“npmパッケージのマニフェストがそのtarボールとは独立して公開され、必ずしもtarボールの内容とマニフェストが一致せず、そこが悪用されてマルウェアなどを依存関係の中に隠すことができて検出されない”

akymrk のブックマーク 2024/04/04 11:14

<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/4751568619787932992/comment/akymrk" data-user-id="akymrk" data-entry-url="https://b.hatena.ne.jp/entry/s/www.publickey1.jp/blog/24/javascriptnpmvltnpmisaac_z_schlueter.html" data-original-href="https://www.publickey1.jp/blog/24/javascriptnpmvltnpmisaac_z_schlueter.html" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.com/64?url=https%3A%2F%2Fwww.publickey1.jp%2Fblog%2F24%2Fjavascriptnpmvltnpmisaac_z_schlueter.html" data-user-icon="/users/akymrk/profile.png">JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表</a><br><p style="clear: left">“npmパッケージのマニフェストがそのtarボールとは独立して公開され、必ずしもtarボールの内容とマニフェストが一致せず、そこが悪用されてマルウェアなどを依存関係の中に隠すことができて検出されない”</p><a class="datetime" href="https://b.hatena.ne.jp/akymrk/20240404#bookmark-4751568619787932992"><span class="datetime-body">2024/04/04 11:14</span></a></blockquote><script src="https://b.st-hatena.com/js/comment-widget.js" charset="utf-8" async></script>

このブックマークにはスターがありません。
最初のスターをつけてみよう！

JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表

www.publickey1.jp2024/04/04

JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表 npmに代わる新しいJavaScriptのパッケージシステム「vlt」（vōlt：...

147 人がブックマーク・28 件のコメント

他のコメントを読む

＼コメントがサクサク読めるアプリです／

はてなブックマーク

JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表

はてなブックマーク

公式Twitter

はてなのサービス