Por cierto, estaba hace un rato viendo cosas sobre "programación orientada a componentes", y veía algunas presentaciones de hace años donde decían una y otra vez que "en el futuro, programar será muy sencillo gracias a la tecnología de componentes, pues, al igual que en la electrónica, los programas se crearán uniendo componentes ya prefabricados y estandarizados, cuya fiabilidad se probará de manera individual".

¿A alguien le suena...? Es justo lo que tenemos hoy en día gracias a NPM y MAVEN, y así tenemos estos mamotretos que dependen de cien mil cosas.

#6 castillos de naipes.. sopla cualquier aire y todo al carajo.

#2 Qué majos.
Cómo a algún hacker ruso le dé por envenenar BBDD de GeoIP va a ser una fiesta, que ni el monkey army de Netflix.

Los rusos no son el enemigo, lo es Putin y la gente con dinero que le apoya.
Putin fuera.
Dejad a los rusos tranquilos.
Dejadme las rusas a mi

Tonta que es la gente por hacer un poco de propaganda, como si profesionalmente se instalase la ultima versión de algún paquete.
Ahora si, veremos a ver que tal le va la cosa cuando la gente le entre la sospecha de cuando sera la próxima vez que decidan hacer un cambio de estos.

Explicacion mas detallada, snyk.io/blog/peacenotwar-malicious-npm-node-ipc-package-vulnerability/

#6 « cuya fiabilidad se probará de manera individual »

#13 es lo que está ocurriendo con los diferentes test automatizados, y está funcionando.

#14 Pero esos tests dependen de los propios mantenedores del código, ¿no?

Pues parece que GitHub no se lo ha tomado demasiado en serio...

Menudo gilipollas ¿Qué culpa tendrán los desarrolladores rusos y bielorrusos?

Putos héroes sin capa.

#8 Карл Марх

#15 el problema con el código no es que se programe mal, es que al extenderlo se suelen romper features que ya estaban implementadas. Los test no solo ayudan a que la feature que estás desarrollando cumpla la especificación, si no que la blinda ante los cambios que inserten otros desarrolladores. A no ser que el desarrollador sea tan malo que ante un test que falla bdeshabilite el test. Pero para eso están los PR.

#19 Ya, pero a eso me refiero. Los test así concebidos son una herramienta para el desarrollador, pero no ofrecen una garantía externa sobre el código.

Esto le da muy buena reputación al lenguaje node.js. Imaginemos que ahora algún ruso le da por sabotear algún paquete que tenga puesto en NPM para que deje fritos a los servidores de la UE. Me dan muchas ganas de usar node.js en mis proyectos.

#21 o cualquier otro lenguaje, yo paso de actualizar nada que no sea el Kernel.

Lo dijo #7 perfectamente, no será la primera vez ni la última que se cuelgue esto:

imgs.xkcd.com/comics/dependency_2x.png

Se tienen que reformular las dependencias de software. En general. El modelo actual puede llevar a mierdas gordas como te despistes...

#8 ¿pero eso de Karl Marx no es del 2014?
Pd: por la invasión de Crimea

#6 La programación basada el componentes no tiene nada que ver con Maven y aún menos con npm.

Modelos de componentes son CORBA, COM, EJB... Y no tienen más relación con los repositorios de paquetes de la que puedan tener otros enfoques.

#23 así aparecen cosas como log4shell o heartbleed antes

Pero creo que el caso más exagerado es el de tzdata, la base de datos con actualizaciones de zonas horarias. Poco software me imagino que no dependa de una forma u otra de esa información, y en la práctica son dos Ríos que llevan décadas (igual ya cambio algo)

#8 completamente deleznable. Yo soy muy crítico con la invasion y lo que está haciendo si Putin, pero atacar a ciudadanos individuales es vergonzoso. Y boicotear personajes fallecidos simplemente absurdo. Esto va a acabar como con los ciudadanos de origen japonés en EEUU durante WW2, prisioneros en campos

#4 son nuestras costumbres

#5 el camino al infierno está pavimentado de patadas en los cojones

#21 Esto ha pasado en Node como podría haber pasado en Python, Java o cualquier otro lenguage con gestión de dependencias.

#28 como es la costumbre del ejército ruso vivir del saqueo dentro del territorio ocupado y matar a los civiles que se resistan.

Están en modo conquista

#31 Assange tambien. Y los yemenies. Y los iraquíes. Que sea coherente y borre los datos del amo.

#8 "Hessy Fernandez, oficial de enlace estratégico de la escuela".

No hay más qie decir.

#4 Mejor no le podría haber salido a EEUU la movida que venía practicando de hace años.
Mejor que en la guerra fría.
Rusofobia internacional...

Y el país más terrorista e invasivo desde la WWII de rositas...

#31 De falacias vas bien servido por lo que veo.

Si lees el artículo, verás cómo esta acción no alineada con los ucranianos, les ha fastidiado servidores de contrainteligencia ucranianos.

#36 El que yo coja una escopeta y me lie a tiros contra la cabecera de una manifestación pro-aborto y accidentalmente muera una señora de Lugo antiabortista que pasaba cerca no quiere decir que mis actos vayan en contra de las señoras de Lugo ni contra los antiabortistas, y en realidad es tofo lo contrario... Aqui igual... El autor pretendia lo que pretendía... Con tan pocas luces como para no ver que hay mucha gente que se puede ver afectada por esto, que una IP rusa != Putin viendo pornhub y que hay cosas en las que mejor dejamos el buenismo y el politiqueo a un lado.

#37 En español existe un refrán que considero muy cruel y realista:
El infierno está empedrado de buenas intenciones.

#32 porque en irak, en yemen y en vietnam (o en cualquier guerra) cuando las tropas llegan y hay resistencia les daban un ramo de flores y dos besitos a los locales para vencerla y luego se hacian selfies juntos con el hashtag #NoMeInvades.MeCompletas

Nos ha jodido mayo con las flores

Qué buena idea

No todos los héroes llevan capa.

#21 Tu comentario es un sinsentido. Nadie verifica las librerías gratuitas, podría haber pasado en cualquier repositorio.

#41 Pero ha pasado en ese.

cc #21

#10 Pocas rusas conoces, pequeño cachorro, porque eso si que es dominación

#22 Eto, corregir vulnerabilidades siempre ha sido de cobardes.

#42 No importa. Nadie que sepa mínimamente lo que hace va a dejar de usar un repositorio de librerías por una librería gratuita poco fiable.

Otra cosa sería pagar por una librería privada, quedar descontento, y decidir dejar de usar librerías de esa empresa.

Haciendo una comparación. Es como hacer una mala compra de un producto por Internet mientras usas Chrome y tu solución es dejar de usar ese navegador. El problema es quien ofrece el servicio final (la tienda, el desarrollador), no el intermediario que ofrece un servicio gratuito (el repositorio de librerías, el navegador)

#31 Pero en menéame los nazis somos occidente. Mientras tanto 3 millones de mujeres y niños han tenido que abandonar Rusia, pero eso poco importa aquí.

#39 #Whataboutism

#38 No era el "camino al infierno esta empredrado de buenas intenciones"?

#33 lo de assange te lo compro... pero respecto al resto.
Ansar , blair y bush deberían estar frente a los tribunales internacionales...
Me resulta curioso los conflictos que mencionan - haciendo un análisis (bajo mi prisma) de ellos; más bien parecería que los conflictos son en países con una gran influencia islamica y/o dictatoriales.
Mencionar el tema de Siria o Palestina, que no lo has dicho, que caen bajo alguno de los dos supuestos.... de hecho me parece curioso también que todo las personas que huyen, no solo de esos conflictos que has mencionado - sino en general de África y Asia ... quieran llegar a países europeos donde la religión cristiana tiene o ha tenido un gran peso, y donde el sistema de gobierno se basa en democracias (al menos según los estudios realizados). Cuando tienen otros países más cercanos donde ir

#31 Sobretodo si los datos que se borran son datos de un hospital.

#48 Puede. En ambos casos quieren realizar la misma advertencia.

#31 Està claro. Però no veo muy bien que soluciona haciendo esto a rusos aleatorios que puede ser perfectamente que estuvieran en manifestaciones en contra de la guerra? Puede ser que haga más mal que bien? Pregunto desde la ignorancia.

Otro key warrior más de mierda, un pringado de la vida enaltecido y radicalizado por los medios de propaganda occidentales.

Por supuesto, he ido y le he reportado el github. Le tumben el proyecto a este gilipollas de mierda.

A todo el que tenga updates de dependencias automáticos le está bien empleado por inútil

#47 No, mas bien quiero decir que el comentario es como decir 'el agua moja'.

La última vez que lo mire eso de la guerra consistía en matar, arrasar, destruir y joder al contrario de mil y una formas (física y psicológicamente)... No es nada excepcional.

Con esto no pretendo desviar el foco de atención al sacar a colación otras guerras, no es un y tú más, y si lo preferís para los que no vean mas alla del Madrid-Barça 'Putin hijo puta', 'los rusos son los malos', pero que vamos, que ha descubierto la pólvora

#17 te iba a votar positivo, pero no me gusta tu lenguaje

#9 O directamente todos los bloques que esa web no tenga bien geolocalizados... ya es una fiesta buena

#30 hace poco pasó algo similar, si no recuerdo mal. Alguien que se cansó que empresas grandes usaran sus librerías

Esto daña más al software libre que a los rusos.

Uno de los motivos para usar software libre es la confianza en que ese software va a hacer lo que se le pide, lo de que se pueda auditar el código y los costes son cosas accesorias.

¿Qué imagen da para el software libre un autor que, de repente, le da por destruir datos? ¿Quién dice que otros no van a hacerlo? ¿Y si hay un bug y, además del objetivo deseado, le da por corromper datos de otras víctimas? ¿Desde cuándo un programador es juez, jurado y verdugo de cuestiones ajenas a su código?

No me opondría a que hubiera puesto salvaguardas a la ejecución de su código en ordenadores rusos (p.ej.: denegar servicio), pero ¿destruir datos? Está sentando un precedente muy peligroso y una cierta oleada de desconfianza.

#59 Cuanto ha tardado en descubrirse el problema, unos días? Cuánto ha tardado en resolverse, unas horas? Cuánto se ha propagado la noticia, a todo el mundo?

En software privativo, al menos las dos últimas dependen del propietario y bien puede no corregirlo o anunciarlo por motivos de marketing.

#17 sin capa cerebral, neocortex concretamente.

#49 La gente huye de su país a otro donde puedan sobrevivir. No quieren llegar a países europeos. Quieren quedarse en el suyo pero no pueden. En todos los países hay gente de muchos países. Mauritanos en marruecos y ugandeses en Kenia. Pero el hombre blanco, incapaz de ver más allá de su ombligo, se cree que todo el mundo quiere vivir en su país.

Como si yo tuviera algún interés en vivir en Suiza. Prefiero vivir en la provincia más pobre de España, si es que es mi casa, que en la más rica de Luxemburgo.

#2 ip presuntamente rusa, que no olvidemos que masmovil compro ips de isp rusos.
#9
#31

#49 Para empezar eso de que todos quieran llegar a Europa es mentira, hay millones de refugiados sirios en los países vecinos.
Pero de verdad te sorprende que quieran ir a un sitio donde hay prosperidad y paz?

#57 Pues sí, ciertamente se me olvidó la parte más sencilla, los errores.

#63 Gracias por compartirlo. No lo sabía.

#8 Esa noticia es un bulo, quitaron el nombre por comunista, no por ruso...

#49 Tendrias que ver la de inmigrantes congoleses que hay en Angola, y la de inmigrantes que hay en Guinea Ecuatorial, o en Sudáfrica. Un porcentaje relativamente pequeño de los que salen de sus países terminan en Europa.

#25 Lo se, no he dicho que SEA un sistema de componentes. Lo que digo es que es similar a la idea que consideran "maravillosa" de la programación por componentes, que es la de disponer de un montón de elementos "estándar" fabricados por terceros, y que tú programas combinando. La idea central detrás de la programación de componentes es que haya entidades que fabriquen componentes estándar, ya sean libres o de pago, y que los programadores los utilicen de la misma manera que hacen en electrónica: nadie se fabrica una resistencia o un microprocesador, sino sólo la placa de circuito impreso que los alberga y los interconecta. En el fondo, estos sistemas de repositorios ofrecen lo mismo: miles de componentes estándar que puedes juntar fácilmente para hacer tus programas. Y hemos llegado al extremo de que hasta había un componente en NPM para añadir ceros a la izquierda a un número para justificarlo (algo que te haces en dos minutos, pero ahí estaba), y que cuando el programador lo retiró, media internet se cayó: qz.com/646467/how-one-programmer-broke-the-internet-by-deleting-a-tiny

#14 Funciona hasta cierto punto: como dijo Arthur C. Clarke en 2001, "Es posible hacer un sistema a prueba de errores, pero no de malicia intencional", y aquí tenemos un ejemplo.

Por otro lado... he visto algunos tests automatizados que... Hacer tests lleva tiempo, y no todo el mundo está por la labor, por desgracia. Y si confías en los tests de otros, puede seguir pasando esto.

#69 "funciona hasta cierto punto"
Claro, igual que los cinturones de seguridad. Hay gebte que puede ponerselo mal, hay gente que puede no ponerselo... Pero las víctimas han descendido dramáticamente desde que existen.

Lo que hay que hacer no es decir que no sirven, si no hacer push para que la comunidad aprenda a hacer tests y aprenda a utilizarlos.

Casos como este son anecdóticos, y lo que habría que hacer es expulsar a este desarrollador que se toma la justicia por su mano. Por que hoy es por Rusia, pero otro día otro dev puede hacerlo por VOX. Ante esta gente deberíamos ser implacabales.

#31 Y si es el servidor de un hospital ruso, pues que se mueran los pacientes. Sois pura bilis y cero neuronas.

#30 Pues podrán pasar en otros lenguajes, pero con diferencia el ecosistema más fragmentado es node y de vez en cuando siempre hay noticias de desarrollador que ha hecho algo mal, ya sea sin querer o a proposito y ha tirado un montón de sitios con los updates.

#57 #65 o que usen una base de datos obsoleta.
yo estoy con digimobil y a pesar de que mi ip fue asignada a digimobil españa hace mas de 2 años hay paginas que me dicen que estoy en rumania.

#59 ademas ofuscando el codigo para hacer mas dificil su deteccion, en ese tio no va a confiar nadie nunca mas.

#2 este tio sabe que los que estamos en yoigo tenemos ip rusa, porque yoigo las compro hace años por el aumento que tenian de clientes???

#73 ¿a qué te refieres con que es el ecosistema más fragmentado? ¿en qué sentido?

En cuanto a lo de que se escuchan noticias de vez en cuando sobre algún paquete de npm, y menos de los demás, me parece bastante normal. Javascript es, con muchísima diferencia, el lenguaje más usado.

www.statista.com/statistics/793628/worldwide-developer-survey-most-use

#77 La librería standard de Node es paupérrima, por lo que en muchas ocasiones funciones que en otros lenguajes son mantenidos por los desarrolladores de este, en node vienen de cualquier paquete random, de tal manera que en dependencias, un framework web, por decir algún ejemplo, puede descargar fácilmente vía npm cientos de dependencias que pueden irse a la mierda si a un desarrollador le da por cargarse la librería, con el consiguiente problema. Por no hablar de la poca calidad de ciertas librerías, lo poco claro que es el lenguaje a veces por su propia naturaleza asíncrona, etc.

#3 Es terrorismo.

#76 no, no tenies ip rusa, una vez yoigo transfiere la ip en ripe la ip deja de ser rusa, otra cosa es que la bases de datos de geolocalizacion que la gente pueda usar este obsoleta o no, pero desde el momento que se transfiere esa ip ya no es rusa.

#4: #StopUcraniaFobia
¿Cuántos rusos han muerto en territorio ruso por ataques ucranianos?
¿Cuántos ucranianos han muerto en territorio ucraniano por ataques rusos?

#81 cuántos ucranianos han muerto en Ucrania por ataques del ejército ucraniano?
14.000

#82: Lo siento, no me creo los bulos de los grupos ultraderechistas proPutin (próximos a HO) de Telegram.

#35 sin quitarte la razón, en rusia también hay problemas internos y con todo esto están consiguiendo un ellos contra nosotros y coexionar al pueblo ruso sin dejar de hueco a la disidencia.
A ver cómo explican ahora a los rusos que se prohíbe Tsaikovsky en Europa pero que el malo es solo Putin.

#78 Mira ahí te doy la razón, ojalá Node trajera de fábrica los paquetes que tiene python.

#83 lo dice la ONU, no yo.
Un saludo.

#59 No veo la relación, la ventaja de que sea software libre es que tienes la libertad de ver el código fuente y modificarlo, el tener licencia libre no es un contrato que te garantice que ese código sea de calidad o inocuo (la GPL permite usar el código para hacer el mal). Tú (o yo) como desarrollador eres el que tienes que velar por la calidad del software que estás desarrollando si no auditas el código que usas (externo o interno) la culpa es tuya. Desde luego nadie volverá a usar un paquete de este personaje, pero el que la librería sea libre o no no tiene nada que ver.

#80 Pues que se lo digan a los de aliexpress que siempre me sale en ruso..

#88 es lo que digo de base de datos obsoleta, a mi me sale en rumano
t.me/DigiMobil_ES/59122

#1 en.wikipedia.org/wiki/Brandon_Miller_(motorcyclist)
y ademas por idiota, la sugerencia de borrarle su articulo de la wikipedia por ser insignificante como motorista pasara a no, ya no es alguien insignificante

#68 Lo que comentas es consecuencia de la programación modular, no de la programación basada en componentes, y es un pilar fundamental de la programación. La programación, como toda rama del conocimiento humano, surge de la colaboración y la reutilización.

Que haya gente que no gestione bien las dependencias de sus aplicaciones no significa que todos deban construirlas sin ellas. Que haya repositorios que se gestionen deficientemente no significa que otros no lo hagan bien. Y que alguna gente implemente un flujo de CD sin una batería de tests adecuada no es culpa de los repositorios de paquetes.

#91 En "programación modular" no se pretende que los módulos sean reutilizables, mientras que una de las razones por las que se vendía ser de la programación por componentes era crear un "corpus" de componentes estandarizados que se reutilicen una y otra vez. Y repito: no estoy hablando de que esto SEA eso mismo. Lo que estoy hablando es de que la idea de utilizar un conjunto de módulos estandarizados y reutilizables puede llegar a torcerse muy mucho si no se hace en condiciones, como estamos viendo. No basta con, simplemente, tener un montón de módulos disponibles que puedas importar con un par de pulsaciones de teclas, porque si te limitas a eso, pasan estas cosas.

#66 Si te hace feliz.

#93 Mi comentario al respecto

si vas a la noticia que usan como fuente (CampusReform), dejan entrever que retiran el nombre porque Karl Marx era comunista... en la misma noticia.

Campus Reform continues to report on the proliferation of Marxist and other leftist influences in higher education.

More recently, Campus Reform discovered that a Binghamton University professor quoted Chairman Mao Zedong in her syllabus, using dictator's words to set the tone for her class participation requirements.

The Victims of Communism Memorial Foundation reported in 2020 that 30% of Generation Z Americans have a "favorable view of Marxism" and 38% of that cohort hopes that then-Vice President Biden pursues “pursues socialist policies over capitalist ones."

Repito, el medio original cita la retirada como un triunfo de su cruzada anti-comunista, el medio que se enlaza en la noticia se inventa lo de que pensaban que era ruso.... o sea, se salta el origen de la noticia para poner otro cuyo titular es más contundente pero falso....

www.meneame.net/story/universidad-florida-elimina-nombre-karl-marx-ser

Aunque viendo anteriores comentarios tuyos, veo bastante normal que te hayas creído ese bulo....

#27 En un colegio de Italia decidieron no utilizar piezas de Tchaikovski por que era ruso, en un simposio sobre el cosmos decidieron borrar a Gagarin, y así en medio mundo, la rusofobia se está yendo de las manos.

#24 Por ruso, lo dicen claramente, y sí, fue por el referéndum de Crimea, se debieron de creer que estaba por allí, es un sindios

#66 Karl Marx ¿no era comunista cuando se lo pusieron?

#59 Ya se reporta como una vulnerabilidad CVE-2022-23812

La cosa tiene poco recorrido.

#97 Claro, pero la publicación que lo "denunció" no lo hizo por ser ruso sino comunista... y se vanaglorian de haberle quitado el nombre a una sala de estudio porque esa persona era comunista, no ruso....

#94 Que sí, que descubrieron que Karl Marx era comunista en el 2014 , lo cual dice mucho de una universidad, y de ti, por intentar dar una explicación que te parece lógica, bueno después de leer algunos de tus comentarios también entiendo qué te parezca normal la explicación, chao.