NPM

Ein Paket (Bild: dominikrabalski/Pixabay) (dominikrabalski/Pixabay)

Open Source: NPM-Paket löscht Dateien aus Protest gegen Ukrainekrieg

Update Ein weitverbreitetes NPM-Paket löscht die Dateien von russischen Entwicklern und vervielfältigt Anti-Kriegsbotschaften.

197 Kommentare

Viele NPM-Pakete sind verwaist, einige könnten sich übernehmen lassen. (Bild: Spencer Platt/Getty Images) (Spencer Platt/Getty Images)

Domain-Hijacking: Tausende NPM-Accounts könnten sich übernehmen lassen

Laut einer Untersuchung lassen sich verwaiste NPM-Pakete leicht übernehmen. Außerdem könnten einige Maintainer überarbeitet sein.

Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft 365 Copilot sicher administrieren und integrieren

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Python kompakt – Einführung für Softwareentwickler: virtueller Vier-Tage-Workshop

zum Kurs

E-Learning: Microsoft Office Essentials - Einsteigerpaket für 4 Office-Anwendungen (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Administrator/in mit Schwerpunkt Groupware und Softwareverteilung Bundesverfassungsgericht, Karlsruhe (öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Strategic Analyst Digital (m/w/d) Willy Bogner GmbH, München (öffnet im neuen Fenster)

IT-Service Desk Agent (m/w/d) für internationalen Kunden (NL / EN) netgo, Berlin (öffnet im neuen Fenster)

Softwareentwickler (m/w/d) Fullstack C# - Hightech Solutions für Laserprozesse DMG MORI Ultrasonic Lasertec GmbH, Pfronten (öffnet im neuen Fenster)

Software-Architekt Medizingeräte (m/w/d) SCHWIND eye-tech-solutions GmbH, Kleinostheim (öffnet im neuen Fenster)

Sachbearbeiter (m/w/d) DSGVO-Anfragen Pair Finance GmbH, Berlin (öffnet im neuen Fenster)

Linux System Administrator (m/w/d) Scionics Computer Innovation GmbH, Dresden (öffnet im neuen Fenster)

Vue-Komponenten-Beispiel (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Das erste Nuxt-3-Projekt: Hello World auf dem Prüfstand

Mit Version 3 von Vue.js ist auch Nuxt 3 erschienen. Der perfekte Zeitpunkt, ein kleines Hello-World-Projekt zu erstellen und dem interaktiven Framework eine Chance zu geben.

29 Kommentare / Eine Anleitung von Jonathan Schneider

Azure, Github, Ghostwire Tokyo: Intel jagt Bugs und Blender zeigt Zeit

Kurznews Was am 3. Februar 2022 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Kommentare

Die sabotierte NPM-Pakete erhalten eine neue Heimat dank Forks. (Bild: Lukas Barth/Reuters) (Lukas Barth/Reuters)

Javascript: Community startet Fork für sabotiertes NPM-Paket

Eines der sabotierten NPM-Pakete wird nun als Community-Fork weitergeführt. Fragen zum Umgang mit dem Javascript-Repository bleiben jedoch.

18 Kommentare

Was sich in NPM-Paketen befindet, erfahren viel Projekte und Entwickler erst, wenn es schon zu spät ist. (Bild: USA TODAY NETWORK via Reuters Connect) (USA TODAY NETWORK via Reuters Connect)

Open Source: Entwickler sabotiert eigene vielfach genutzte NPM-Pakete

Millionenfach genutzte NPM-Pakete und darauf aufbauende Projekte sind nicht mehr nutzbar, weil deren Entwickler sie zerstört hat.

207 Kommentare

Entwicklung wie auf Schienen: Ruby on Rails, kurz Rails. (Bild: une-y via flickr) (une-y via flickr)

Ruby on Rails: Rails 7.0 wird flexibler und nutzt weniger Javascript

Die Entwickler bezeichnen das Open Source Webframework Rails 7.0 als die Erfüllung der Vision, einen echten Fullstack-Ansatz zu bieten.

1 Kommentare

Bis zu einer Million öffentliche Ladepunkte soll es bis 2030 in Deutschland geben. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Koalitionsvertrag: Was bedeuten die Ampel-Pläne für die Elektromobilität?

Nach dem Willen der Ampelkoalition sollen 15 Millionen Elektroautos bis 2030 auf deutschen Straßen unterwegs sein. Wir haben uns angeschaut, wie das genau umgesetzt werden soll.

165 Kommentare / Eine Analyse von Friedhelm Greis

E-Learning: Linux Administration: Troubleshooting (E-Learning)

zum Kurs

Seminar: LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Linux Administration: Skripte, Container und Automatisierung (E-Learning)

zum Kurs

Seminar: IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop

zum Kurs

Github will die Sicherheit von NPM verbessern. (Bild: Github) (Github)

Github: NPM-Pakete konnten beliebig überschrieben werden

Ein Fehler in der NPM-Registry hat das Überschreiben von Paketen ermöglicht. Github weiß nicht sicher, ob dies ausgenutzt wurde.

2 Kommentare

Bitcoin, GrapheneOS, Blackmatter: Mastercard will Kryptowährungen integrieren

Kurznews Was am 26. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Kommentare

In wenigen Jahren sollen Millionen Elektroautos auf deutschen Straßen unterwegs sein. (Bild: Friedhelm Greis/Golem.de) (Friedhelm Greis/Golem.de)

Klimaschutz: 14 Millionen Elektroautos bis 2030 erforderlich

Eine Regierungskommission fordert einen schnelleren Umstieg auf klimafreundliche Antriebe. Sonst reichten die CO2-Einsparungen nicht aus.

12 Kommentare

Elektroautos von VW (Bild: Ronny Hartmann/AFP via Getty Images) (Ronny Hartmann/AFP via Getty Images)

Elektromobilität: Das millionste Elektroauto kommt im Juli auf die Straße

Dass mehr und mehr Elektroautos verkauft werden, führt Wirtschaftsminister Peter Altmaier auf die Kaufprämie zurück.

9 Kommentare

Auch bei IP-Adressen kann es mal zu Zahlensalat kommen. (Bild: Pixabay) (Pixabay)

Netmask: Node- und Perl-Pakete parsen IP-Adressen falsch

Die Netmask-Pakete für Node.js und Perl haben unter Umständen interne und externe IP-Adressen verwechselt. Grund ist die Oktal-Schreibweise.

4 Kommentare

Elektroauto (Symbolbild) (Bild: Volvo) (Volvo)

Zwei Jahre zu spät: Ziel von einer Million Elektroautos wird erreicht

In Deutschland werden Ende 2021 wohl eine Million Autos mit Elektroantrieb zugelassen sein. Das Ziel der Bundesregierung wurde um zwei Jahre verfehlt.

19 Kommentare

Woher der Begriff Acid eigentlich kommt, ist etwas unklar. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: 303 für alle!

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Die Paketverwaltung größerer Projekte kann schnell zu Problemen führen. (Bild: Nicolas Guyonnet/Hans Lucas via Reuters Connect) (Nicolas Guyonnet/Hans Lucas via Reuters Connect)

Confusion Attack: Microsoft warnt vor einfacher Übernahme interner Pakete

Haben internes und externes Paket den gleichen Namen, lassen sich Trojaner einschleusen. Das wurde auch Microsoft zum Verhängnis.

Kommentare

Google informiert über bekannte Sicherheitslücken. (Bild: REUTERS/Thomas Peter/File Photo) (REUTERS/Thomas Peter/File Photo)

IT-Security: Google bietet Datenbank zu Lücken in Open-Source-Software

Ob eigene Software oder Abhängigkeiten von Sicherheitslücken betroffen ist, ist teils nicht leicht herauszufinden. Google will hier helfen.

Kommentare

AWS baut an einer eigenen UI-Bibliothek. (Bild: Abhishek N. Chinnappa/File Photo/Reuters) (Abhishek N. Chinnappa/File Photo/Reuters)

Node.js: AWS baut neues Open-Source-Design mit React

Für seine .Net-Portierungswerkzeuge erstellt AWS eine eigene Design-Bibliothek. Das Team plant ein "neues Open Source Design System".

Kommentare

E-Highway in Schleswig-Holstein (Symbolbild): 4.000 Kilometer Oberleitung bis 2030 (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Oberleitungen: Bundesregierung will mehr Autobahnen elektrifizieren

Bisher gibt es nur zwei Pilotprojekte mit Oberleitungen an Autobahnen. Aber die Bundesregierung plant, diese Form der Elektromobilität zu erweitern, um ihre Klimaziele zu erreichen.

20 Kommentare

Das OpenSSF-Maskottchen ist eine Gans. (Bild: Pixabay) (Pixabay)

OpenSSF: Projektbewertungen sollen Open-Source-Security verbessern

Eine automatisierte Bewertung soll helfen, die Probleme mit der Sicherheit von Open-Source-Paketabhängigkeiten zu lösen.

1 Kommentare

Oracle, Dotcom, Lego: Sonst noch was?

Was am 4. November 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Kommentare

Docker arbeitet bekanntlich mit Containern, was die Verteilung von Software enorm vereinfacht. (Bild: Pixabay) (Pixabay)

Visual Studio Code: Wie Docker mit WSL 2 funktioniert

Seit Mitte des Jahres läuft Docker mit dem WSL2 auch auf Windows mit einem vollständigen Linux-Kernel. Wir erklären Schritt für Schritt, wie es funktioniert.

34 Kommentare / Eine Anleitung von Dirk Koller

Node.js, Supercomputer, Anno: Sonst noch was?

Was am 21. Oktober 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

1 Kommentare

OpenBSD, Atlassian, Call of Duty: Sonst noch was?

Was am 19. Oktober 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

3 Kommentare

Zoom, Signal, Alpenföhn: Sonst noch was?

Was am 15. Oktober 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Kommentare

Github bekommt eine eigene Container-Registry. (Bild: Dean Mouhtaropoulos/Getty Images) (Dean Mouhtaropoulos/Getty Images)

Devops: Github startet eigene Container-Registry

Nach dem Erfolg mit den Github-Paketquellen startet der Code-Hoster eine Container-Registry, die den Umgang mit der Technik vereinfachen soll.

2 Kommentare

Github kauft NPM. (Bild: Github) (Github)

Javascript: Github übernimmt NPM

Nach einem turbulenten Jahr wechselt die Javascript-Registry NPM zum Codehoster Github. Der Dienst soll kostenfrei bleiben und integriert werden.

36 Kommentare

Die Pflege von Paketabhängigkeiten ist schwierig und die Nutzung birgt Risiken. (Bild: Erich Ferdinand/Flickr.com) (Erich Ferdinand/Flickr.com)

Linux Foundation: Open-Source-Abhängigkeiten machen weiter Probleme

In ihrem sogenannten Census hat die Core Infrastructure Initiative der Linux Foundation häufig genutzte Pakete aus NPM und Maven untersucht. Die dabei gefundenen prinzipiellen Probleme sollen künftig gezielt gelöst werden.

1 Kommentare

Arbeiter im VW-Werk in Zwickau (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Jobverluste in der Autobranche: E-Autos sind nicht an allem schuld

Die Umstellung auf E-Autos werde Hunderttausende Arbeitsplätze kosten, hieß es zuletzt. Dabei hat der Großteil der drohenden Jobverluste in der Autobranche andere Gründe.

167 Kommentare / Eine Analyse von Dirk Kunde

Das NPM-Maskottchen ist ein Wombat. (Bild: Phil Whitehouse, Flickr.com) (Phil Whitehouse, Flickr.com)

Javascript: Node-Pakete können Binärdateien unterjubeln

Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.

4 Kommentare

Das NPM-Maskottchen ist ein Wombat. (Bild: Chris Fithall, flickr.com) (Chris Fithall, flickr.com)

Javascript: NPM führt Funding-Option ein

Die Entwickler von Node.js-Paketen können in deren Metadaten nun URLs zur Finanzierung ihrer Arbeit hinterlegen und der NPM-Client wertet diese aus. Im Sommer hatte ein Entwickler Werbung in sein Paket integriert.

Kommentare

Das NPM-Maskottchen ist ein Wombat. (Bild: Phil Whitehouse) (Phil Whitehouse)

Open Source: NPM-Chef geht schon nach wenigen Monaten wieder

Nach nicht einmal einem Jahr Dienstzeit ist der Chef von NPM zurückgetreten. Das Unternehmen mit dem gleichnamigen Javascript-Paketmanager hat in diesem Jahr einige Mitarbeiter verloren, Arbeitnehmerklagen verhandeln müssen und eine aussichtsreiche Konkurrenz bekommen.

20 Kommentare

Das Tool Standard blendet Werbung wie diese ein. (Bild: Github/wmhilton) (Github/wmhilton)

npm: Entwickler von beliebtem Open-Source-Tool integriert Werbung

"Die Sponsorenschaft finanziert direkt unsere Wartungsarbeitszeit": Die Entwickler des Tools Standard führen mit der Version "standard 14" Werbebanner ein. Einige Nutzer verstehen die Entscheidung, viele andere halten die Idee für falsch.

79 Kommentare

Das NPM-Maskottchen ist ein Wombat. (Bild: Kim, flickr.com) (Kim, flickr.com)

Javascript: NPM-Führung geht gegen Arbeitnehmerklagen vor

Einem Medienbericht zufolge wird es wohl keine Einigung im Streit von NPM mit entlassenen Mitarbeitern geben. Zusätzlich dazu häufen sich Beschwerden und Kritik an der Unternehmensführung und die Konkurrenz für das Unternehmen wird größer.

Kommentare

Github wird auch zum Hoster von Paketen. (Bild: Github/Bearbeitung Golem.de) (Github/Bearbeitung Golem.de)

Code-Hosting: Github bietet eigene Paketquellen für Programmiersprachen

Der Code-Hoster Github bietet Open-Source-Projekten und Kunden künftig eigene Paketquellen für Sprachen und Programmierumgebungen. Diese Registrys werden für viele übliche Clients wie NPM, Maven und andere angeboten.

12 Kommentare

Javascript: NPM-Registry soll Konkurrenz bekommen

Nach einem Managementwechsel beim Unternehmen NPM und einigen Kündigungen sollen sich mehrere Konkurrenz-Produkte zur NPM-Registry in Entwicklung befinden. Das könnte der Open-Source-Community eine freie alternative Quelle für Javascript-Pakete ermöglichen.

16 Kommentare

Webassembly soll auch außerhalb vom Browser laufen. (Bild: Webassembly) (Webassembly)

Wasi: Webassembly bekommt standardisierte Systemschnittstelle

Eigentlich soll Webassembly eine einheitliche Laufzeitumgebung für das Web bieten. Um auch außerhalb des Browsers zu laufen, soll nun eine standardisierte Systemschnittstelle entstehen. Helfen könnte das Techniken wie Node, die native Software mit Webtechniken verbinden.

Kommentare

Electron 4.0 ist erschienen. (Bild: Electron) (Electron)

Javascript: Electron 4.0 aktualisiert Basis und bringt IPC-Sicherheit

Die aktuelle Version 4.0 des Javascript-Frameworks Electron bringt Updates für seine Grundlagen Chromium, V8 und Nodejs. Darüber hinaus kann das Remote-Modul zur Interprozesskommunikation aus Sicherheitsgründen deaktiviert werden.

28 Kommentare

So viele Abhängigkeiten, dass niemand mehr den Überblick haben kann: Das ist bei NPM leider üblich. (Bild: Graphcommons/NPM Dependency Network) (Graphcommons/NPM Dependency Network)

event-stream: Populäres NPM-Paket verteilt Schadsoftware

Ein Entwickler des Javascript-Pakets event-stream interessierte sich nicht mehr für das Projekt und übergab die Entwicklung an eine unbekannte andere Person. Daraufhin wurde über das Modul Schadsoftware verteilt, die offenbar auf Bitcoin-Wallets abzielt.

65 Kommentare

Der Prototyp des E-Tron in Berlin (Bild: Audi) (Audi)

Elektromobilität: Neuer Masterplan für E-Autos gesucht

Die Regierung verfehlt ihr Ziel von einer Million Elektroautos bis 2020. Nun soll Merkels Berater Kagermann den Ausbau der E-Mobilität vorantreiben.

86 Kommentare / Ein Bericht von Daniel Delhaes (Handelsblatt)

Durcheinander wie beim Turmbau zu Babel (Pieter Bruegel der Ältere): die verschiedenen Sprachversionen von Javascript (Bild: Pieter Bruegel der Ältere von Pieter Bruegel dem Älteren) (Pieter Bruegel der Ältere von Pieter Bruegel dem Älteren)

Javascript-Transpiler: Babel erscheint nach drei Jahren in Version 7

Drei Jahre nach Version 6 ist nun Babel 7 erschienen. Der Javascript-Compiler verwandelt modernes Javascript in altes, damit das auch für betagte Browser ausführbar wird. Das Team hat das Projekt aufgeräumt, Support für alte Abhängigkeiten entfernt und unterstützt neue Syntax.

7 Kommentare

Dieses Kompressionstool ermöglicht sicher kein Path Traversal. (Bild: Pixabay) (Pixabay)

Path Traversal: Mit Zip Slip lassen sich beliebige Dateien verändern

Eine Sicherheitslücke in Kompressionsbibliotheken ermöglicht Angreifern, Dateien zu verändern und an beliebige Orte zu schreiben. Sind Adminrechte vorhanden, können Exe-Dateien getauscht und Skripte manipuliert werden.

18 Kommentare

Das Github-Maskottchen, die Octocat, in Partylaune (Bild: Github) (Github)

Github-Übernahme: Ein super Deal - für Microsoft und den Rest

Mit der Übernahme von Github manövriert sich Microsoft geschickt aus einer Abhängigkeit und stärkt dabei noch sein Cloud-Geschäft. Das setzt wohl vor allem Atlassian unter Druck. Was der Kauf für das Open-Source-Engagement Githubs bedeutet, ist damit eigentlich auch völlig klar.

127 Kommentare / Eine Analyse von Sebastian Grüner

Pip-Boy statt Smartphone: Fallout 76 angekündigt (Bild: Bethesda) (Bethesda)

Kurse

Podcast Besser Wissen