最近Evil.js被讨论的很多,项目介绍如下
项目被发布到 npm 上后,引起了激烈的讨论,最终因为安全问题被 npm 官方移除,代码也闭源了
作为一个前端老司机,我肯定是反对这种行为,泄私愤有很多种方式,代码里下毒会被 git log 查到,万一违法了,还不如离职的时候给老板一个大逼兜来的解恨
今天我们来讨论一下,如果你作为项目的负责人,如何甄别这种代码下毒
 |
1
GopherDaily Aug 23, 2022  9
刑事诉讼
|
 |
2
Shorekeeper Aug 23, 2022 1
看起来是只针对这个 Evil.js 项目的解决方法,不具有普适性?下次出现个 Evil.js-1 怎么办?
我个人认为,一个开源项目不具有任何“社会责任”,也不应该期待着开源项目维护者有“责任感”。只要伸手拿了项目,只有您自己才有义务保证自己的产品没问题。 |
 |
3
Mithril Aug 23, 2022 66
为啥要防。。。
不要总想着帮公司法务干活,他们赚的不比码农少。 |
 |
4
abc0123xyz Aug 23, 2022
怎么防止同事删库
|
 |
5
jazzg62 Aug 23, 2022
怎么防止老婆给我下药?
|
|
6
Shorekeeper Aug 23, 2022 1
换个角度思考,确保每个引用的第三方库都有使用的理由,随时移除不再使用的 /没有理由的库,固定依赖版本。这算不算更好的办法?
|
 |
7
nothingistrue Aug 23, 2022
个人开发不好防,但是同事的话那是团队开发,好防的很,做好单元测试就行了。如果没有单元测试,那你也不用防了,相比于产品给你的坑,Evil.js 投的毒都是小意思。
|
 |
8
Bijiabo Aug 23, 2022 6
这可能更多的是一个非技术问题。
需要考虑的是在什么情况下同事会下毒,没人会无缘无故做出这样的事情,是不是团队太卷、老板太 SB 、做事方式太奇葩。 (深思熟虑之后,最终选择了和同事一起下毒跑路 >_>... |
 |
10
ThreeK Aug 23, 2022
先拿到工期再讨论怎么做。
|
 |
11
dx3759 Aug 23, 2022
静态代码审查
|
 |
12
kidult Aug 23, 2022
吃饱了撑的要来投毒
|
 |
13
kikitte Aug 23, 2022 84
“无产阶级常常分不清敌人经常内斗”
|
 |
14
Qy2FbR Aug 23, 2022 via Android
你们都不写 unit test 的吗?
|
 |
15
mogita Aug 23, 2022 via iPhone
生活和工作在一个互不信任的社会里,悲,难。
|
|
16
Qy2FbR Aug 23, 2022 via Android
不搞 code review 的吗?
|
 |
17
dongpengfei1 Aug 23, 2022
为什么反对投毒,因为会影响到其他同事的合法利益。
|
 |
18
lakehylia Aug 23, 2022
技术选型你们不做的吗?选型都不是小罗罗做的,都是大佬做技术选型,小罗罗负责填充代码。这个包根本过不了技术选型的关。
|
 |
19
akagishigeru Aug 23, 2022
难道版本控制里面看不到加依赖吗?
|
 |
20
roundgis Aug 23, 2022 via Android
你是老闆?
|
 |
21
tkHello Aug 23, 2022
暴风雨只会来的更猛烈
|
 |
22
rxswift Aug 23, 2022
让公司对员工好一点可解
|
 |
23
v2ka Aug 23, 2022
都是成年人,为自己的行为负责就好了。
别人要做小偷,要搞打砸抢烧,你防着有用吗? 不是有公安,有法院,有版房吗? 社会会合理分流,让合适的人呆到合适的地方就行了。 不用你操那么大的心。 |
 |
24
shanyuhai123 Aug 23, 2022
为了推广而发的帖子,散了吧。
git 、svn 等代码管理工具有你提交记录,一抓一个准。 |
 |
25
Mark24 Aug 23, 2022
营造好的用工环境,哄好打工人。
丧失信任之后,防你能防得住么?不如日行一善来的靠谱。 |
 |
27
cheng6563 Aug 23, 2022
git 如不开 gpg 验证的话完全可以伪造提交作者
|
 |
28
fanxasy Aug 23, 2022
应该大力推广,因为代码投毒总比物理投毒好。同理我们应该大力发展色情产业(
|
 |
29
tianyou666shen Aug 23, 2022
关键字 同事 投毒
我以为你想说游族老板林奇呢 只要不往我杯子里投毒,其他您随意.(毕竟您都要和公司鱼死网破了) |
 |
30
sherryqueen Aug 23, 2022
我国有一套完整的刑法
|
 |
31
zhaokun Aug 23, 2022
代码检测还不如多关注项目组员工的状态
|
 |
33
fournoas Aug 23, 2022
代码投毒小把戏而已,当年 Ken Thompson 是往 C 编译器里留后门。还不如考虑下怎么魔改项目构建工具吧
|
 |
34
woniuppp OP @GopherDaily 是这样的 囧
|
|
35
woniuppp OP @SunsetShimmer 锁版本就是更好的办法
|
|
38
woniuppp OP @shanyuhai123 好的
|
|
41
woniuppp OP @shanyuhai123 大部分项目 git 都没有 gpg 验证的,提交记录可以伪造的
|
|
42
woniuppp OP @sherryqueen 有刑法也不耽误自己装防盗门的
|
 |
43
PerFectTime Aug 23, 2022
写一个 Unevil.js 覆盖所有原型链
|
 |
44
Felldeadbird Aug 23, 2022
git log 一查就知道谁引入包了。
所以这种项目除了炫技和泄愤,完全感觉不到投毒水平在哪? 真正要给代码投毒,只需要在交易逻辑上写一个 弱智 BUG 就可以了。 let subtotal; if(subtotal = pay.total ){ xhr .... } 这种逻辑 BUG ,只要公司没代码自动审查,没单元测试,没自动化。写得隐蔽点,夹在开发中。等某天引爆。 |
 |
45
yy77 Aug 23, 2022
对引入包进行审计。即一般的程序员不能在网上看到某个包觉得好用就引入,需要进行审计之后再引入。
可是真要投毒,不用引入整个包,在某个 util 库里写上一段更难查到。 |
 |
46
GP1 Aug 23, 2022
你那么怕是不是平时压榨剥削员工有一手,导致自己心里有鬼?正常人谁愿意这样恶心人?
|
 |
48
MoYi123 Aug 23, 2022 2
这种毒还要引第三方库? 自己造的 bug 不比这多?
|
 |
49
soulmine Aug 23, 2022
谁引发的问题谁负责 为啥要管呢
|
 |
50
darknoll Aug 23, 2022
老板亲自发帖?
|
 |
51
palxie Aug 23, 2022 5
如果你是老板, 确实是你该考虑, 如果你真的只是同事, 那我觉得你戏有点多.
|
 |
52
rbq123456 Aug 23, 2022
为啥要引入这样的包呢,这引入一看 package.json 就知道了。真想投毒就自己偷偷写点不就好了,这毒代码又不复杂,一问就是没注意看,再问就是百度复制的代码
|
 |
53
liuzhedash Aug 23, 2022
谁是我们的敌人,谁是我们的朋友?
|
 |
54
deng81416754 Aug 23, 2022
我看刑,你们觉得型吗
|
 |
55
vazo Aug 23, 2022
我就不信大伙热爱这个团队会主动投毒.有些问题看起来是技术问题其实是管理问题.
|
 |
56
NoString Aug 23, 2022
我的评价是就这就这 还不如我自己写的 bug 厉害
|
 |
57
zr8657 Aug 23, 2022 3
我觉得全世界的无产阶级是不可能团结起来的,可悲
|
 |
58
dianso Aug 23, 2022
一个 40 多岁的初中生写的,抱怨社会不公。
|
 |
60
liuzhaowei55 Aug 23, 2022 via iPhone
一架飞机上不会有两个人同时携带炸弹,同理一个项目里不会有两个人同时下毒,所以只要你先下手,就可以杜绝同事下毒了。
|
 |
61
WOLFRAZOR Aug 23, 2022
刑啊!到时候看谁先进哈哈哈哈哈
|
 |
62
clrss Aug 23, 2022
虚假的投毒:
Evil.js 真正的投毒: goto fail; goto fail; |
 |
63
PendingOni Aug 23, 2022
我觉得还是 DDoS 脚本小子比较刑
|
 |
66
tairan2006 Aug 23, 2022 2
我劝你少管闲事
|
 |
67
piloots Aug 23, 2022
真刑。太刑,决定刑。无期刑,直至死刑。
|
 |
68
set01 Aug 23, 2022 2
楼主换个标题就没这么多乱七八糟的回复了
怎么防止同事用 Evil.js 的代码给我的代码里投毒,影响我下班 |
 |
69
belowfrog Aug 23, 2022
是供应链投毒的问题,看看 https://github.com/LavaMoat/LavaMoat ,metamask 用的文案
|
 |
70
manami Aug 23, 2022
还不如专门用有漏洞的包,攻击交给别人去做
|
 |
72
luomu24 Aug 23, 2022
每次看到你们这么精力十足折腾,我就觉得我不适合这行。
|
 |
73
AhECbt Aug 23, 2022
还有比 rm -rf /* 更毒的?目前没发现呐。
|
 |
74
Aixtuz Aug 23, 2022
相对于 “如何对付变成敌人的队友?”
更重要的不该是 “如何避免队友变成敌人么?” 如果不是把队友逼急了,人家至于投毒么... 没有理由就是要投的人,有很多么? |
 |
75
abuabu Aug 24, 2022
上一贴:怎么给代码下毒
这一贴:怎么防止同事下毒 下一贴:怎么防止和 v2er 做同事 |
 |
76
lopssh Aug 24, 2022 via Android
太秀了吧这个
|
 |
77
hervey0424 Aug 24, 2022
根本不需要, 让他们正常写就和投毒一样了
|
 |
78
mingl0280 Aug 24, 2022
信任问题不要怪代码。
钱和福利都不给够还要唧唧歪歪同事的敌意工作环境是非常容易催生极端思想的。 |
 |
80
ada87 Aug 24, 2022
JavaScript 感觉没什么技术含量,不用三方自己都能投。
在此请教下 Java 有无此类包,或者实现方法,比如改下 java.lang.String 里面的一些输出? |
 |
81
realJamespond Aug 24, 2022
用微前端沙箱隔离, 有问题也只是他那块的问题不影响其他人的模块
最简单的办法就是加工资~~ |
|
82
woniuppp OP @realJamespond +1
|
Select Language