Npm-pakettiekosysteemiin luottaminen softakehityksessä on eksistentiaalinen uhka ihmiskunnalle

Heh, just äsken pistin sisään pull requestin fixistä, joka korjaa npm audit issueita :D 

Luottaminen? Just tuossa kohtaa teillä menee pieleen.

Muuten kaikki nykysoftahan on rakenteeltaan kuvan kaltaista:

https://xkcd.com/2347/

Monet tietoturva-asiantuntijoiksi itsensä julistaneethan paasaavat isoon äänen, kuinka tietoturvapäivitykset täytyy saada heti, ja Debian stablen kaltaiset jäädytykseen perustuvat ratkaisut ovat suorastaan käsittämätön tietoturvariski. Mutta kun lähtee sutta karkuun, voipi tulla karhu vastaan.

Vierailija kirjoitti:

Monet tietoturva-asiantuntijoiksi itsensä julistaneethan paasaavat isoon äänen, kuinka tietoturvapäivitykset täytyy saada heti, ja Debian stablen kaltaiset jäädytykseen perustuvat ratkaisut ovat suorastaan käsittämätön tietoturvariski. Mutta kun lähtee sutta karkuun, voipi tulla karhu vastaan.

Jaa, luulin että tuo jäädytys koskee vaan softan pääversiota eikä esim. turvapäivityksiä. Mutta en ole debiania käyttänyt (suoraan) aikoihin, vain noita siitä aikanaan jalostettuja versioita kuten ubuntu etc. 

Vierailija kirjoitti:

Vierailija kirjoitti:

Monet tietoturva-asiantuntijoiksi itsensä julistaneethan paasaavat isoon äänen, kuinka tietoturvapäivitykset täytyy saada heti, ja Debian stablen kaltaiset jäädytykseen perustuvat ratkaisut ovat suorastaan käsittämätön tietoturvariski. Mutta kun lähtee sutta karkuun, voipi tulla karhu vastaan.

Jaa, luulin että tuo jäädytys koskee vaan softan pääversiota eikä esim. turvapäivityksiä. Mutta en ole debiania käyttänyt (suoraan) aikoihin, vain noita siitä aikanaan jalostettuja versioita kuten ubuntu etc. 

Turvapäivitykset backportataan, mutta siihen menee välillä oma aikansa. Aina ei saada kaikkea mulle heti nyt.