Zed 未经用户同意下载 NodeJS 二进制文件和 npm 包,官方还不改


有开发者发现 Zed 在未经同意的情况下从互联网下载 NodeJS 二进制文件和 npm 包。

该开发者指出 Zed 自动从 https://nodejs.org 下载 NodeJS 二进制文件,并从 https://supermaven.com 下载专有二进制文件,而无需用户的同意或通知,并且没有选项可以关闭。

说来也有意思,这名开发者被消耗了 14 兆流量。说正经的,Zed 这种行为不仅在安全上引起了担忧,而且下载的二进制文件可能因为与系统不兼容而无法运行。

其他许多开发者也意识到了 Zed 这个情况,并且补充:Zed 会下载未签名的可执行文件并在未经任何同意或许可的情况下运行它们。

而 Zed 官方团队目前没有计划改变这种做法,他们的表态是因为已经编写了大量代码来支持各种前端工具。Zed 目前支持语言和语言服务器的三种方式:内置语言支持、预打包的扩展以及需要显式激活的扩展。开发团队计划在未来为这些问题提供解决方案,但目前尚未完成相关工作。

也有开发者提出了一个建议,即设置一个默认启用的弹出窗口,请求用户权限来下载二进制文件,并提出了三个选项来控制下载行为。

围观:https://github.com/zed-industries/zed/issues/12589


相關推薦

2024-07-19

nbsp;代码生成器的项目地址:https://gitee.com/jerryshensjf/Lotus 二进制 war 包的下载地址: https://gitee.com/jerryshensjf/Lotus/attach_files Rust通用代码生成器:莲花 项目介绍 Rust通用代码生成器:莲花,是Java写成的Rust通用代码生成器,目

2024-06-28

nbsp;代码生成器的项目地址:https://gitee.com/jerryshensjf/Lotus 二进制 war 包的下载地址: https://gitee.com/jerryshensjf/Lotus/attach_files ​ Rust通用代码生成器:莲花 项目介绍 Rust通用代码生成器:莲花,是Java写成的Rust通用代码生成器

2024-08-03

代码生成器项目地址:https://gitee.com/jerryshensjf/Fairchild 二进制发布包下载地址:https://gitee.com/jerryshensjf/Fairchild/attach_files   为web框架。目前支持MariaDB,MySQL,PostgreSQL和Oracle四种数据库。支持生成Vue和ElementUI的基于Node.js的独立

2024-10-06

器仙童的项目地址为:https://gitee.com/jerryshensjf/Fairchild 其二进制发布包下载地址为:https://gitee.com/jerryshensjf/Fairchild/attach_files Go语言通用代码生成器:仙童 项目简介 Go语言通用代码生成器:仙童,基于Java通用代码生成器:光

2024-08-09

;代码生成器的项目地址:https://gitee.com/jerryshensjf/Fairchild 二进制 war 包的下载地址: https://gitee.com/jerryshensjf/Fairchild/attach_files Go语言通用代码生成器:仙童 项目简介 Go语言通用代码生成器:仙童,基于Java通用代码生成器:

2023-06-22

验权限模型(高) CVE-2023-30582:不适当的权限模型允许未经授权的文件监视(中) CVE-2023-30583:通过 fs.openAsBlob() 绕过实验权限模型(中) CVE-2023-30585:在 Node.js 安装程序修复过程中通过 Malicious Registry Key 操作进行特权

2024-09-27

zilla 提起了隐私投诉,指控该公司使用 Firefox 隐私功能(未经同意启用)来跟踪用户的在线行为。 该功能名为“隐私保护归因”(Privacy Preserving Attribution,PPA),由 Firefox 与 Meta 联合开发,于 2022 年 2 月宣布,并于 7 月发布

2024-10-29

成器:逻辑的项目地址: https://gitee.com/jerryshensjf/Logic 二进制发布版地址: https://gitee.com/jerryshensjf/Logic/releases/tag/V_1_0_0_smoke Zig语言通用代码生成器:逻辑 项目介绍 Zig语言通用代码生成器:逻辑,是Java写成的Zig语言通用代

2024-10-25

成器:逻辑的项目地址: https://gitee.com/jerryshensjf/Logic 二进制发布版地址: https://gitee.com/jerryshensjf/Logic/releases/tag/V_1_0_0_smoke Zig语言通用代码生成器:逻辑 项目介绍 Zig语言通用代码生成器:逻辑,是Java写成的Zig语言通用代

2022-04-18

使用泄露的 AWS API 密钥对 GitHub 的 npm 生产基础设施进行未经授权的访问。这个 AWS API 密钥是攻击者通过使用窃取的 OAuth 令牌从一组私有 npm 仓库中获得的,但攻击者没有修改任何 GitHub 包或访问任何用户帐户数据,只下载了受影

2023-05-27

从 Deno v1.6 开始, deno compile支持将项目编译成单个二进制可执行文件,可方便开发者: 在所有主要平台上分发和执行二进制文件,无需安装 Deno 或依赖项 在可执行文件中包含资源以提高可移植性 使用单个二进制文

2022-09-20

遇网络入侵。 我们最近遭遇了一次网络入侵,一个未经授权的第三方非法访问并下载了我们系统中的机密信息,包括下一部《GTA》的早期开发片段。我们预计我们的实时游戏服务不会受到任何干扰,也不会对我们正在进行

2024-07-12

Rust 开源代码编辑器 Zed 发布了原生支持 Linux 的版本。 在 Linux 上安装 Zed 的命令: curl https://zed.dev/install.sh | sh 据介绍,Linux 上的 Zed 正在使用 Vulkan API 进行 GPU 加速。它同时支持 Wayland 和 X11 会话,到目前为止,Zed 团队开

2023-07-04

便。 仙童的项目地址:https://gitee.com/jerryshensjf/Fairchild 二进制版本下载地址:https://gitee.com/jerryshensjf/Fairchild/attach_files Go语言通用代码生成器:仙童 简介 Go语言通用代码生成器:仙童 百度话题 #通用代码生成器# 版本更新