雖然這篇flatMap js鄉民發文沒有被收入到精華區:在flatMap js這個話題中,我們另外找到其它相關的精選爆讚文章
在 flatmap產品中有1篇Facebook貼文,粉絲數超過2萬的網紅iThome Security,也在其Facebook貼文中提到, 在npm.org擁有每周下載200萬次的高人氣、供網站開發者可快速取得JavaScript程式庫的NPM(Node Package Manager)套件Event-Stream,自原開發者Dominic Tarr約3個月前,移交給Right9ctrl維護之後,近期卻被發現,後者在發布新版本時,植入...
同時也有10000部Youtube影片,追蹤數超過2,910的網紅コバにゃんチャンネル,也在其Youtube影片中提到,...
flatmap 在 iThome Security Facebook 的最佳解答
在npm.org擁有每周下載200萬次的高人氣、供網站開發者可快速取得JavaScript程式庫的NPM(Node Package Manager)套件Event-Stream,自原開發者Dominic Tarr約3個月前,移交給Right9ctrl維護之後,近期卻被發現,後者在發布新版本時,植入了專門竊取比特幣的惡意程式,引發開放原始碼軟體的維護責任議題。
這名接手的開發者,在9月剛推出新的Event-Stream 3.3.6版,開始納入相依性套件Flatmap-Stream,次月更新這個子套件時,暗中加入了惡意程式,而且,直到近期比特幣錢包Copay採用新版Event-Stream後,上述的惡意程式才發動攻擊,盜取錢包私鑰,並轉走比特幣。然而,事件爆發後,有些開發者將此事歸咎原作者Tarr,促使他出面回應。
Tarr點出了開源碼社群的問題,許多大家所仰賴的模組,是由已經失去興趣、感到倦怠,甚至是自己都沒在使用的開發人員負責維護。但大家都想要共享這些程式碼,卻不想要分擔維護這些程式碼的責任。因此,從軟體供應鏈下手的攻擊趨勢,在開源社群中似乎更難防範,因為這些專案通常缺乏資金與資源,多半是開發人員或使用者在閒暇時的作品,不容易察覺程式碼是否已遭到惡意竄改。
https://www.ithome.com.tw/news/127278