Journal Une nouvelle attaque supply chain sur npm

Posté par  . Licence CC By‑SA.
Étiquettes :
30
26
juil.
2025

https://www.clubic.com/actualite-573972-avec-2-7-millions-de-telechargements-par-semaine-le-package-npm-is-transforme-en-cheval-de-troie.html

Les hackers viennent de frapper l'écosystème npm. Ils ont compromis le package « is », un utilitaire de vérification de types JavaScript que des millions de développeurs installent chaque semaine. Cette bibliothèque figure parmi les plus téléchargées du registre npm.
Les pirates ont infecté sept packages en parallèle. Ils ont touché eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall et got-fetch. Une faille dans le système d'authentification email de npm leur a permis de tromper les responsables de ces projets et de (…)

Forum Linux.général Script de mise à jour (apt, snap, flatpak, npm, pip)

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
3
27
avr.
2022

Salut tout le monde !

Voici un petit script de mise à jour très simple. Y'a probablement des manières plus propres de faire, et si vous avez vachement mieux je suis preneur, mais en l'état ce petit script me convient bien : il met à jour les différents systèmes de paquets de mon système (manque quand même les majs des paquets Emacs, à voir pour plus tard).

C'est tout bête.

#!/bin/sh -

# nettoyage
echo "####### NETTOYAGE #######" &&
sudo
(…)

Journal De l'art d'être indépendant des dépendances

Posté par  . Licence CC By‑SA.
Étiquettes :
28
17
jan.
2022

Bonjour nal,

C'est vendredi lundi et j'avoue avoir poussé ma gueulante sur mes collègues qui ne gèrent pas leur dépendances.

Je veux dire par là : ils laissent leur gestionnaire de package tout faire pour eux en comptant sur semver qui est dans la pratique un échec (je ne retrouve plus le post que j'avais vu sur hackernews et qui expliquait au final pourquoi chrome/firefox s'en était passés et beaucoup d'autres par la suite. lien de consolation 1 et 2 (…)