке есть доля шутки
Никита10.08.2016
11:56:36
11:56:36
Или мне показалось?
Vλαdmιr10.08.2016
11:57:01
11:57:01
мне кажется, уже проще открыть ИП, купить патент за 10 тыщ и еще 20 тыщ взносов заплатить и не ебать себе мозги
тем более с провозом пачек денег через таможню
Никита10.08.2016
11:57:19
11:57:19
"Похоже, что все устанавливают модули так же, как читают эту статью"
Учитывая то, что там чуть ли не на каждой строчке намёки, а для самых невнимательных скриншот волшебный.Кстати!
https://github.com/babel/babel/commit/033681af8941d9678961f985c13e500c3c70f337
А вот это видели?
Vladimir10.08.2016
12:00:03
12:00:03
> So glad we got that test in there
GoogleAnton10.08.2016
12:00:35
12:00:35
Лол
Vladimir10.08.2016
12:01:45
12:01:45
https://github.com/defunctzombie/node-yummy/issues/7
https://github.com/babel/babel/commit/033681af8941d9678961f985c13e500c3c70f337
откатили обратно уже https://github.com/jdan/babel/commit/7dabeb46f79810f706078f880ce007aa36bd4327Никита10.08.2016
12:03:39
12:03:39
откатили обратно уже https://github.com/jdan/babel/commit/7dabeb46f79810f706078f880ce007aa36bd4327
Не смерджили же ещё, так что не откатили.Это только в ветке partys-over-go-home
Его зареджектили.
откатили обратно уже https://github.com/jdan/babel/commit/7dabeb46f79810f706078f880ce007aa36bd4327
https://github.com/babel/babel/pull/3646#issuecomment-238727270> Joke pull requests are not appreciated. @jdan Thank you for your contribution but we cannot accept this as its a semver major version change.
Vladimir10.08.2016
12:06:38
12:06:38
ахаха
Никита10.08.2016
12:09:59
12:09:59
Это. Вы fs: re-evaluating native module sources is not supported. If you are using the graceful-fs module, please update it to a more recent version. когда последний раз видели и из-за чего?
DreamerinnoiseVladimir10.08.2016
12:19:00
12:19:00
https://twitter.com/jdan/status/763040969730252800
Алексей10.08.2016
12:27:55
12:27:55
я честно признаюсь - я поверил :)
Никита10.08.2016
12:29:07
12:29:07
Там ничего правдоподобного нет.
Алексей10.08.2016
12:29:37
12:29:37
Про Hot pocket
Никита10.08.2016
12:29:55
12:29:55
лайкнуть в твиттере запросом без токена так нельзя, а ваша сессия в браузере
а эта штука с браузером и вашим аккаунтом твиттера вот вообще никак не связана
как она может лайкать?
GoogleНикита10.08.2016
12:30:58
12:30:58
Больше того, там даже пост отправляется пустой просто на адрес сообщения, никакого упоминания лайка там нет.
Roman10.08.2016
12:33:53
12:33:53
Я сначала поверил, потом поразмыслил, а сколько людей то на самом деле следит за изменениями в проекте. Такое не пропустят.
Никита10.08.2016
12:35:34
12:35:34
Я сначала поверил, потом поразмыслил, а сколько людей то на самом деле следит за изменениями в проекте. Такое не пропустят.
express привязывается либо к своим же кускам по сути (за тем же автором) либо к патч-версиямVladimir10.08.2016
12:35:38
12:35:38
вот как раз нет
с таким количеством зависимостей - можно что угодно пропустить
Roman10.08.2016
12:35:57
12:35:57
я думаю автор хотел донести мысль что реально мало кто изучает все dependency всех модулей и нет никаких гарантий что всегда все отлично. Что мешает в бинарный модуль положить backdoor и ждать когда кто-то сделает npm i -g от sudo.
Алексей10.08.2016
12:35:59
12:35:59
Ничего сложно нет - запустить браузер на странице и воспользоваться к примеру Win32 API… хотя это кончно уже технически сложновато
Никита10.08.2016
12:36:00
12:36:00
причём при обновлении сторонних зависимостей мейнтейнер express реально смотрит на дифф.
Vladimir10.08.2016
12:36:16
12:36:16
да, но иногда и диффа-то нет
Никита10.08.2016
12:36:21
12:36:21
в смысле диффа нет?
он делается командой diff
Vladimir10.08.2016
12:36:46
12:36:46
вмысле ты не обновляешь package.json
Никита10.08.2016
12:36:53
12:36:53
м?
Vladimir10.08.2016
12:36:59
12:36:59
просто вышла новая версия зависимости
Никита10.08.2016
12:36:59
12:36:59
Не понимаю.
Roman10.08.2016
12:37:09
12:37:09
я понял
Никита10.08.2016
12:37:17
12:37:17
Roman10.08.2016
12:37:19
12:37:19
я так на проде словил себе проблем
когда обновилась какая то зависимость пакета, и жестко в package.json она не была прописана
GoogleVladimir10.08.2016
12:37:38
12:37:38
да, но это не распространяется на транзитивные зависимости
Roman10.08.2016
12:37:38
12:37:38
и билд собрался криво
Vladimir10.08.2016
12:37:51
12:37:51
у зависимости зависимости стоит ^
Roman10.08.2016
12:37:51
12:37:51
жестко версия не была прописана
Никита10.08.2016
12:38:22
12:38:22
да, но это не распространяется на транзитивные зависимости
шринкврап есть, но его использовать не круто в библиотеках. А так — надо посмотреть.
Dima10.08.2016
12:38:45
12:38:45
Ребят, еще раз привет. Вчера был разговор как без imagemagic (бинарных зависимостях) победить *.ico на ресайз.
В целом, рецепт такой:
canvas, fav, stream-to-buffer, lwip
Vladimir10.08.2016
12:38:59
12:38:59
не уверен что он вообще работает в пакетах
AdminERROR: S client not available
Roman10.08.2016
12:39:10
12:39:10
шринкврап есть, но его использовать не круто в библиотеках. А так — надо посмотреть.
я не уверен что все разработчики так поступаютАлексей10.08.2016
12:40:05
12:40:05
я не уверен что все разработчики так поступают
мы фиксируем зависимости ( даже минорные ) - но проблема в том что из вас проверяет что изменилось в каждом пакете и в каждой зависимости пакета?Никита10.08.2016
12:40:30
12:40:30
Vladimir10.08.2016
12:40:41
12:40:41
не сомневаюсь
Никита10.08.2016
12:40:48
12:40:48
А ты проверь.
В смысле есть ли там сторонние зависимости со вложенными зависимостями.
Roman10.08.2016
12:41:18
12:41:18
мы фиксируем зависимости ( даже минорные ) - но проблема в том что из вас проверяет что изменилось в каждом пакете и в каждой зависимости пакета?
вот я про это и говорю. Я использовал htmlmin по моему, но тут него обновилась зависимость. Которая не была зафиксирована в htmlmin и прод при пересборке сломалсяНикита10.08.2016
12:42:49
12:42:49
node_modules/send/package.json
node_modules/serve-static/package.json
node_modules/proxy-addr/package.json
node_modules/express/package.json
node_modules/type-is/package.json
node_modules/debug/package.json
node_modules/http-errors/package.json
node_modules/accepts/package.json
node_modules/mime-types/package.json
node_modules/on-finished/package.json
node_modules/finalhandler/package.json
Это список всех зависимостей с зависимостями.
GoogleVladimir10.08.2016
12:43:48
12:43:48
не, это точно не все
Roman10.08.2016
12:44:12
12:44:12
npm 3й версии тоже не всегда в плоский список разворачивает пакеты
только если может
Никита10.08.2016
12:44:21
12:44:21
не, это точно не все
npm install express;
find node_modules/ -name package.json | xargs grep dependencies | grep -v '{}' | sed s/':.*'//Roman10.08.2016
12:44:24
12:44:24
могут быть вложенные и вложенные вложенных
Никита10.08.2016
12:45:56
12:45:56
Я всё учёл.
Там из всех рекурсивных зависимостей есть только одна, у которой другой автор и одновременно зависящая от чего-то.
Это debug
И она привязана к патч-версии одного пакета.
Vladimir10.08.2016
12:49:00
12:49:00
это даже не все прямые зависимости)
Никита10.08.2016
12:49:18
12:49:18
Да, я выкинул те, у которых нет зависимостей.
Ты же только о вложенных говорил.
С прямыми тоже всё ок, это можно независимо проверить.
Vladimir10.08.2016
12:50:12
12:50:12
https://github.com/jshttp/mime-types/blob/master/package.json#L170
Никита10.08.2016
12:50:39
12:50:39
Автор тот же.
Vladimir10.08.2016
12:50:53
12:50:53
ну это да
Никита10.08.2016
12:51:00
12:51:00
У express, mime-types, и mime-db
Vladimir10.08.2016
12:51:11
12:51:11
прямо сторонних совсем зависимостей не вижу
Никита10.08.2016
12:51:20
12:51:20
Есть, debug
Открыть в Telegram