Même si tu as, on dirait, une histoire de 5 ans sur le projet,
comme tu es le maintaineur de toi-même, tu peux aller en rogue un jour.
Et ça a aussi été passé, ça a été passé beaucoup en les dernières années
où les gens ont saboté leurs propres projets.
Et pour ces gens, je veux dire,
qu'est-ce que la défense, qu'il y a d'autres que l'évaluant de la code ?
Bonjour, bienvenue à la podcast de DevTools FM.
C'est un podcast sur les outils de développeurs et les gens qui les font.
Je suis Andrew et je suis ma co-host Justin.
Salut tout le monde, nous sommes vraiment excitées à avoir Ferross sur le podcast.
Si tu as appris à l'un des pays de l'opinion,
et les dernières années, tu sais, Ferross' travail,
nous sommes des fans de la grande, très excitées à avoir Ferross.
Mais avant que nous commençons,
serait-ce que tu me disais un peu plus sur toi-même ?
Bien sûr, merci d'avoir me sur le site. C'est génial d'être ici.
Oui, je suis un développeur.
J'ai été en train de faire des softwares d'opinion pour la plupart de ma vie d'adulte.
J'ai été dans le Node et l'OMN,
quand j'étais en train de faire des softwares à la collège,
et j'ai été entouré dans ce monde.
Je pensais toujours que c'était cool d'être un maintain de l'opinion,
pour ma vie, car ça a été comme les gens qui ont développé,
et que ce type de code était de magie.
Ils étaient capable de faire ce type de code god mode,
qui appuie à tout ce que nous faisons.
On commence à faire un projet,
et on commence par installer un framework ou des compétences.
C'est un peu comme l'opinion d'opinion,
ou d'opinion d'opinion qui est en sorte que ça soit cool.
J'ai été vraiment excès avec ce projet,
qui s'appelle WebTour,
et je pense que nous allons parler un peu plus tard,
mais c'était mon gateway à l'opinion.
J'ai voulu être un projet d'opinion,
et j'ai été en train de faire un whole bunch de packages,
pour faire ce projet en réalité.
Avant que je l'aie pu,
j'étais un maintain important,
et ma code est en train de se rédire,
pour deceased.
Oui, et ce started up聞er.
Oui, et ce簡單 a marché avec fji,
et j'avaiscent faim
un handful de names que si tu es fait, qui est fait la plupart des écosystèmes MPM,
c'est que tu, Luc et Cindré sont tous dans les packages de tout le monde.
Merci pour tout le travail que tu as fait dans les années.
Tu as dit que tu as été dans un état de l'école,
mais quel était ton premier step dans ça?
Tu as dit qu'il y avait des magie d'opensource qui était là,
est-ce que tu avais eu de projets que tu voulais contribuer à?
Et que tu as été contribué à ça?
Oui, c'est une bonne question.
Je veux juste dire un point de vue,
il y a beaucoup de gens qui sont dans ton état de l'opensource,
comme tu as mentionné Cindré, tu as mentionné moi,
un peu de code qui est dans ces états de l'opensource
est parfois des codes les plus bourrés.
Le code que je suis le plus fier de c'est,
un peu de code est dans WebTorrent,
et ça n'a pas beaucoup de downloads,
c'est des packages populaires
qui sont utilisés dans les packages web,
et ça se passe souvent.
C'est souvent le plus bourré code,
tu as écrit des utilités,
tu as écrit des fonctions de 100,
ou des fonctions de 500,
qui ont un problème d'envers.
Ce n'est pas intéressant,
c'est quelque chose qui manipule la date de l'abîme,
un parcer qui n'a pas été créé,
et puis un projet populaire qui utilise ça.
Et puis, avant de le savoir,
tu es dans les lieux de la dépendance de tous les pays,
mais je dois dire,
parfois ce n'est pas le code que tu es fier de,
mais le plus bourré,
c'est l'opposite,
le plus bourré,
le plus trivial,
les plus installés,
parce que les plus de gens ont ce problème,
donc c'est un problème de torrent,
c'est très spécifique,
pour les personnes qui sont des personnes.
Mais oui,
c'est une question de la question de comment je suis intéressé,
je vois cette vidéo
que Paul Irish
a postée sur
comment il a appris
de la source de jQuery,
les 10 choses qu'il a appris de la source de jQuery,
et j'ai toujours eu
un désir de contribuer à ce projet,
parce que c'était quelque chose que j'ai utilisé dans mes websites,
quand j'ai appris le développement web.
Je n'ai jamais fini de contribuer,
mais ça m'a
sorti de la illusion que les gens qui ont des sources open
sont des magasins,
parce que je pouvais regarder le code,
et oui, c'était plus compliqué que
que d'autres codes que j'avais regardé,
mais le fait que j'explique dans la vidéo,
et que j'ai regardé,
j'étais en train de dire
que je pouvais probablement faire ça,
et puis
j'ai fini de faire un library
dans Python,
mon premier library open source
qui m'a écrit,
qui s'appelle Spoof Mac,
et j'ai utilisé pour
poursuivre le site Wi-Fi
à l'aéroport,
pour changer mon address Mac,
pour que vous puissiez changer
votre ordinateur,
aussi connu comme l'adresse Mac,
et puis ça s'appuie que vous êtes un nouveau
device à la route Wi-Fi,
et ça vous donnera 30 minutes.
J'ai posté ça en ligne,
et ça a été popular,
et j'ai été élevé.
Avec beaucoup de packages,
il y a beaucoup de responsabilités.
On a parlé de ça,
sur ce sujet, avec beaucoup d'autres
developers open source,
mais comment avez-vous réussi
à contrôler les packages
que vous avez mis au cours de l'année ?
Ça dépend de ce temps que vous vous demandez,
parce que je ne me sens pas
très bon à aujourd'hui,
en fait, je suis un peu...
non pas un bon travail,
mais
c'est un arc qui a été
quand vous commencez un open source,
vous vous rendez super heureux
quand quelqu'un utilise votre code.
La première fois que vous voyez des downloads
ou quelqu'un ouvre un issue,
vous êtes très excité.
Oh mon Dieu, ils ont trouvé un bug dans mon projet,
c'est super,
parce que ça signifie qu'ils l'utilisent,
et puis, en temps,
vous commencez à avoir plus et plus d'issues,
et c'est toujours assez fun.
Vous avez beaucoup d'usages,
et peut-être vous vous invite à un talk
pour parler de votre packages,
c'est très intéressant.
Et puis, à un moment, vous vous interviendrez
et vous vous interviendrez de votre thème,
ok, je vous réveille, et j'ai 40 issues
qui ont été ouvrés, et il n'y a pas de manière
d'y aller.
Ils sont tous des choses estotériques,
ils ne sont pas d'intéressant,
ils ne travaillent pas sur un variant
de Linux que personne n'utilise,
et vous vous dites, je dois débarter
ça ?
Et pour moi, le fait que je le traite
comme des issues de skithub
et des issues de skithub
était mon liste de to-do, je me suis réveillé
et je faisais tout sur le liste.
Imaginez,
une liste globalement élevé
que personne ne peut avoir d'adapté,
et c'est ce que je faisais
avec ma vie, je me suis réveillé
et à un moment, je ne sais pas
ce que c'était, mais j'ai été
en train de faire des issues,
un des des companies de faim,
et ils sont probablement en train de faire
300, 400K en année,
et ils sont en train de faire des issues,
et je suis en train de faire
ça pour le plaisir, et je suis comme,
je vais faire ça pour vous
pour les prochaines 3 jours,
et pas de faim pour les
personnes qui utilisent l'open source
et l'open up issues, c'est bien, mais
je réalise que je dois changer
ma relation
pour les issues,
ou la façon dont je pense
les issues, je ne dois pas
faire tous les issues, je n'ai pas de
poursuivie, je ne dois pas être responsable
pour tous, et je vais en faire
ce que je pense est important,
et où je veux le projet,
c'est probablement un peu d'obviens,
mais je sais que ce type de mindset
est assez commun, et je pense que ça
contribue beaucoup à la burn out,
et pour être un bon maintainer,
et ne pas laisser les gens
décider de utiliser votre code,
c'est comme, c'est bien grand,
et beaucoup d'autres personnes,
et je pense que tu dois, à un moment,
déclarer la bankruptcy et être,
je ne peux pas faire ça
plus tard,
et je pense que
l'une des choses qui m'a aidé, c'est de
donner l'accès aux gens,
qui ont contribué, et qui sont très libéraux
avec les accesses, ça m'a aidé
beaucoup,
j'ai fait des projets, including webtourn,
et standard.js, et ça m'a aidé
beaucoup, et les gens maintenant,
sont réellement en train de faire le projet,
et ont déserté le crédit,
pour le succès de
ces projets,
donc...
ne t'en fais pas, c'est le meilleur
tip que j'ai pour les maintainers.
Vous pouvez toujours réserver
les powers de la NPM
pour vous-même, si vous êtes inquiets
de quelqu'un que vous n'avez pas
rencontré avant,
de la publishing de quelque chose mal,
ou quelque chose de mauvais que vous ne vous appréciez pas,
mais donner les gens le commit bit
c'est...
il y a une faible faible,
les plus mauvais qu'ils peuvent faire,
c'est de produire des mauvais commits, vous pouvez toujours les remettre,
ou même de force, de l'envers,
si vous ne voulez pas les remettre,
et de les remettre.
Il y a une manière de faire ça,
où vous pouvez vraiment construire la confiance.
Ça fait comme une art de maintainer,
vous commencez avec ce
optimism, vous voyez,
il y a des maintainers,
et vous vous dites, ces gens sont cool,
vous pouvez faire ça, et vous vous
vous dis, vous êtes un maintainer,
et vous vous dites,
les gens sont en train de faire ça,
et vous vous dites,
les gens sont en train de faire ça,
et vous vous dites,
ce n'est pas cool anymore.
Et je pense que c'est aussi intéressant
que beaucoup de
des gens qui ont été
des contributors et des maintainers
que nous avons parlé de,
donc je pense que l'un des Anthony Foo,
qui est un grand developer,
et un très profond
contributor d'une source,
ils font cette délégation
comme une partie importante de leur stratégie,
parce qu'ils le savent,
il y a ce trompe de disparition,
à un certain point.
Et la seule façon de faire ça,
c'est de faire la gaffe, de faire plus de aide,
et je pense que c'est cool de entendre votre expérience,
mais très validé en général.
Si quelqu'un a besoin de faire un livre,
il faut être un maintainer d'une source,
c'est la carte.
Il y a des lessons que nous avons toutes apportées.
Il y a un livre
écrit sur un topic
de travail en public,
la maintenance et la maintenance
d'une source d'open source
par Nadia Egbal.
Il a un livre de cendres
et un couple de quotes pour moi
et d'autres personnes d'open source.
C'est très cool.
En parlant
de la sustainability d'open source,
et vous parlez de l'aéroport,
vous avez des personnes
potentiellement d'une faim,
créant des problèmes sur votre
PR d'open source,
et il y a un topic que nous avons discuté
beaucoup, qui est la sustainability d'open source
et en particulier
l'funding d'open source.
Vous avez écrit beaucoup
sur l'funding d'open source
et vous avez créé des outils
et tout ça.
Comment
avez-vous des expériences passées
avec la source d'open source
ou d'open source d'open source?
Comment vous ressentez
aujourd'hui, ou peut-être
quand vous vous en pensez?
C'est un topic compliqué.
Comment avez-vous le temps?
Je vais le dire.
Je pense
que je peux le faire dans toutes les directions.
Je me sens
part de la problème avec l'open source d'open source
c'est qu'il y a
une supply de personnes
qui sont excitées
à faire d'open source
comme je l'ai été dans les derniers jours.
Une des grandes difficultés
si vous essayez de charger pour tout ça
vous réalise que le caractère
qui va payer pour ça est 0
parce que
si vous mettez un paywall en front de votre package d'open source
et vous avez besoin de payer
ou même si vous essayez de changer le licence
pour ne pas faire d'open source
vous avez un grand nombre de push back
et il y a toujours des personnes
qui sont excitées
qui disent
que je vais faire d'open source
et il y a une raison
d'être excitée pour faire d'open source
c'est pourquoi il y a des personnes qui veulent faire ça
et il y a aussi
des bénéfices pour votre carrière
pour pouvoir dire que votre package
a des utilisateurs
et des différentes entreprises
et je pense que c'est un grand challenge
pour charger pour tout ça
c'est qu'il n'y a pas de change
et il y a toujours quelqu'un qui va faire
une version libre
pour faire d'open source
si vous faites ça
donc
il y a beaucoup de personnes qui ont été successeuses
qui doivent être des marketers
et être très bons sur Twitter
et être très bons sur Patreon
c'était l'un des premiers places
où les gens l'ont fait
mais vous êtes basically marketing
et ce n'est pas quelque chose que tout le maintien
veut faire
c'est quelque chose que je suis très confortable de faire
en parlant de
ce que je travaille sur
et de partager avec les gens
mais beaucoup de gens sont
pas confortables
ils ne veulent pas avoir une persona
ils ne veulent pas parler de leur travail
ou ils le font mais ils ne le font pas
en un moyen agressive
qu'ils puissent construire
une vie sur l'incombre de ça
le plus grand problème est
que vous pourrez être
un dépenant
mais vous pourrez être responsable
pour une dépendance
qui est un dépenant transitive
pour les gens
donc ils ne savent pas qu'ils l'ont utilisé
et c'est un grand challenge
si votre package a un million de downloads
mais c'est utilisé par un autre package
et si tous vos downloads sont par ce package
c'est le package que les gens savent
c'est le package qu'ils vont à la site doc
c'est le github issue tracker
et ils ouvrent les issues
et si vous n'êtes pas dans ces workflows
si ils ne vont jamais à votre site
si ils ne vont jamais à votre issue tracker
vous n'aurez pas de chance de faire votre appeal
pour les gens, pour les donations
ou pour les gens de votre sales pitch
ou tout ce que vous faites pour faire du ménage
et c'est vraiment un challenge
et
il y a beaucoup de gens
qui font des packages
qui n'ont pas été réalisés
il y a un bunch de exemples
que nous pouvons avoir
mais oui, je pense que c'est un grand problème
la solution de ce might be tooling
vous devez dire, pourquoi pas utiliser des outils
qui nous disent que je l'ai essayé
c'est le projet de thanks
qui vous dit
quelle est votre dépendance
qui vous demande de l'argent
il y a des manières
d'avoir des sponsors
et d'autres outils qui vous disent
d'un collectif ouvert
et tout comme ça
l'application de l'application de l'outil
vous devez trouver de l'information
mais
il ne faut pas être widespread
parce que vous devez être le type de personne
ou une compagnie qui veut sortir de votre path
pour rembourser l'open source
et demander
qu'est-ce que l'open source devrait être donné
il y a un problème avec la whole framing
c'est que
vous avez donné tout à l'heure
et vous vous demandez
que vous pensez que c'est utile
si vous pourrez faire des changements
pour moi
c'est
juste mal
c'est un mauvais moyen
d'avoir un grand nombre de monnaies
je ne sais pas
je pense que
peut-être que ça devrait être financé par les gouvernements
je ne sais pas si ça devrait être taxé par les taxes
c'est un public bien, je ne sais pas
je ne sais pas ce qu'il y a
ce qui s'est passé dans le monde d'aujourd'hui
c'est des gens qui
font des contracts
pour les entreprises qui utilisent leur code
c'est
une manière de faire un bon amount de monnaie
et vous n'avez pas de 5$ pour chaque maintenance
ou tout le use de votre software
qui s'en prendra toujours et c'est difficile
vous pouvez juste aller à une entreprise
et ils vous payent un bon nombre
le autre moyen est de
de commencer
de penser sur un modèle business pour votre open source
et vous avez beaucoup de entreprises qui font ça
certains de eux cyniquement, certains de eux non cyniquement
d'un grand nombre de demandes pour partager leur code
mais vous voyez ces entreprises
qui sont construites à l'intérieur d'un corps
et des trucs comme ça
c'est une manière de faire ça
mais je me souviens
d'avoir un rêve d'un personne indépendant
d'un random indépendant
qui peut faire un job
un jour je voulais être un monde où un enfant peut rester
à l'école, quand je suis allé, je voulais être un maintenance
d'open source et ils pouvaient faire un source open
et parce qu'ils se sont donné de valeur
ils se sont compensés
c'est ce que j'ai essayé
avec tous mes expériments
j'ai essayé de
mais oui, j'ai essayé
c'était assez difficile
oui
c'est la version short
je ne sais pas si vous pouvez parler de ça
mais il y a
il y a beaucoup de bonnes personnes qui travaillent aussi
je ne veux pas être complètement fataliste
peut-être que quelqu'un va le faire
oui, c'est difficile
tu as dit quelque chose que je pense beaucoup
c'est juste que souvent je pense que
même la capture de valeur de
les gens qui sont capable de faire
des salariés d'open source
c'est souvent élevé
parce que plus sur le nid
c'est comme d'autres développeurs
qui reconnaissent le valeur de travail
qui contribuent à vous
mais pas nécessairement les entreprises
qui sont vraiment capitalisées
donc peut-être des employés
qui sont individuellement donnant
quelque chose comme ça
je pense que cette élevé de
où la valeur est la plus grande
vers
où la fondation est venu
c'est
difficile
c'est un
un
c'est un
c'est un


c'est un
c'est un
c'est un
c'est un
c'est un
c'est un
c'est un
c'est un


c'est un



c'est un








...

C'est un logiciel qui va vous montrer dans le processus de la procédé de la NPM install.
Il n'y a pas de code ad-net, il n'y a pas de data qui va au-delà.
C'est un logiciel de console, comme simple que ça y est.
Il n'y a pas de manière pour les mesures de la procédé de la procédé.
C'est comme un pur et pur de choses que vous pouvez faire.
J'ai ajouté un projet que j'ai réglé une nouvelle version de majorité.
C'était aussi une version de majorité, donc vous avez dû l'obtenir dans la nouvelle version.
Après tout, je me suis rendu compte que c'était une expérience.
Il y avait deux réactions extreme.
L'une était des maintenanceurs qui m'ont dit que je suis content de faire ça.
J'espère que plus de gens ont réalisé ce qu'il y a avec nous.
Ils sont enthousiants de ce problème.
Merci pour faire ça.
C'est un peu trop important.
C'est un peu trop important.











C'est un peu trop important.








C'est un peu trop important.
C'est un peu trop important.







C'est un peu trop important.
C'est un peu trop important.





C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.




C'est un peu trop important.
C'est un peu trop important.

C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.


C'est un peu trop important.
C'est un peu trop important.

C'est un peu trop important.
C'est un peu trop important.



C'est un peu trop important.


C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.







C'est un peu trop important.
C'est un peu trop important.







C'est un peu trop important.
C'est un peu trop important.






C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.




C'est un peu trop important.
C'est un peu trop important.

C'est un peu trop important.
C'est un peu trop important.








C'est un peu trop important.




C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.






C'est un peu trop important.

C'est un peu trop important.






C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.




C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.

C'est un peu trop important.
C'est un peu trop important.

C'est un peu trop important.
C'est un peu trop important.
C'est un peu trop important.
et où les boundaries sont, comment un I-Frame fonctionne,
comment les différents attacks travaillent,
et comment faire sure que vous ne vous en avez pas affecté.
Mais par la lente de la web, c'est génial.
Les vidéos sont en ligne, si quelqu'un est intéressé à voir ça.
Vous pouvez chercher les web de CS253 Security,
et vous trouverez les vidéos sur YouTube.
C'est vraiment génial.
Et peut-être que c'est un bon point de transition
pour parler de ce que vous êtes en train de travailler.
Vous avez une compagnie qui s'appelle Socket.
Socket.dev pour les gens qui veulent visiter la web.
Vous pouvez nous dire un peu ce que Socket est et pourquoi vous l'avez construit ?
Oui, oui.
Donc, c'est un équipe de gens,
ce n'est pas seulement moi,
il y a un whole bunch de nous maintenant,
il y a 15 gens qui sont construits sur Socket.
Et c'est un outil pour aider les développeurs
et les équipes de sécurité
pour bâtir plus vite et prendre moins de temps pour travailler sur la sécurité.
Donc, ça aide les développeurs à trouver,
à trouver et à auditer l'opinion des softwares à la scale.
Donc, la backstory est...
Je l'ai mentionné avant,
je suis un maintiennement,
beaucoup de gens de notre équipe,
les développeurs de notre équipe,
sont en fait des maintienneurs aussi.
Et donc, nous entendons
comment le sausage est fait,
en tant que source de l'opinion est concerné.
Et nous savons
comment se déchirer
des pratiques que certains de nos maintienneurs ont.
J'avais un ami
qui était un maintiennement d'un passage très populaire
qui avait un passage de six lettres,
à un point où je suis comme,
« Tu n'as pas de ceci,
tu dois faire ton passage meilleur,
tu vas les prendre tout,
s'il te plait. »
Et nous avons vu
les différents attaques de supply de la chaine
qui ont été passés dans les années.
Je pense que c'est un grand,
pour moi, qui m'a vraiment
très intéressé
dans la sécurité de l'opinion,
c'était le package d'événement
qui a été compromis en 2017.
Donc, la histoire derrière ça
est que, c'est tout de même
ce gars, Dominic Tarr,
qui est un soutien d'opinion
d'opinion,
un soutien de 500 packages,
évidemment,
ne pouvait pas maintenir
tout ceci bien,
parce que c'est un soutien d'un certain nombre.
Il était un soutien d'un
generatif, un mec créatif,
et il a
écrit un package de streaming
qui s'appelle l'événement,
et puis il a
démontré un peu plus de
implementation,
et puis il a démontré
d'une autre implementation.
Il était un mec créatif
qui a créé
toutes ces nouvelles choses
pour nous.
Mais il a fait le package
d'événement
qui a été utilisé
par des packages populaires,
et il a complètement
démontré le package
depuis 4 ans,
il ne l'a pas regardé,
donc il a été collecté
un peu de problèmes et des problèmes.
Et un mec m'a emailé
un mec qui a dit
« Hey, on utilise ça à mon company,
et vous ne m'avez pas maintenu
plus, je m'en veux vous aider. »
Et il a dit
« Bien sûr, c'est le access. »
Et comme on l'a dit
avant, c'est un tout normal
de faire une source d'événement
qui est vraiment encourageée,
et c'est ce que tout le monde fait.
Mais il se trouve que
cette personne
a voulu être bien pour un mois,
et après un mois,
ils ont
inclus un code
très obfuscé
dans le fond
d'un des files.
Et
ce code,
ce n'était pas clair
en fait,
ce que c'était en fait,
personne n'a pas even
noticed it
for about a week,
despite this package
having tens of millions
of downloads,
because the code
only ran in
one company's project.
So it's super targeted.
The way it did it was actually
kind of funny too,
so it took the,
it would go up the package
JSON tree to find the very top
level package JSON
for your project,
and it would take the description
string
in that file,
and it used that to decrypt
the obfuscated,
the encrypted code,
the payload basically.
And so,
what that meant is,
if it was running in like
your project or my project,
it would basically fail
to decrypt,
and then nothing would happen.
But for everybody
else,
or for that one person
they were going after,
at one company,
it would run.
And so nobody noticed it
for about a week.
And
it was,
it was,
they were targeting a crypto
wallet,
and basically stole
a bunch of Bitcoin from
a bunch of really
rich Bitcoin people.

they,
yeah,
so,
it ended up getting built
into that company's
electron app
that got shipped to all their
users
before anybody noticed it.
And the way we noticed it
too, by the way,
was like,
this was the most disturbing
part to me actually,
was like,
it wasn't like somebody
noticed it because people
were like reviewing the files
and you know,
like looking at what their
open source code is doing
or something like that.
Or there was no tool that they
ran to found this, right?
It was a complete accident.
So what they did was,
a new version of Node had come
out
like a day after the,
this malware author had put
this,
this booby trapped code into
the package.
So they didn't know that this
new Node version had come out.
It came out like after
they'd already done this attack.
And that new version happened
to just by total accident
deprecate the method
that they were using
in their attack.
And so that caused a bunch
of deprecation warnings
for people
who were running the bleeding
edge version of Node.
And they,
then they chased that back
to this file and said,
what the heck is this,
you know, this code doing it
looks super sketchy.
And then they found it.

and so that just made me
realize like,
wow, like how,
how frequent is this type
of thing?
You know,
how often is this happening?
Like, and we're not finding it,
you know, who knows?
And then I started asking
around and asking people
like, do any of you like
review your open source code
and see what it's doing?
Or do you just like hope
for the best?
And nobody,
like nobody was doing anything
like of the sort.
I mean,
and so I just realized this was
a big problem and,
and then wanted to solve it.
Yeah, that particular case
is just like crazy,
cause it's like,
nobody would have known,
like if,
if he had not used a deprecated
API,
it just would have gotten
through.
It's just like,
and he,
he built trust,
which is like the crazy part.
Like most people would say like,
oh,
if this person had like a month
long,
like commit history on the project
and like you started to build a
rapport, like,
no,
they're like,
they're a safe person,
but they were the not safe person.
Yeah,
totally.
And the thing is,
is even if you had,
let's say like a five year
history on the project,
like you're the maintainer
yourself,
you can go rogue one day
and that's happened too.
That's happened actually
quite a lot in the last couple
of years where people have
sabotage their own projects.
And for those people,
I mean,
what is the defense other
than evaluating the code
itself?
You know,
and,
and,
and this is why I get kind
of personally annoyed,
a little bit annoyed when
people talk about code
signing as the solution to all
the problems,
you know,
some package managers like
aptitude on Linux,
have code signing,
but,
but npm doesn't
in the same way,
require,
you know,
require authors to sign their
packages.
And so,
you know,
it's a nice thing to have,
but it's not going to solve
this case where,
you know, I'm the author,
I have the signing keys,
I decide to go rogue one day.
And we actually saw a lot of
this around the Russia,
Ukraine war recently,
where people were putting
protest code into their
packages, including one person
who even added code that would
literally rmrf,
your hard drive,
if you appeared to have a
Russian IP address.
Actually,
it wasn't rmrf,
it was implemented as a,
a loop over all your files.
So it would go through
all your files one at a time
and it would replace the
contents with a,
a flower emoji.
So you just get all,
all your files would just
become flower emojis and,
and they just publish this
to their popular package
and then anyone who ran
it was owned and,
and then eventually





like, you know, npm
caught wind of it and,
and then like deleted it
cause it's like malware
and, and, you know,
it shouldn't be on there,
but, but other more mild
forms of this still are,
it's still alive on npm.
So like, there's,
there's one kind of
under a different person
who did another type of
thing like this,
where they added a secret
code into their package,
they get 600,000
weekly downloads.
It's called event source
polyfill and it's a pretty
popular like web polyfill
project.
And what it does is it looks
like a, a, a,



you know,
a client.

mutation apprenons
Rayparo un nos


Cet 줘
raque
3
internationally


les gens vont penser que le bank est hacké et que c'est vraiment dommage à la compagnie.
C'est la chose qui me déterre d'une source d'air.
C'est la chose qui peut détecter le socket.
Avec JavaScript, il y a beaucoup de packages.
Je ne pense pas que vous puissiez vraiment être un développeur normal,
mais que vous installez un webpack pour que vous aurez l'audit à chaque dépendance dans votre chambre.
Non, personne ne fait ça.
Comment peut-il me faire pour que le socket soit solide?
Quelles tools peut-il me faire pour que je puisse être alerté à ces choses dans mon code base?
Le premier que le socket fait, que personne ne soit pas très familier avec le secure,
c'est que, pour le moment,
quand les gens pensent sur la sécurité d'une source d'air,
beaucoup de fois, ils pensent sur les scanners de la vulnérabilité.
C'est un problème qui peut être très malade.
Un peu de choses sont très risques.
Ce sont des choses qui ne peuvent pas être exploitées.
Le code ne peut pas être atteint.
Même si ça peut être atteint,
c'est un problème de manière plus rare.
C'est un problème très commun qui est très basé.
Les gens s'observent vraiment sur ces vulnérabilités,
mais en même temps,
ils ne sont pas détectés de les façons de les attaques
qu'on a déjà parlé de,
comme un package qui s'est hygié,
ils sont comme, on ne peut pas s'en occuper,
on va juste s'en fêter le meilleur.
Nous avons eu un temps de développement
sur les plus importants, les plus importants,
et nous ne sommes pas even looking for the really big problem.
Le socket a essayé,
on a voulu faire ça différemment quand nous avons l'aimé,
et on a fait ça différemment que tout le monde.
Nous avons également été en train de faire ça différemment,







on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,






on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,








on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,







on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,






on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,

on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,


on a fait ça différemment quand nous avons l'aimé,


on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,

on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,


on a fait ça différemment quand nous avons l'aimé,
on a fait ça différemment quand nous avons l'aimé,


on a fait ça mexic [" Heavyweight reign saliva dry pants"]
et on a fait çaencementhrlichement,

mais on a fait ça,
On peut détecter des choses comme Fetch et tout,
ce type de chose, ex-MLHGDP request, explicitement.
Mais ensuite, tu es totalement correct.
Il y a un million de moyens pour expulser ce genre de choses.
Et le plus sauvage qu'on peut faire
est d'utiliser une politique de sécurité de contenu
et de faire des détails pour que le page soit en train de faire.
Mais,
en short,
une autre chose que nous utilisons les LLMs pour,
je vais vous en parler parce que c'est parfait pour cette question.
Vous avez demandé,
à l'aide de l'analysation de l'aestétic,
nous avons aussi mis les files au LLM et nous avons demandé ce que nous faisons.
Et c'est bien parce que ça peut parfois se faire
comme si nous n'avons pas fait de détails pour ce type de texte,
peut-être que nous ne détections pas un tag d'image
avec une source en train de s'établir comme une forme de filtration de data.
Mais si vous vous forums mais
par exemple, on ne va pas avoir vraiment de problèmes de до
C'est un message qui est envoyé à la URL.
Et si vous combinez ça avec des questions de plus,
comment peut-on attaquer ou utiliser ça, etc., etc.,
vous pouvez le faire pour raisonner de la façon dont ça pourrait être malicious,
en ce cas, on va le mettre dans notre feed pour un review humain pour regarder.
Nous avons établi des choses que même notre statistique ne m'a pas fait,
par en en prenant un LLM et en demandant ce que c'est.
C'est drôle parce que beaucoup de gens,
quand ils pensent que c'est un LLM, ils pensent que c'est un chatbot.
Je vais pouvoir chatter avec mon tool de SaaS.
Mais on voit que les cas de la mostre sont très intéressants.
Vous pouvez utiliser ça pour raisonner,
c'est un peu malicious,
c'est un peu comme ce que la code fait.
Si vous vous le passez, vous pouvez le dire.
C'est malicious.
Il peut y avoir beaucoup de positives,
mais parce que c'est un step humain, c'est assez fort.
On peut aller de l'incompréhensible problème
de l'un ou même un équipe de humains ne peut pas reviewer
chaque package d'open source.
On a un feed-now où,
on peut dire,
un de chaque trois packages en ce feed est malicious
parce qu'il y a 66% de positives falses.
Ça ressemble vraiment bien,
mais un humain qui se retrouve en achetant malheureux,
chaque troisième package est vraiment incroyable.
C'est super important pour la communauté que nous faisons.
C'est comme ça que nous utilisons.
C'est pas la question de votre question perfecte,
parce que nous pouvons toujours les misser,
mais nous nous avons toujours à l'heure,
nous nous avons à l'heure de 400 pièces de malheureuse
par semaine sur npm, pipi et go.
C'est déjà vraiment efficace.
Et pour les autres trucs,
je pense que nous allons faire un dynamique de l'analyse
et en fait,
faire un code et essayer de faire les choses
et observer ce que ça fait à ce niveau de l'application.
Mais, oui, c'est un projet de future pour nous.
En faisant ça à la scale,
ça semble très difficile.
Il y a tellement de npm.
Je m'ai mis en place des versions de mes packages.
Et tu as dit que tu voulais faire des choses de l'LLM.
Tu peux nous donner un peu d'un avis
sur comment tu fais tout ça,
parce que je sais que c'est beaucoup pour les humains.
Mais ça semble aussi beaucoup pour les compétences.
Si tu fais ça en un moyen naïve,
et que tu as mis tout ça en GPT4,
et que tu fais tout ça,
c'est un bon moyen de donner
tous les fonds de tes compétences
à OpenAI et Sam Altman.
Donc, on ne fait pas ça.
Mais,
on fait avec un peu de laitres.
C'est comme comment j'ai décrit
l'approche de laitres.
Si on a un signal statique,
si quelque chose est mal,
on le met en LLM.
Il y a des signals,
qui sont basées sur certaines patterns de string,
où on va décider qu'il est plus important
de demander à LLM de faire ça.
Donc, on ne va pas
mettre tous les files en LLM
parce que ça serait cost-prohibitif.
C'est ce que nous avons dit,
on a regardé d'autres manières.
On n'a pas d'utilisation de modèles locales
pour faire ça à la fin de la course.
On a aussi
laissé des modèles plus hauts,
comme les dommages,
et on va
faire des modèles plus hauts,
comme ce qu'ils pensent.
Si un de ces modèles
est suffisant, mais les autres
sont bien, on va demander
à l'administration de la décide.
Il y a des techniques
que vous pouvez décider
pour les coûts.
On se dévouille tout le temps.
On a l'impression que la industrie
est en train de faire
des choses comme ça,
et de manière à la scale.
Comment vous faites
des improvements
pour vos proms
et de la mesure,
pour que vous puissiez changer
les proms.
Vous avez dit que le problème est ici,
mais ça ne le fait pas,
il y a beaucoup de choses
que pas seulement nous, mais tout le monde
se dévouille.
Le company que je travaille à,
on a l'intérêt de l'intégrer
des features LLM.
On a le même problème.
Avec tous nos proms,
seulement un de nous
peut être méchant,
ou pas.
C'est pas mal.
C'est un novel,
un AI,
et un cool use,
parce que c'est vrai.
Je ne sais pas.
Je t'ai tendu à rester au cycle,
mais il y a une chose,
pour certains,
que nous avons toujours,
mais souvent,
nous avons évoqué la box black,
et c'est difficile de
avoir des réponses magiques,
au-delà de l'autre côté,
si vous avez des données
spécifiques.
Vous pouvez imaginer un company
dans votre position,
5 ans, 10 ans,
qui pourrait avoir un dataset
de code malicious,
et essayer de trainer
un modèle ML,
pour avoir un signal
de « oui, c'est
potentiellement malicious,
ou non, »
vers un modèle général,
pour analyser le code.
C'est assez fou.
J'ai aussi une question,
une question différente.
Vous parlez de,
les meilleurs des browsers,
ont fait une bonne politique de sécurité.
Donc, c'est de
avoir une bonne posture de sécurité,
et que ça vous protège,
en beaucoup de cas.
Il y a une transition
intéressante,
où il y a des plus populaires,
des engines de run-time,
donc nous avons Bon,
Dino,
et A,
un peu d'une surface-aira
pour l'attache.
J'espère que les appels
ne sont pas très divers,
mais c'est assez divers.
Et B,
ce qui est intéressant,
c'est que je sais le plus
de Dino, c'est qu'il y a une posture
différente de sécurité,
sur comment vous faites la permission
pour les choses.
Je suis vraiment inquiétant de votre
pensée sur le système de l'écosystème,
et de comment ça s'évolue,
et si vous avez des espaces
pour un système de sécurité
dans le futur, si des choses
qui vous sont vraiment concernés,
vous pouvez vous donner
des informations.
Oui,
des choses qui sont plus
meilleures, des choses qui sont plus mauvaises,
c'est assez mélancé.
Dino, j'aime
le fait que
leur CLI
vous donne
des capacités spécifiques,
si vous avez un code incroyable,
vous pouvez dédier l'accès
au système de l'écosystème,
c'est un grand idea.
J'ai vécu un peu plus d'une
façon, car
pour que j'en comprene
ce type de système
ne fonctionne qu'à l'égard de l'écosystème,
donc vous donnez
l'accès au système de l'écosystème,
et puis, vous savez,
que tout le monde peut accéder
au système de l'écosystème.
Et donc, dans les applications
de l'écosystème, vous allez
donner l'accès au système de l'écosystème
pour chaque packages dans votre projet,
ce qui signifie que
vous êtes en train de faire une situation
où personne, la dépendance, les grogues,
peuvent causer des problèmes.
C'est un bon start,
j'ai juste vécu plus tard.
Node a un projet
qui s'appelle
la Permissions Policy,
et
c'est
une version
de la version fingraine
de Dino
qui est
utilisée pour
donner des modules
des permissions
pour accéder
le système de l'écosystème, etc.
Et donc,
ça
est assez fort, mais ça vous requiert
d'éteindre ce file de configuration
pour dire que tout le système est
allowed.
Et si vous avez un truc d'inconvénient,
votre app crache est en temps.
Et
si vous avez un code de la pétrole,
ça ne vous coûte pas
une fois une semaine.
Et si vous avez besoin de la permission,
vous allez avoir une production
de production, une semaine plus tard.
C'est
difficile.
Il y a
beaucoup d'autres
plus haut niveau de sécurité,
mais ils ne l'ont pas.
Ils ne l'ont pas utilisé à la scale,
mais ils ne l'ont pas utilisé.
Il y a un projet de lave-a-moat
que je voulais vous jeter
pour faire ça un peu plus facile.
Ils peuvent
générer des policies
pour votre packages.
Et vous pouvez vérifier
ce file de configuration
pour le procédé.
Et si vous avez un
package, et que vous avez
une nouvelle capacité,
vous pouvez détecter
d'autres traces de longs
cycle kara, pas de prendre le




shredded
satellite,
comme signer des crypto-logiques dans ce sort de boxe d'album,
ils utilisent aussi le socket incidentaiment.
Ce sont des choses qui ne sont pas compétitives,
vous pouvez utiliser plusieurs choses,
vous pouvez avoir plusieurs niveaux de sécurité,
ce qui est ce que vous devez toujours faire,
défense et profondeur, c'est la bonne façon de faire la sécurité.
Mais je ne sais pas, je pense que,
je ne sais pas, en général, je suis excité,
je suis désolé que quelque chose comme ce que l'AlbumMode fait
soit partagé dans la langue,
il y a un couple de propositions de spec à faire,
qui sont passées par le processus de standardisation.
Donc je suis désolé que ce soit un moyen néatif
pour les modules de sandbox,
ou les fonctions, ou quelque chose comme ça,
que nous pouvons utiliser dans le socket
et dans les autres outils de communauté
qui nous permettent de serrer ces packages.
Et pour faire ça dans un moyen qui n'a pas de masse,
comme le 90% de la performance de runtime,
ça serait le rêve.
Et ce que nous devons faire, c'est de la coordination de la communauté,
pour que,
vous installez 10 000 dépendances,
comme les personnes qui font les applications,
que vous n'avez pas à passer et que vous n'aurez à l'anitérer manuellement.
Comme un type d'effort,
les types sont faits avec des types de communauté,
c'est ce type de choses,
mais pour ces permissions,
ça va aider à se faire de manière belle.
Et je pense que le socket serait content de,
nous pouvons contribuer à notre knowledge de cet effort.
Si nous savons que le package est accès à la networks,
nous avons tous les moyens de détecter ce système de statistiques
que nous pouvons aussi contribuer.
Je ne sais pas, je pense que c'est un mix,
parce qu'il y a un peu d'espoir sur le horizon,
mais je vois aussi que
je vois des choses envers les deux,
et je vois que
les nombreuses dépendances que les gens utilisent
continuent à accueillir,
et je ne vois pas vraiment ce qui change.
C'est drôle, vous avez vu l'Isaac,
ou encore plus, l'Isaac Schluter,
le créateur de NPM,
et je l'ai entendu dans cet épisode,
et à un moment,
il parlait de la définition de l'épendance de Hell,
et de l'ancienne définition,
et de la nouvelle définition.
Et la nouvelle définition est juste
que je suis en dépendance de Hell,
je n'ai trop de dépendances,
mais la nouvelle définition,
j'ai appris à un endroit où je ne peux pas
bien installer,
parce que
Package A et Package B
sont tous dépendants de Package C,
mais différentes versions de Package C,
et mon manager de Package ne sait pas comment déterrir ça,
parce qu'il peut seulement installer
une version de Package C,
mais en orderant à satisfaire A et B,
ils ont besoin d'autres versions de Package C.
Et je pense que
c'est part de l'exemple de Isaac,
pas de l'exemple,
mais
le design de NPM était tellement successful
à résoudre le problème de l'épendance de Hell,
que ça a fait le cost de mettre les dépendances
à votre app,
à 0.
Avant, si vous étiez un développeur,
si vous étiez un développeur d'un projet d'open source,
et que vous ajoutez une dépendance,
si vous étiez une dépendance, vous avez une dépendance,
vous vous faites potentiellement
screw-over tous vos utilisateurs,
parce que vous faites ça
pour que si les utilisateurs
puissent aussi utiliser cette dépendance,
je vais faire ce concret.
Je suis l'analyse de Package A,
et je veux ajouter Package B
comme dépendance à mon Package A
que j'ai maintenu.
Je screw-over tous mes utilisateurs
qui ont Package B
dans leur dépendance de la traînée,
parce qu'ils peuvent avoir une version différente
de cette Package B.
Donc, comme développeur, comme maintenateur,
il y a un incentive insainement fort
et un équilibre d'écosystèmes comme PiPi
pour ne pas ajouter des dépendances,
parce que vous pourrez être screw-over vos utilisateurs
de cette façon, et faire leur app ininstallable.
Donc, ce qu'ils ont typiquement fait,
c'est qu'ils ont juste de la code copy-paste
dans leur Package A,
et qu'on n'a pas de dépendance,
mais ça a ses propres problèmes.
Vous ne vous faites pas de fixations de bug,
vous ne vous faites pas de sécurité,
ça a ses propres problèmes.

mais, en tout cas,
mon point est que l'NPM est tellement successe
de faire ces dépendances,
ces dépendances,
ils se sentent comme leurs zeroes façons,
et ça nous a mis en place
dans cette situation
où le monde de la Terre
a 1000 dépendances,
et puis,
une app de production,
comme le Discord,
le app de desktop Discord
a 30 000 dépendances,
c'est totalement normal aujourd'hui.
Et donc,
oui.
Ce n'est pas tout Isaac Salt,
mais il était
très successe, en fait.
Il était trop bon.
Oui, l'NPM est trop bon.
Oui, c'est pourquoi j'ai construit
une toute la compagnie
pour accroître l'exploit qui a évoqué.
Donc, en parlant de l'exploit,
avant de commencer,
vous avez vu beaucoup de différents
trends terrifiant
quand il vient de
ce que les gens sont évoqués
dans leurs packages.
J'ai lu un blog
sur le blog
sur le type de squadron

Qu'est-ce que l'un des
les trends plus scènes
que vous avez vu
en train de faire un coup
avant de faire un coup?
Oui, je pense que
il y a beaucoup de choses
pour couvrir.
Ça se fait un peu chiant.
Je pense que
le truc qui me fait peur
est que ces attaques
qui ont targé
une compagnie spécifique,
à l'honneur,
parce que je pense
qu'ils sont plus
moins évoqués
pour être détectés.
Il y a tout ce sort
de
barrelage
qui nous catchons
tout le temps,
qui est
très bas.
Et
la raison
pour laquelle nous
sommes capables
de la raison
pour laquelle ils n'ont pas
eu de temps
de essayer de la faire
ce qu'ils font
c'est parce que
personne ne se scannera
pour ce truc,
personne ne le regarde.
Donc,
pensez sur votre propre team,
votre propre expérience.
Est-ce que vous avez
ouvert la source code
de votre dépendance?
Je pense que
je fais parfois
pour voir
comment
voir si
la code,
si je l'ai ouvert
le premier file
et la code
ressemble à
un désastre,
je vais
utiliser une autre dépendance.
Mais
je ne vais pas plus
plus que ça,
je ne vais pas
de deux ou trois
léres
et vérifier
toutes les dépendances
et aller tout le monde
en dessous.
Et donc,
depuis que personne ne
fait ça,
ça me
me fait peur
que si
nous sommes
en train de
faire quelque chose
sur le socket
ou
ou
vous savez,
et quelque chose
est vraiment targeté
à l'une de l'entreprise,
comme ce que
ce que
ce que
ce que
ce que ça pourrait
dire
et comment
comment est-ce
que
comment est-ce que
il va être là
avant que quelqu'un
se démarre
et comme ce que
ce qui va arriver
donc
le truc est vraiment
targeté
me le scares
le truc
c'est comme
plus
vous savez
ce que je dis
ce 400
packages
qui vont aller
chaque semaine
je veux dire
si vous soyez
c'est comme
un install
vous pouvez
ajouter
votre repos
et vous vous protérez
de l'eau
et
je pense que
tout le monde devrait le faire
évidemment,
je suis en biais
mais
mais il y a
il y a une solution
à ce que ce soit
mais comme
ce truc
c'est super
targeté
vous savez
on doit juste
continuer à
l'imprové
nos détecteurs
et de
faire
les meilleures
pour ne pas
ne pas
perdre
quelque chose
pour les gens
oui
donc
je pense
que
ça va nous
nous


j'ai
deux questions
pour vous
et peut-être
on va commencer
la première
donc
ce
ce n'est pas
pour le socket
qu'est-ce que
ce que c'est sur
votre route
la
il y a un ton de
excité
donc
on est
pour
un peu de nouvelles
langues
donc
on est
on est
on est
les meilleurs
sur le team
maintenant
sont
notre JavaScript
et le Python
les gens
et
on
on a
une nouvelle
langue
comme
je l'ai mentionnée
et on a
un tout
un peu
de
vous savez
comme
une autre
langue
qui est
venu
dans
le
nouveau
année
2024
donc
c'est
un grand
un
parce que
quand on
on
parle
de
large
les
les
hogues
je


un
jacques

m


pièce

j'ai





pour les langages que la société a.
C'est une grande priorité pour nous.
Nous allons travailler sur Autofix PRs
pour nos findings.
Nous pouvons aider les gens à fixer le truc.
Nous avons des nouveaux stuffs de AI
qui ne je ne parle pas encore.
Nous avons
des reports plus vissus.
Nous allons avoir des temps de scan
en passant.
Nous allons faire
les produits qu'on a en plus.

Nous allons faire des services
pour les gens de l'utiliser,
des sites différents,
des services de l'aile,
des support,
des support pour les gens de l'autorisation
et des choses différentes.
Nous allons
tenter de nous faire attention
pour les gens de l'aile
et de l'autorisation.
Nous allons faire
ce qu'on peut faire
dans le monde.
C'est génial.
Fais attention
à ce que le futur
soit pour cet espace.
Nous sommes considérés
au web de l'open source.
Mais vraiment,
par la lente de sécurité,
c'est notre futur.
Qu'est-ce que nous pouvons faire?
Qu'est-ce que nous devons faire?
Comment faire?
N'arrêtez-le dans l'arrière
que vous êtes plus intéressés
à ce que vous vous parlez.
Juste,
dans l'espace de sécurité
de l'open source,
je pense que
plus et plus de compagnies
sont reconnaissantes que
cette obsession avec les vautés
n'est pas vraiment
une grande partie de la picture.
Nous sommes en train de voir
que quand le socket est arrivé en 2021,
nous étions
dans les minds de la personne
d'expliquer
que vous soyez
plus importants que vos volontés.
Mais maintenant,
les gens sont vraiment en train de voir
ce que c'est important.
Partenant de ça,
la chaine de supply est un buzzword.
Partenant de ça, il y a des ordres

qui sont à la place de l'envers.
Vous devez vous donner
un liste de packages d'open source
que vous utilisez
dans un s-bomb
ou des matériaux de software.
Il y a des raisons
de la chaine de supply.
Tout ça add
à la question
de la base de la base
ou d'un type de scan
de la base.
Ils reconnaissent
que un développeur
peut installer
un package typo
qui a 20 downloads.
On ne voit pas
ce type de code,
et on ne va pas avoir
des CVEs.
Ce n'est pas pour le safety.
C'est ce type de reconnaissance
que la base
va demander
plus de questions de leur dépendance.
On pense
que peut être que
plus de gens utilisent le socket.
On va
penser plus dans leur source
et ce qu'ils utilisent, comment ils peuvent couper sur l'amount,
comment ils peuvent évoquer la qualité des packages qu'ils utilisent,
être plus pensés et plus attentifs.
Je pense que c'est le futur, mais je suis optimiste,
donc, qui sait, peut-être que ça va être plus mauvais.
Et la prochaine fois que nous parlons,
nous allons avoir 100 000 dépendances dans le Discord
et d'autres apps de la même scale.
Et qui sait.
Mais je pense que le futur est que nous serons plus attentifs
et plus pensés à ce genre de choses,
parce que de toutes les combinations de choses que je disais.
Il sera intéressant, avec le rise de WebAssembly,
de voir comment certains choses changent.
Une autre source de distribution,
une surface de contact,
de l'aspect de la question de,
« maintenant on a plus de choses à utiliser,
avec ce target de compilation,»
Il sera intéressant de voir ça.
Oui, l'autre avantage de ça,
c'est qu'il y a une boundary très claire,
comme en le sort de l'extérieur,
où on peut l'enforcer,
on peut l'enforcer dans la politique.
Je suis très intéressé par ce point.
C'est un point très important,
c'est une très promissante.
Mais ça ne marche pas pour tout le code qu'on a aujourd'hui.
Les milliers de packages de NPM
ne vont probablement pas être réhéllés en WAZ.
Oui, c'est beaucoup de travail.
C'est tout pour cette semaine.
Merci d'avoir regardé, Farah.
C'était une conversation intéressante
et chelouée dans le monde de la sécurité de la source d'open source.
Merci d'avoir regardé.
Je ne vous souhaite pas que je vous fasse peur.
Il y a des gens de la monde.
Merci pour votre attention.
Et aussi, merci d'avoir regardé ce problème.
C'est un endroit intéressant,
où je peux voir beaucoup de choses
que vous avez passionnées
pendant les années à communer.
C'est vraiment très important
et très nécessaire.
C'est une initiative très nécessaire.
Je suis très excité
que le stock existait
et que je vois ça se produire.
Je vous souhaite le meilleur.
Merci d'avoir regardé.
C'était vraiment drôle.