Vlákno názorů k článku Sofistikovaná sabotáž XZ zabrala roky, odhalena byla šťastnou náhodou od D.A.Tiger - Myslim, ze Red Hat ( dobre ... i...

Kdybys to znal ze strany útočníka, tak se nikdy neútočí jen na jedno místo. Útočí se vždy na řadu míst a zjišťuje se, kde je slabé místo. Když vypadá zajímavě víc míst, tak přidáš lidi. Pochop, je za tím spousta práce a času MNOHA LIDÍ, je to moc drahé na to, abys to zkoušel jen jediným způsobem. Hodně lidí o tom má představu asi jako Hurvínek o válce (nemluvím o tobě, ale obecně ...že to dělal pan Kumar...), tohle řeší celé skupiny lidí a dost možná ani žádný Kumar nikdy nebyl, možná ten Kumar byl vždy někdo jiný, některé skupiny mají i svoje kanceláře a velmi dobře rozdělené úkoly. Nikdy ti nezaplatí, když neodvedeš svojí práci. Takže jeden čičmunda se snaží někam vetřít, další čičmunda předstírá užitečnou práci, jiný čičmunda připravuje payload. Ale klidně si věř na panenskou prostitutku nebo Bigfoota :-D

30. 3. 2024, 22:56 editováno autorem komentáře

[CPU]
Ty mi mozna s tim Kumarem nerozumis. To co me na tom tak fascinuje je situace z pohledu maintainera toho projektu: Prida se ti tam manik, ktery behem relativne dlouhe doby posle par, z pohledu projektu cekem nevyznamnych, patchu. Pak se tam najednou objevi nejakej Kumar, o kterem nikdo nic nevi, a zacne do vsech hucet, ze ho musime pribrat mezi "plnohodnotne" cleny tymu a vsechny jeho patchy proste prijmout.

Ja jsem jejich komunikaci necetl, takhle to vypliva z clanku, ale stat se to u meho projektu, tak s tim Kumarem vybehnu tak, ze by nestacil pocitat schody a doslapl bych si i na toho prvniho manika. Oni, mu (Kumarovi) malem podekovali a z mileho manika udelali jednoho ze spravcu, takze si tam ted muze opravdu delat co se mu zachce. A vubec jim neprijde divne, ze od te doby se zahadny Kumar uz neozval. Proste nepochopis.

Tady doslo k naprosto fatalnimu a - aspon pro me - nepochopitelnemu selhani lidskeho faktoru. A proti tomu ti zadne kontroly ani audity asi moc nepomuzou.

30. 3. 2024, 23:39 editováno autorem komentáře

Já se bojím, že mluvíme o stejné věci, ale nějak si nerozumíme.

"Tady doslo k naprosto fatalnimu a - aspon pro me - nepochopitelnemu selhani lidskeho faktoru."

No jistě, ale já k tomu dodávám, že útoky na lidský faktor jsou vždy nejlevnější a nejsnazší. Proč hledat bezpečnostní slabinu v systému, když lze poslat paní Vomáčkové z účtárny e-mail, aby se přihlásila tam a tam a přeinstaloval si certifikát? Útoky na lidi jsou nejjednodušší a nejlevnější, nechat se totálně zblbnout může jak hloupoučká osamělá hospodinka, tak i sociálně neobratný programátor. Vezmi si to, jak to bylo primitivní a přitom účinné, na to nepotřebovali žádný velký skill. Kolik takových přístupů ještě mají?

Proto tvrdím, že tu jsou relevantní otázky:
* no to se přece nemohlo stát, nebo ano?
* co když to zkusili na dalších 50 lidí?
* pokud tady uspěli, kde jinde se jim to ještě povedlo?
* uspěli skutečně jen zde, nebo mají XY dalších přístupů?

Pochop, když najdeš v procesu chybu, měl bys zjistit, kde je kořenová příčina a jestli tohle není jen jedna chyba ze stovky, které ti utekly.
A to nejhloupější, co by se mohlo stát, je to uzavřít se slovy "Tradááá, Kumar byl odindován a všichni si budeme dál žít v říši štastných skřítků.."

Ale ano, chápu, že můžu působit jako ELFo v říši šťastných skřítků, protože kladu nepatřičné a zlé otázky, když je tolik důležitější práce, která se musí udělat.
Říše šťastných skřítků:
https://www.youtube.com/watch?v=w-4hlbAtfvk

Všechno je hrozně fajn...protože všichni předstírají, že to je fajn:
https://www.youtube.com/watch?v=u1pR4T2_A0A

31. 3. 2024, 12:50 editováno autorem komentáře

Já bych řekl, že tady je ještě další aspekt. Na to, jak důležitý to byl projekt - resp. jak důležitým byl udělán - distribuce pomocí xz komprimovaly balíčky a dokonce i jádro, tak se o xz vlastně vůbec nikdo nestaral. Původní autor měl nějaké psychické problémy (ok, to se může stát) a nikomu nepřišlo důležité buď ten projekt škrtnout a dál jej prostě nepoužívat a nebo jej prostě převzít (Debian, RedHat, Fedora, SUSE).

V tomhle já vidím selhání lidského faktoru ale rozhodně ne na straně autora xz.

31. 3. 2024, 13:00 editováno autorem komentáře

V tomto je trosku vyhoda u BSD, kde sa sa core team stara o kernel tak aj o world. A je teda vacsi predpoklad, ze sa to nestane (i ked FreeBSD malo nedavno zaujimavy preslap s wireguardom, ktory sa ale do release nedostal. Ale tiez za 5 min 12).

S xz sa spomina Linux kedze utok bol odhaleny na Linux. Co mna trosku zarazilo bol fakt, ze JiaTanove patche boli akceptovane do libarchive a nikomu neprislo divne, ze safe_printf bol nahradeny fprintf.
Ci tie commity boli len naoko alebo to bol skutocne podklad attack vector do buducnosti je tazko povedat.

[Heron]
+1

Ja bych rekl ze to je spis problem, ktery se tyka komunitniho vyvoje jako takovaho. Nestaram se o nic co nespada pod primi zajem moji komunity (xz prece funguje a ma svoji komunitu ktera jej udrzuje. Tak co?) a ani se nesnazim vyjit vstrict ostatnim (Jestli neco chou ostatni, at si nejak poradi, vzdyt maji k dispozici zdrojaky.)

To je ale myslim vec, ktera je tak napevno svazana s opensource projekty, ze s tim v dohledne budoucnosti tezko nekdo neco udela.

Protoze tomu bezny webovy devel nerozumi( moc low level) a vyvojari smatlatouch mobilnich appek taky ne. Cili je malo vyvojaru. Pouzivat predpripravene api/abi dovede kazde jelito. Delat jeho vyvoj a udrzbu vsak uz se nikomu nechce (a nemusi to byt o schopnostech_.

Kdysi jsem mel par prispevku do glib,bionicu a binutils - vetsinou se jednalo o opravu naprostych prasaren na ktere se prislo pri vyvoji a cteni kodu pro systemy mimo linuxu. Tedy nikoliv hlavni cinnost. Nula zajem na strane potencialnich zamestnavatelu. Upozornuji jen ze nejsem vyvojar. Jen mne stvou ocividne prasarny ktere mi komplikuji praci.

Nerozumí? Hlavně když vyvíjíte webové aplikace, většinou to fakt neděláte proto, že chcete a baví vás smolit XZ v C/C++. To není proto, že byste tomu nerozuměl. To, že tomu potenciálně nerozumíte je jen důsledek toho, že je vám to fuk.

Útoky na lidský faktor nejsou nejlevnější a nejsnazší vždy, ale teprve tehdy, když už nějakou základní míru (ne úplně nízkou) technického zabezpečení máte.

V tomhle případě nebylo to zneužití zas až tak jednoduché, jak to vypadá – štěstí stálo nejprve na straně útočníků, těsně před „koncem“ se přiklonilo na druhou stranu.

Obrana proti tomu u komunitního opensource moc není. Některým se třeba v diskusích o forcích Redisu nelíbil „komerční opensource“, že to není ten správný opensource. Přitom ale nejsnazší obrana proti tomuhle typu útoků je právě to, že software má nějaké placené správce, o kterých někdo ví, kdo to je, má je „na výplatní pásce“, může je kontrolovat. Pokud je správcem softwaru někdo, kdo šel zrovna kolem, to riziko zneužití tam je. Dostat se ke správě projektu, který nemá aktivní přispěvatele nebo jich je málo, je překvapivě snadné – pokud je dostupný někdo z původních správců.

[Filip Jirsák]
Obavam, se ze komercni, ani polokomercni projekty nejsou proti utokum na lidsky faktor chraneny vice, nez ciste opensource. To me prijde jako iluze. Zkusenost z ruznych firem ukazuje, ze pokud se nedodrzuji pravidla bezpecnostni politiky, nebo jsou na houby nastavena (prilis prisna, nebo naopak prilis benevolentni), nebo se alespon nepouziva se "zdravy" rozum (jako v tomto pripade), pak Vam nic nepomuze ze mate lidi, kteri tohle maji na starost na vyplatni pasce. Maximalne snad po nich muzete zadat nejakou nahradu skody, ale i to Vam ve finale muze byt uz prd platny... :(

D.A.Tiger: Už jenom to, že ten vývojář má nějakou právní identitu, protože podepsal nějakou smlouvu, chodí mu peníze, je výrazné plus. Jia Tan je jen účet na GitHubu a e-mailová adresa, nikdo ho neviděl, nikdo s ním nemluvil a taková osoba pravděpodobně vůbec neexistuje.

Když byl průšvih kolem OpenSSL, „adoptovalo“ ho pár firem (pod různými forky) a vznikla iniciativa, aby komerční firmy zajistily lepší péči o ty nejdůležitější knihovny, na kterých „závisí internet“. Jenže těch knihoven, o které se od roku 2003 naštěstí stará náhodný týpek z Nebrasky, je spousta. Funguje to vlastně hrozně hezky, což dokazuje, že je na světě spousta dobrých lidí – ale ochrana proti průšvihům prakticky neexistuje. Mně připadá, že ten útok byl tak trochu kanón na vrabce – že by pravděpodobně uspěli stejně i s daleko horším krytím. Nakonec je dostalo to, že byli o dost horší programátoři než zpravodajci…

že ten vývojář má nějakou právní identitu, protože podepsal nějakou smlouvu, chodí mu peníze, je výrazné plus

To mi připomnělo, jak jsme měli ve firmě pro testovací účely vytvořeného uživatele. Postupně jsme zadávali všechny potřebné údaje, jak to systém potřeboval, a ověřovali, že tohle funguje, tamto funguje...
Když došlo na revisi účtů, na HR (přes výslovné varování!) to překlopili do nového personálního systému - a na jejich chybu se přišlo ve chvíli, kdy se dožadovali čísla účtu, kam posílat výplatu. ;oD
Že někomu chodí peníze a má v pořádku papíry, ještě nemusí znamenat, že takový člověk vůbec existuje.

RRŠ: To, že něco nedokážeme zabezpečit na 100 %, nevadí. Důležité je, jestli by to bylo bezpečnější, než dnes.

Tak to bol ten lepsi pripad. U nas (ked firmu prebrala jedna banka) robili reviziu uctov o nas bez nas a proste stopli jedneho uzivatela na domene. Lenze pod tym uzivatelom bezalo na produkcii niekolko iis servisov, par python skriptov a cely workflow. Takze odstavili celu produkciu a namiesto toho, aby ho opat na par dni spustili, kym zistime ktore vsetky servisy pod nim bezia a nahradime novymi uzivatelmi (co servis, to iny username), tak proste firma stala, kym sme postupne nepreklopili na novych uzivatelov. A to boli aj xx- rocne projekty, kde ten user bol v kode a git vtedy sa este nepouzival.

A nechybela vam nahodou dokumentace k tomu co ktery technicky user ma za procesy ci co ktery proces potrebuje? Meli jste taky docku k cele bussiness logic? Docka k architekture? Docka k funkcni skriptu? .Nebyla to typicka implementace v nasich krajich bezna? -> udelam to rychle,skoro zadarmo a dokumentace je na kusu toaletniho papiru napsana v ruce v kapse byvaleho majitele ktery je po smrti?
O tom svedci i ten user v kodu - to je prasarna na druhou. To by neproslo ani prvnim code review.
Mame i 30 let stare projekty a jsou k tomu poznamky z code review. Pravda je to vetsinou externi system nad repository nebo emailova komunikace s patchem.

Ktery jednonohy kun bez mozku ale pouzival na vsechny scripty/joby jednoho technickeho usera? Co to bylo za vocasa co to nastavoval? To je preci 25 let zakladni znalost ze se vse nema hazet na jednoho technickeho uzivatele.

Resim akvizice. Prasarny tohoto typu nejsou u mne ojedinele.

To je ale nesmysl, že pane Jirsák. Jakpak to bylo třeba s tím bcrypt a DUAL_EC backdoorem blahé paměti?

Wasper: Nevím, co z mého komentáře má být nesmysl. Ale vzhledem k tomu, že je celou dobu řeč o pravděpodobnosti, tak nějak tuším, že to nepůjde vyvrátit jedním konkrétním příkladem.

[CPU]
Ja netvrdim, ze se to nemohlo stat vicekrat, ani ze se treba neodhali dalsi pripady. Ani ze JiT75 a Kumar se vyparili, ve chvili, kdy byla jejich proradnost odhalena a uz se nikdy neukazou. Naopak, obavam se ze ted je nekde velkej mitink (a mozna padaj i hlavy) a resi se jakych chyb se dopustili, a jak to priste navliknout lip. Sam priznavam, ze mam obavy z toho, ze k podobnym utokum dojde v budoucnosti s nejvetsi pravdepodobnosti znovu. Vzdyt stacilo fakt jen malo a doslo k tak velkymu prusvihu, jaky minimalne na Linuxu nema obdoby, jestli vubec.

Na rovinu, kdyz to reknu (napisu) na plnou hubu: me proste ohromuje ta nebetycna blbost spravce projektu a vyvojarskeho tymu s jakou se nechali zmanipulovat. A ano, kdyz se to podarilo v jednom tymu, neni nenulova pravdepodobnost, ze s to povede u jineho... Systemovych utilit s podobnym vyznamem jako ma lzma (xz) je porad vic nez dost.

31. 3. 2024, 13:43 editováno autorem komentáře

[D.A.Tiger]

"Na rovinu..."
Tak pod tohle bych se podepsal.

Bohužel se mi vybavila situace s hláškou "TrueCrypt již není bezpečný".

Bezpečnostní problémy jsou jako ledovce, největší část je vždy skrytá a vidíme jen jeho špičku. Proto jsem z toho tak nevrlý. Tím spíš, že se obávám, že nebudou přijata nápravná opatření. Myslím, že by stálo za to provést důkladnou kontrolu.

Tohle je velmi podobná historka:
https://www.aricoma.com/cs/inspirace/utok-na-solarwinds#

31. 3. 2024, 14:34 editováno autorem komentáře

me proste ohromuje ta nebetycna blbost spravce projektu a vyvojarskeho tymu s jakou se nechali zmanipulovat
Vy byste to udělal stejně. Co měl ten správce projektu dělat jiného? Ví, že sám se dál správě věnovat nemůže. Žádný vývojářský tým neexistuje, možná jen občasní přispěvatelé. Jeden z přispěvatelů se nabídne, že správcovství převezme, další ho podpoří. Do teď by mu to každý správce opensource projektu rád předal, protože je to naděje, že projekt bude dál pokračovat.

Tohle se děje dnes a denně. A případ XZ na tom nic nemění. Protože ten původní správce projektu z nějakého důvodu nechce nebo nemůže pokračovat s tím projektem, tím méně bude mít chuť, čas, motivaci a prostředky lustrovat nového správce. Navíc stejně nemůže ničemu zabránit.Pokud by správcovství projektu nepředal, bude jeho projekt akorát dál pomalu umírat – ten nový zájemce oznámí fork a dál to bude úplně stejně, akorát pod jiným jménem.

[Filip Jirsak]
"Vy byste to udělal stejně. Co měl ten správce projektu dělat jiného? "

Ne, a o nekolik prispevku vyse jsem jasne napsal co bych udelal. Ale specialne pro Vas: S obema bych za takove situace vyrazil dvere. A nic by na tom nezmenilo ani to, ze bych ten projekt v danou chvili nezvladal. A myslim to smrtelne vazne.

31. 3. 2024, 18:23 editováno autorem komentáře

D.A.Tiger: Smrtelně vážně to myslet můžete, což nic nemění na tom, že byste se do takové situace (správce projektu) ani nedostal. Protože jako správce projektu byste musel vycházet s daleko divnějšími lidmi. Navíc jste nenapsal v jaké přesně situaci by to bylo. Po prvním e-mailu na podporu? Po druhém? Myslíte si, že jich bylo víc?

31. 3. 2024, 20:00 editováno autorem komentáře

[Filip Jirsak]
Takze po poradku.

"Protože jako správce projektu byste musel vycházet s daleko divnějšími lidmi."
To muze byt klidne pravda, nicmene taky nemusim do sveho repozitare a projektem pribrat kazdeho kdo jde zrovna kolem. Dokonce do toho repositare nemusim pustit vubec nikoho.

"Navíc jste nenapsal v jaké přesně situaci by to bylo"
Ale napsal. Presne jsem popsal tu situaci, dokonce jsem ji citoval z Petrova clanku. Evidentne jste se vykaslal na to si to precist, a ja to fakt nebudu znuvu cele kvuli dohadovani s Vami psat znovu.

Dokonce do toho repositare nemusim pustit vubec nikoho.
Ano, o této situaci jsem psal – udělá se fork, vy máte svůj repozitář, který je považován za opuštěný, a vývoj (nebo alespoň údržba) běží v tom forku.

Presne jsem popsal tu situaci, dokonce jsem ji citoval z Petrova clanku.
To je přesný popis situace jak z Cimrmanů. Předpokládám, že myslíte tohle:

Zároveň se objevilo další jméno, Jigar Kumar, který začal tlačit na vývojáře, aby úpravu přijali a požadoval, aby Lasse Collin přidal do repozitáře dalšího správce.
Právě proto jsem se ptal, zda byste je vrazil už po prvním nebo až po druhém e-mailu. Protože víc těch e-mailů (nebo jiných zpráv) ani být nemuselo. Navíc je otázka, zda byste si toho vůbec všiml, že na to tlačí ten samý člověk. A i kdyby ano – opravdu by to byl důvod, abyste vyhodil oba dva? Vyhodil byste z projektu člověka, který je aktivní, jenom proto, že ho podporuje někdo jiný, možná trochu neomaleně?

Když se zpětně soustředíte na ty dva s vědomím toho, co udělali, vystupuje to krásně na povrch. Ale kdybyste byl v situaci toho původního správce, pravděpodobně byste nepoznal vůbec nic. Protože byste se setkával s mnohem divnějšími lidmi. U těchto dvou byste naopak ocenil, že s vámi komunikují anglicky a ne čínsky, že nezakládají páté issue ke stejnému problému a u jednoho z nich že přispívá kódem a ne jen komentáři, jak to že jste nenaprogramoval úpravu, kterou by on potřeboval pro svůj projekt a jinak by byla úplně k ničemu akorát by zaplevelila kód.

[Filip Jirsak]
Jenze ono je celkem irelevantni kolik podnetu dotycny da (navic je tam jasne napsano, ze na to tlacil - to asi nebudou dva e-maily). Podezrele je to uz ve chvili, kdy mi naprosto neznamy clovek zacne do projektu protlacovat jineho, o kterem taktez v podstate nic nevim uz proto, ze - z hlediska toho projektu - nijak extra neprispel. Jak jsem psal, jako spravce projektu nejsem povinen do nej pripustit kazdeho kdo jde zrovna kolem, a uz vubec si nenecham narizovat kdo ne nem ma pracovat.

Takze je celkem jedno jestli po prvnim nebo druhem. Dulezite je, ze bych se tim nenechal ovlivnit a uz vubec bych takve lidi do toho projektu nepustil a nebo jim rovnou znepristupnil repositar.

31. 3. 2024, 21:18 editováno autorem komentáře

D.A.Tiger: Když vy máte pořád hrozně naivní představu, že má takovýhle projekt desítky či stovky přispěvatelů, ze kterých si správce vybírá. Vzhledem k tomu, že ten projekt měl jediného správce, který navíc za sebe potřeboval náhradu, tipoval bych si, že to bylo spíš tak, že občas možná někdo přispěl. To, že vám do projektu přispěje někdo neznámý, je běžná situace – někde to možná budou prakticky všechny příspěvky. Někdo přijde, pošle patch na jednu chybu, která ho trápí, a už o něm nikdy neuslyšíte.

Jak jsem výše odkazoval na xkcd: Dependency, neodkazoval jsem na to jako na vtip, ale na popis reality mnoha OSS projektů. XZ na tom asi byl o něco lépe, ale ne o moc. Pokud se rozhodujete, zda nechat projekt osiřet nebo ho předat náhodnému týpkovi, co jde okolo, jasně že zvolíte náhodného týpka. Zejména když ho podpoří jiný náhodný týpek.

[Filip Jirsak]
"Když vy máte pořád hrozně naivní představu..."
Ale houby :-D To spis Vy mate naijivni predstavy o protistrane. Vzdyt ja jsem se svymi projekty v naprosto stejne situaci - s tim rozdilem, ze ja nemam zadne psychycke problemy, ale me diky zamestnani (vetsinou) chybi dost casu a sil se jeste venovat necemu dalsimu. Takze mam naprosto presnou predstavu.

31. 3. 2024, 21:35 editováno autorem komentáře

[Filip Jirsák] a [D.A.Tiger]

Organizované skupiny mají specialisty, kteří do projektu klidně mohou přispívat něčím zajímavým, TO JIM PŘIDÁ NA DŮVĚRYHODNOSTI.
Nezlobte se, ale vy oba pořád žijete v rozsahu malého českého mozečku a s mentalitou na úrovni pozdních devadesátek...

Přečtěte si třeba tohle:
https://sinopsis.cz/cinske-kriminalni-organizace-stavi-tovarny-na-podvody-v-jihovychodni-asii/

Takové organizace mají klidně STOVKY ZAMĚSTNANCŮ!
A pro Indii to platí stejně, tam je to mnohem, MNOHEM divočejší!

Pokud pro takovou společnost začnete pracovat, rychle zjistíte, že máte třeba dvacet kolegů pracujících na stejném "projektu", projektu je XY a že organizace má specialisty na COKOLIV a zbytek si umí koupit na darknetu.

Jak můžete jeden, druhej nebo třetí, co se tady hádáte, tvrdit že víte, o co jde? To úplně klidně mohla nějaká intelligence agency najmout nějakýho troubu z Indie, aby udělal oč žádají. Ať už Rusko, USA, Čína, Indie nebo další světoví hráči, kterým by se hodil backdoor do milionů systémů. Třeba holt jenom vybrali nesikovnyho Kumara... Šlo o poměrně sofistikovaný řešení... Nevypadá to na týpka, co chtěl víc strojů do svyho botnetu... Takoví publikujou aplikace na Play Store...

[kopfik]
A precetl jsi si poradne o co se vlastne "hadame"? (aspon ten jeden a druhy)

31. 3. 2024, 22:13 editováno autorem komentáře

No, trochu se tu ztrácím v tich datech, a co na co navazuje. Ale ten trigger diskuze zůstává, ne? :)

[kopfik]
"Ale ten trigger diskuze zůstává, ne?"
Ani ne. Posledni hodiny s panem Jirsakem debatujem o tom, zda se zpravce projektu (Lasse Collin) nenechal hloupe zmanipulovat ohledne prijeti JiaT75. Myslim, ze to by se dalo povazovat za dohadovani.

kopfik: Já netvrdím, že vím, co co jde. Ale za zdaleka nejpravděpodobnější považuju to, že jde o akci tajných služeb nebo někoho srovnatelného. Proto jsem taky psal, že byli lepší zpravodajci než programátoři.

Jenže jde o míru. Pokud každý musí tahat formátování stringů z náhodného místa na internetu, tak se jednoho dne buď omylem nebo schválně stane ta knihovna bezpečnostní hrozbou. Bude to velké lákadlo, protože tu knihovnu budou používat v podstatě všechny programy.

To, že nějakou vysoce specializovanou funkci nenajdu ve standardní knihovně ničemu nevadí. Protože ji použiju pouze do jednoho programu z tisíce a ten se používá pouze jednou za deset let. Ano, stále to někdo může využít k devastaci jaderného průmyslu nějaké země. Ale ne třeba ke sledování miliard lidí.

Tohle ale nemá řešení na začátku. Jednak pro to, že při té flexibilitě nikdo neví, kterým směrem se ten nástroj bude ubírat a co tudíž patří do standardní knihovny. Jednak pro to, že kdyby se Ryan Dahl před vydáním Node.js na dva roky někam zavřel a psal standardní knihovnu, nejspíš mezi tím vznikne něco jiného a budeme používat to a ne Node.js. Ryan to pak „napravil“ vydáním Deno, které má standardní knihovnu mnohem lepší. A startPad se nakonec dostalo i do standardu JavaScriptu, čímž se asi stal jedním z mála jazyků (vedle Pythonu), které to mají ve standardní knihovně.
Možná se to změní s AI, že pro jednořádkové funkce jako left-pad nebudeme stahovat náhodné knihovny z internetu, ale necháme si je náhodně vygenerovat AI…