Внимание всем, кто планирует сменить работу через год, Недавно я видел несколько постов в Threads, где кто-то на удаленном собеседовании клонировал репозиторий, не запустив его вручную и использовал IDE (VS Code / Cursor ..) для просмотра исходного кода, в результате чего приватные ключи на компьютере утекли. -- Дополню немного о принципе атаки, многие на самом деле заблуждаются. Современные IDE (VS Code, Cursor, WebStorm) уже давно не просто инструменты для «просмотра кода». Как только вы открываете репозиторий, IDE автоматически загружает конфигурационные файлы проекта с помощью Node.js, чтобы помочь вам с ESLint, Prettier, анализом типов TypeScript, обнаружением фреймов (Next.js / Vite / React). Такие файлы, как eslint.config.js, prettier.config.js, next.config.js, vite.config.js, выглядят как конфигурационные файлы, но по сути все они являются «выполняемым JavaScript». Злоумышленники прячут вредоносный код в этих конфигурационных файлах. Вы не запускаете npm run, не выполняете node index.js, но IDE уже выполнила это за вас. Как только код выполняется, он может делать много вещей от имени «пользователя», например, считывать приватные ключи, SSH-ключи, конфигурационные файлы на компьютере и отправлять данные наружу, весь процесс не вызывает никаких окон и не дает вам заметить. Поэтому возникает такая странная ситуация: Я просто клонировал репозиторий Я просто открыл IDE, чтобы посмотреть исходный код Но приватные ключи на компьютере пропали. Это не ваша ошибка, и не отсутствие осознания безопасности, а то, что современные инструменты фронтенда «автоматически выполняют код проекта». ...