Aggiornamento dell'analisi dell'invulnerabilità di Koa.js

Nov 26 2022
Non molto tempo fa, ho scritto di una vulnerabilità che ha colpito Koa.js nel 2018.

Non molto tempo fa, ho scritto di una vulnerabilità che ha colpito Koa.js nel 2018. Ero frustrato di dover affrontare un problema del 2018 mentre la data era il 2022 e stavo usando l'ultima versione di Koa. Sono passati 4 anni. È molto tempo. Sicuramente il problema non c'è più!? Ed era e non era allo stesso tempo. Ciò significa che avevo torto e ragione allo stesso tempo. Quindi, ecco un aggiornamento al post precedente per dirti come:

  • Ho ingiustamente accusato Sonatype e Dependency Track di non operare con le informazioni sulla versione in casi specifici
  • Posso avere ragione e torto allo stesso tempo su una vulnerabilità

L'indice OSS contiene informazioni sulla versione

Se hai letto il mio post precedente, probabilmente ricorderai che ho concluso che il problema non mi ha colpito. La buona notizia è che avevo ragione. La cattiva notizia è che ho accusato ingiustamente Sonatype di non avere i numeri di versione nei dati forniti da OSS Index per Dependency Track con cui lavorare. Si scopre che hanno le informazioni. Semplicemente non era visibile dove mi aspettavo che avrebbe dovuto essere visibile. Guarda lo screenshot qui sotto scattato il 22/11/2022.

Informazioni sulle versioni interessate mancanti

È molto probabile che Dependency Track (DT) non funzioni esattamente con ciò che viene visualizzato nella pagina sopra, ma non mi interessava controllare come fossero i dati DT recuperati dall'indice OSS. DT ha appena mostrato un collegamento a OSS Index, dove ho potuto saperne di più. Ho cliccato e sono arrivato su questa pagina.
Oggi Sonatype mi ha fatto notare che i numeri di versione sono disponibili; Devo cercare altrove. In effetti, se accedi al tuo account e cerchi Koa o fai clic sul pulsante "Vedi dettagli per koa" nello screenshot sopra, puoi trovarlo. Guarda lo screenshot qui sotto.

Koa per versione e contatore di vulnerabilità di base

Quindi mi sbagliavo. Sonatype ha le informazioni nel database. Il problema è con il livello di presentazione, quindi. Sarebbe meglio se avessero le versioni interessate elencate nella pagina in cui viene effettivamente discussa la vulnerabilità in modo che possiamo vedere e verificare se necessario.

Ho ingiustamente accusato Sonatype OSS Index di non avere le informazioni sulla versione. Ho anche accusato ingiustamente Dependency Track di essere disposto a segnalare esclusivamente in base al nome della dipendenza se le informazioni sulla versione non erano disponibili. (Devo ancora scoprire se quest'ultimo è vero o falso, non ho controllato.)

Non mollare ancora! Le cose più interessanti da discutere sono l'effettiva vulnerabilità e le (si spera) imminenti modifiche al rapporto di vulnerabilità in OSS Index. Partiamo dalla vulnerabilità.

Cross Site Scripting

Sonatype ha attribuito XSS a Koa sulla base del processo di pensiero sottostante.

Koa è l'entità che scrive l'URL della risposta HTML, non lo sviluppatore che utilizza Koa

È decisamente ragionevole aspettarsi che lo sviluppatore convalidi l'URL fornito, probabilmente rispetto a una lista consentita, per impedire un reindirizzamento aperto e non Koa poiché Koa non avrebbe idea di quali URL vorresti consentire o meno. Tuttavia, come sviluppatore, non penso che dovrei preoccuparmi di eseguire la sanificazione XSS per un URL che sto passando a un metodo redirect().

Koa sembra preoccuparsi di XSS in questo contesto poiché hanno già il codice lì per impedirlo, entità HTML che codifica l'URL quando lo scrivono nell'HTML

Sono d'accordo in una certa misura. Non sono d'accordo con quanto segue, per esempio.

Non penserei che dovrei preoccuparmi di eseguire la sanificazione XSS per un URL che sto passando a un metodo redirect ()

Se passi un URL valido e sicuro a un metodo di reindirizzamento fornito da te (lo sviluppatore), non devi preoccuparti di XSS (ovviamente). Se trasmetti in tutto o in parte dati forniti dall'utente, è qualcosa di cui devi sempre preoccuparti, che tu sia uno sviluppatore o un professionista della sicurezza. Tuttavia, non è inverosimile aspettarsi che Koa aiuti lo sviluppatore.

Lasciate che vi faccia un ottimo esempio che, si spera, aiuti a capire da dove vengo. Nell'esempio seguente, passo i dati forniti dall'utente al browser nel corpo della risposta. Lo faccio senza alcuna convalida, sanificazione o codifica.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.body = ctx.query.payload;
});

app.listen(4444);


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=<img%20src=x%20onerror=alert(1)> HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Content-Length: 28
< Date: Wed, 23 Nov 2022 10:59:17 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
<img src=x onerror=alert(1)>%

  • Pensa a cosa e come passo al browser nel corpo della risposta
  • Considera (e probabilmente è meglio controllare esplicitamente!) il valore dell'intestazione Content-Type per la risposta
  • Sappi che Koa, per impostazione predefinita, regola automaticamente il valore dell'intestazione Content-Type in base al valore passato a ctx.body. (Prova a passare, ad esempio aaa, e guarda come cambia)

Considerando l' ctx.bodyesempio "XSS" sopra, sembra che stessimo incolpando Koa per aver implementato misure specifiche per prevenire un disastro durante l'utilizzo di ctx.redirect(). Citando nuovamente Sonatype:

Koa sembra preoccuparsi di XSS in questo contesto poiché hanno già il codice lì.

Questo significa che se a Koa non interessasse XSS in questo contesto, allo stesso modo in cui non gliene importa (e non dovrebbe) occuparsene quando si tratta di ctx.body, nessuno l'avrebbe contrassegnata come una vulnerabilità XSS? È abbastanza divertente. Ho notato alcune somiglianze con la mia precedente analisi su Formidable documentata qui e qui .

Detto ciò che ho detto finora, sembra che ci sia un XSS... e non allo stesso tempo. Come è possibile? Semplice! È lì, ma non puoi sfruttarlo a meno che:

  1. La vittima usa un vecchio browser web, AND
  2. Esiste un reindirizzamento aperto implementato dallo sviluppatore utilizzando ctx.redirect()AND di Koa
  3. Lo sviluppatore si fida completamente di tutti i dati forniti dall'utente e li passa testualmente actx.redirect()

La pagina del rapporto Sonatype diceva, come puoi vedere dallo screenshot di oggi, "Reindirizzamento aperto che porta a Cross-Site Scripting". Il mio post precedente metteva in discussione la parte "reindirizzamento aperto":

Prima di tutto, non c'era alcun reindirizzamento aperto. È aperto solo se lo apri e la differenza tra i due PoC (l'originale e il mio) lo mostra chiaramente.

Sonatype concorda inoltre sul fatto che Koa non è responsabile della prevenzione dei reindirizzamenti aperti. La loro preoccupazione, la mia preoccupazione e la principale preoccupazione di tutti gli altri era l'XSS. Coinvolgere il reindirizzamento aperto creava solo confusione. Allo stesso tempo, tecnicamente non era irragionevole, come vedremo in seguito. (Influirà anche sul punteggio di vulnerabilità.)

Come accennato in precedenza, sfruttare con successo il comportamento di Koa richiede un reindirizzamento aperto. Ma:

  • Koa non è responsabile della prevenzione dei reindirizzamenti aperti (come concluso in precedenza)
  • Koa non verrà eseguito ctx.redirect()senza l'autorizzazione dello sviluppatore
  • Koa non obbliga gli sviluppatori a utilizzare i reindirizzamenti

Quindi, c'è un altro livello di protezione: i casi d'uso. Con quale probabilità uno sviluppatore non vorrebbe alcun controllo su dove viene reindirizzato un browser? Molto spiacevole. Ciò significa che, molto probabilmente, gli sviluppatori passeranno i dati controllati dall'utente in ctx.redirect()aggiunta a un altro pezzo di stringa. Quindi, è più probabile che accada qualcosa di simile agli esempi mostrati di seguito:

ctx.redirect(`http://website.example.org/search?q=${userInput}`);
ctx.redirect(`/search?topic=${userInput}`);

Punteggio di vulnerabilità

Devono essere soddisfatte tre (3) condizioni affinché il bug sia sfruttabile, come discusso alla fine della sezione precedente.

  • Quale versione di un browser viene utilizzata dipende dall'utente finale
  • L'uso del metodo di reindirizzamento e il modo in cui viene utilizzato spetta allo sviluppatore

Ciò che richiede anche enfasi è che l'uso del metodo di reindirizzamento in modo non sicuro è il vettore di attacco. Per sfruttare con successo è necessario un vettore di attacco. Koa non fornisce il vettore di attacco; lo sviluppatore lo fa.

Mettiamo in correlazione questo con la definizione di "Vulnerabilità del software" fornita dal NIST:

https://csrc.nist.gov/glossary/term/software_vulnerability

La parte che vorrei evidenziare è “potrebbe essere sfruttata”. Prendi Koa come una libreria software. Puoi sfruttarlo senza creare prima il vettore di attacco richiesto? No. Quindi, dal punto di vista di Koa, una libreria software, non viene presentato alcun vettore di attacco; senza di essa, lo sfruttamento è impossibile. Se interpretassimo la definizione rigorosamente (cosa che faccio), non potremmo definire il comportamento di Koa una vulnerabilità.
Proviamo a calcolare un punteggio CVSS senza un vettore di attacco:

Calcolo del punteggio CVSS senza vettore di attacco

Non c'è punteggio se non c'è un vettore di attacco. Direi che questo è coerente con la definizione di vulnerabilità del software fornita dal NIST.
Sperimentiamo e creiamo uno scenario immaginario in cui esiste un vettore di attacco.

Vettore di attacco immaginario

Ci sono ancora diversi problemi qui, oltre al vettore di attacco immaginario. La complessità dell'attacco è stata impostata su Alta perché uno sfruttamento riuscito richiede un vecchio browser. Un utente malintenzionato deve convincere le vittime a scaricare e installare un vecchio browser.
In tal senso, è richiesta l'interazione dell'utente, anche se le metriche di base dell'interazione dell'utente non riguardano realmente questo. In questo scenario, se lo sfruttamento dell'XSS richiede l'interazione dell'utente dipende da come l'applicazione Web ha utilizzato i reindirizzamenti e non da Koa. Vale anche la pena ricordare che il codice JavaScript inserito non veniva eseguito da solo poiché richiedeva l'interazione dell'utente in primo luogo: facendo clic sul collegamento nella risposta HTML.

Quindi cosa possiamo fare per forzare un punteggio di vulnerabilità su questo? Dobbiamo selezionare qualcosa. Un pio desiderio, assumendo il peggio, qualunque cosa tu preferisca. Una cosa è certa, stai facendo un calcolo che non dovresti fare in primo luogo, e il risultato è così lontano dalla realtà che non riesco nemmeno a trovare le parole per descriverlo.

La prossima grande novità sono le metriche di impatto. Devi sapere cosa sta per dire l'applicazione Web per raccontare l'impatto. Ma non stiamo calcolando un punteggio di vulnerabilità per un'applicazione Web... Dato il contesto, questo XSS non ha alcun impatto su Koa. Koa non gestisce né elabora informazioni riservate in proprio. Il bug non ha alcun impatto sulla disponibilità o sull'integrità. Questo ci lascia con il punteggio finale di 0.0, anche dopo aver forzato un vettore di attacco nel calcolo.

Quindi la domanda è: riportiamo fatti o finzione?

Sonatype ha portato alla mia attenzione la guida ufficiale per Scoring Vulnerabilities in Software Libraries , che è stata rilasciata nel 2019 con CVSSv3.1. Ammetto che non lo sapevo, il che è sia positivo che negativo. Bene perché sarebbe risultato in un post di sproloquio, male perché forse se l'avessi visto prima, avrei perso tutte le mie speranze prima di impegnarmi così tanto nel cercare di spiegare che non è il modo giusto per farlo. Allora, cosa dice la guida ufficiale?

Quando si assegna un punteggio all'impatto di una vulnerabilità in una libreria... L'analista dovrebbe valutare lo scenario di implementazione ragionevole nel caso peggiore. Quando possibile, le informazioni CVSS dovrebbero dettagliare queste ipotesi.

Quindi la risposta è che il punteggio di vulnerabilità è basato sulla finzione.

Inoltre, qual è uno " scenario di implementazione ragionevole nel caso peggiore"? Se analizzassimo molti progetti che utilizzavano Koa e scoprissimo che la maggior parte degli sviluppatori ha implementato reindirizzamenti aperti utilizzando il ctx.redirect()metodo di Koa, potrebbe essere ragionevole presumere il peggio. Ho fatto una rapida ricerca del codice nei progetti JavaScript per ctx.redirect(su GitHub. Ho ottenuto 16.827 risultati di codice. Cercando context.redirect(ho ricevuto 15.751 risultati di codice. Sarebbero 32.578 risultati di codice da analizzare. Alcuni di questi useranno Koa, alcuni Express e alcuni potrebbero essere qualcos'altro. (Naturalmente, il contesto potrebbe essere chiamato con qualsiasi nome, non solo ctxo context, quindi potrebbe esserci ancora più codice da esaminare.)

La domanda è: il passaggio dei dati forniti dall'utente senza cervello per il reindirizzamento è così comune? Ho adottato un approccio semi-automatico all'analisi scrivendo un piccolo script per controllare tutti i progetti che corrispondevano ai criteri di ricerca. Sfortunatamente, non sono riuscito a superare i primi 1.000 accessi poiché GitHub ha rifiutato ulteriori richieste:

{
    "message":"Only the first 1000 search results are available",
    "documentation_url":"https://docs.github.com/v3/search/"
}

Sulla base di ciò che ho visto e considerando quanto discusso nella sezione successiva ("Il vecchio browser Web"), non credo che l'ipotesi di un'implementazione nel caso peggiore sarebbe ragionevole. Non in questo caso specifico.

La guida ufficiale dice anche che:

Quando si assegna un punteggio a una vulnerabilità in una determinata implementazione utilizzando la libreria interessata, il punteggio deve essere ricalcolato per quella specifica implementazione.

Ciò è ragionevole e mitiga in una certa misura l'aspetto fantascientifico della situazione. È così che questo problema di Koa, con un punteggio di vulnerabilità di 9,8, è finito per essere 0,0 nel nostro caso.

La cosa buona è che Sonatype ha convenuto che il punteggio di vulnerabilità 9.8 era irragionevole e sono disposti a ridurlo. Lo apprezzo, e probabilmente lo faranno anche molti altri.

Inoltre, Sonatype mi ha detto che quando ha aggiunto il problema al proprio sistema, ha creduto che sarebbe stato meglio se i suoi clienti fossero stati informati di questa situazione potenzialmente inaspettata. Hanno detto: "era meglio allertare piuttosto che ignorare ciò che abbiamo visto e potenzialmente avere un esito negativo". E, naturalmente, avevano ragione.

Non ho mai messo in dubbio se i problemi di sicurezza debbano essere comunicati o meno. Sì, i problemi di sicurezza devono essere resi visibili. Quello che mi preoccupa è come vengono comunicati questi problemi:

  • È appropriato chiamare qualcosa una vulnerabilità o più appropriato chiamarlo una debolezza della sicurezza o un comportamento predefinito insicuro e così via?
  • Il punteggio di vulnerabilità assegnato è ragionevole?
  • Vengono forniti dettagli e contesto sufficienti?

Ora parliamo un po' dei vecchi browser web.

Il vecchio browser web

Senza le brave persone di Sonatype, non avrei pensato ai vecchi browser web, probabilmente mai più.

Continuerò a non considerare i vecchi browser anche in futuro. Prima di tutto, ci sono troppe cose da tenere a mente; Non posso preoccuparmi dei vecchi browser web. Secondo, quanti anni ha ( non cliccare sul link se non hai il senso dell'umorismo! ) un vecchio browser web? Cosa significa veramente "vecchio"? Se qualcuno utilizza solo un browser vecchio di circa 1 anno, è molto probabile che abbia già problemi molto più grandi di XSS.

Comunque, ho fatto qualche ricerca e ho scoperto che:

  • Google Chrome 48.0.2564.109 (64 bit) del 2016 (!) non mostrava nemmeno il corpo della risposta. Poiché il problema di Koa è stato riscontrato nel 2018, ho pensato che tornare indietro fino al 2016 sarebbe stato sufficiente, ma si è scoperto che non lo era.
  • Firefox 4.0 del 2011 mostrava il corpo della risposta, ma richiedeva agli utenti di fare clic sul collegamento per eseguire il payload JavaScript. (Certo, è un link!)
  • Firefox 52.0 del 2017, 1 anno prima della segnalazione del problema Koa XSS, non mostrava già il corpo della risposta con il payload JavaScript. Firefox ha appena generato un errore che diceva "Errore di contenuto danneggiato" a causa di una "violazione del protocollo di rete".

Koa 0.0.1 è stato rilasciato nel 2013, quindi ci sono stati alcuni anni in cui il problema avrebbe potuto essere sfruttato. A partire da questo, sarebbe probabilmente accettabile segnalare questo problema (ancora non con un punteggio di 9.8) fino a Koa 2.5.0 nel 2018. Dopodiché, tuttavia, nulla giustifica qualcosa al di sopra di 1.0.

Mentre stavo scavando, ho trovato qualcosa di interessante su Wikipedia . Permettetemi di citare:

Firefox 15 è stato rilasciato il 28 agosto 2012 … Firefox 15 ha introdotto aggiornamenti silenziosi, un aggiornamento automatico che aggiornerà Firefox all'ultima versione senza avvisare l'utente, [65] una funzionalità che hanno i browser Web Google Chrome e Internet Explorer 8 e versioni successive già implementato

Quindi tutti i principali browser Web avevano una funzione di aggiornamento automatico prima del rilascio della prima versione di Koa, il che significa che è probabile che la maggior parte degli utenti utilizzasse un browser Web aggiornato. Vediamo lo stato al tempo del “big bang”: 2013.

  • Firefox 15 : ha restituito un errore che diceva "Errore di contenuto danneggiato", il che significa che il corpo della risposta non è stato visualizzato all'utente.
  • Chrome 24.0.1312 (WebKit 537.17) : non mostrava alcun corpo della risposta. Mentre guardavo la scheda di rete degli strumenti di sviluppo, non c'era quasi nulla di visibile, quindi ho dovuto eseguire Wireshark per vedere se il browser ha eseguito la richiesta in primo luogo. In Wireshark, era visibile che Chrome ha contattato il mio servizio PoC e ha ricevuto la risposta con il payload JavaScript. Non ha reso il corpo della risposta. Ancora meglio, non è successo niente.
  • Internet Explorer 11 (11.0.9600.19180) : ha recuperato la risposta dal mio servizio PoC, che ho verificato utilizzando Wireshark. Non ha mostrato il corpo della risposta all'utente. È tornato con la classica pagina di errore incorporata che dice "Questa pagina non può essere visualizzata".

Dopo aver svolto la ricerca di cui sopra, torniamo per un secondo a una citazione di Sonatype:

Koa sembra preoccuparsi di XSS in questo contesto poiché hanno già il codice lì per impedirlo, entità HTML che codifica l'URL quando lo scrivono nell'HTML

Sebbene questa affermazione sia corretta, il fatto che nessuno dei principali browser consentisse lo sfruttamento al momento del rilascio della prima versione di Koa, quanto citato suggerisce qualcosa di interessante, qualcosa di diverso da ciò che la frase vorrebbe suggerire. Si prega di notare che sto per scrivere speculazioni in quanto non posso sapere con precisione come stavano pensando gli sviluppatori di Koa. Posso facilmente immaginare che gli sviluppatori abbiano testato il comportamento in questione utilizzando un browser Web aggiornato. Potrebbero aver scoperto che la codifica HTML era adatta perché era già impossibile ottenere il codice JavaScript iniettato eseguito dalla hrefproprietà delaetichetta. Ciò solleva una domanda seria. Avendo trascorso gli ultimi cinque anni in più sul lato dello sviluppo software, vale anche per me: come sviluppatore, se sto per creare una nuova tecnologia web per il lato back-end, dovrei preoccuparmi dei vecchi browser web? E se dovessi, qual è la raccomandazione ufficiale della comunità della sicurezza in merito a quanto indietro nel tempo devo considerare i vecchi browser web? Non dovremmo considerare che la migliore pratica di sicurezza per gli utenti finali è mantenere aggiornati i loro browser e anche la funzione di aggiornamento automatico è lì per aiutare in questo? Inoltre, se ci aspettiamo che gli sviluppatori tengano a mente e testino con i vecchi browser, non possiamo aspettarci che i professionisti della sicurezza facciano lo stesso e nominino tutti i browser web e le loro versioni che contribuiscono a un problema specifico invece di riferirsi semplicemente a "vecchi browser ”? Sarebbe giusto.

Una cosa è certa, non c'è nulla di cui preoccuparsi da anni ormai...

Il navigatore moderno

Nella mia analisi, utilizzando il mio browser web, ho controllato il corpo della risposta e l'ho trovato vuoto. Non ho verificato se la risposta inviata via filo avesse un corpo. Si scopre che è stato solo Google Chrome a ignorare completamente il corpo della risposta; pertanto, non ha mostrato. Era abbastanza buono per me. Ragionevolmente, devo aggiungere.

Da allora, ho esaminato la risposta del mio servizio Web di prova utilizzando l'ultima versione di Koa. Di seguito possiamo vedere che c'era un corpo di risposta HTML con il codice JavaScript inserito:

*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=javascript:alert(1); HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: javascript:alert(1);
< Content-Type: text/html; charset=utf-8
< Content-Length: 71
< Date: Tue, 22 Nov 2022 17:55:12 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="javascript:alert(1);">javascript:alert(1);</a>.


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=%22><%2f HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: %22%3E%3C/
< Content-Type: text/html; charset=utf-8
< Content-Length: 61
< Date: Tue, 22 Nov 2022 22:18:49 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="&quot;&gt;&lt;/">&quot;&gt;&lt;/</a>.

Prossime modifiche

Di seguito è riportato l'elenco degli aggiornamenti che Sonatype intende implementare in merito a questo problema:

  • Aggiornamento della riga Riepilogo/Titolo per eliminare fraintendimenti (già avvenuto)
  • Ridurre il punteggio di vulnerabilità a 4,7 (già avvenuto)
  • Ricorda che la vulnerabilità può essere sfruttata solo se un utente utilizza un browser precedente

Ulteriori modifiche che vorrei vedere

Oltre alle modifiche menzionate nella sezione precedente, alcune cose potrebbero essere ulteriormente migliorate. Questi sono:

  • Riducendo ulteriormente il punteggio di vulnerabilità, in particolare per le versioni Koa rilasciate dopo il 2018.
  • Includendo il numero di versione almeno dei principali browser Web e le relative date di rilascio inclusi nel rapporto quando si fa riferimento ai "browser meno recenti". Ciò aiuterebbe in modo significativo chiunque quando "si valuta una vulnerabilità in una data implementazione utilizzando la libreria interessata". Ad esempio, se vedessi che un utente doveva utilizzare un browser dal 2011, entro un secondo avrei contrassegnato il problema come "non interessato" in SCA. È un sacco di tempo risparmiato.
  • Le versioni di Koa interessate devono essere elencate nella pagina della vulnerabilità .

A proposito, Sonatype ha anche affermato di avere alcuni controlli interessanti nella loro offerta commerciale che, ad esempio, eseguono controlli effettivi a livello di codice per vedere se un'applicazione è stata interessata dalle vulnerabilità segnalate. Sembra chiaro, e data la natura fantascientifica di come vengono calcolati i punteggi di vulnerabilità per le biblioteche, questo tipo di controlli è un must per ridurre il carico sui team di ingegneri, specialmente se le cose continuano così.

Conclusione

Sono praticamente tutti gli aggiornamenti che ho. Sono contento di aver contattato Sonatype perché sono molto professionali e amichevoli. È stato un piacere lavorare con loro su questo.

Per quanto riguarda l'XSS in Koa: è qualcosa di cui nessuno di noi dovrebbe preoccuparsi da diversi anni.

Strutture dati in JavaScript
Strutture dati in JavaScript
Che cos'è un elenco collegato, comunque? [Parte 1]
Che cos'è un elenco collegato, comunque? [Parte 1]
Quindi, parlami degli elenchi collegati
Quindi, parlami degli elenchi collegati
Quando tutto il resto fallisce, diventa creativo
Quando tutto il resto fallisce, diventa creativo
La mia astronave alla fine del mondo
La mia astronave alla fine del mondo
Lasagne di zucca e cavolo nero
Lasagne di zucca e cavolo nero
Senza paura di fallire, Walker Buehler riesce di nuovo con calma a NLCS Game 6
Senza paura di fallire, Walker Buehler riesce di nuovo con calma a NLCS Game 6
Bene con Kell: amico, pulisci il tuo intestino!
Bene con Kell: amico, pulisci il tuo intestino!
Il mio vicino di casa
Il mio vicino di casa
Brillante
Brillante
Creatività come bussola
Creatività come bussola
L'effetto della paura e del dolore sulla creatività
L'effetto della paura e del dolore sulla creatività
L'effetto della solitudine sulla creatività
L'effetto della solitudine sulla creatività
Ma cosa succede se non ho un posto dove tornare?
Ma cosa succede se non ho un posto dove tornare?
Il dolore invisibile
Il dolore invisibile
Finalmente ho smesso di fumare
Finalmente ho smesso di fumare
Non mi sento più in colpa per non essere produttivo
Non mi sento più in colpa per non essere produttivo
L'America è sempre stata una landa desolata e solitaria
L'America è sempre stata una landa desolata e solitaria
Una breve rassegna di due scene di "Borat 2"
Una breve rassegna di due scene di "Borat 2"
Il tuo bambino transgender ha bisogno di un terapista, e anche tu
Il tuo bambino transgender ha bisogno di un terapista, e anche tu
Lezioni di vita per gentile concessione di My Transgender Son
Lezioni di vita per gentile concessione di My Transgender Son
Mi rifiuto di lasciare che la preoccupazione abbia tutto il potere
Mi rifiuto di lasciare che la preoccupazione abbia tutto il potere
Maschere irritanti, moda e paure COVID-19
Maschere irritanti, moda e paure COVID-19
Samsung Galaxy Note 20 Ultra: telefono giusto, momento sbagliato
Samsung Galaxy Note 20 Ultra: telefono giusto, momento sbagliato
Petula Clark ha detto che "Downtown" ha rivelato una canzone disperata
Taylor Sheridan ha appena aggiunto 1 delle sue star preferite di "Yellowstone" al cast di "Lawmen: Bass Reeves"
Nicole Kidman ha adorato questo film interessante che Michael Keaton e Val Kilmer hanno condiviso nei panni di Batman
Prince ha lavorato su una canzone di Stevie Nicks per un'ora e ha guadagnato metà dei diritti d'autore 
Judy Norton di "The Waltons" si è resa conto che a volte era "una mocciosa" durante le riprese dello spettacolo
La canzone dei primi Beatles che è stata una delle "esibizioni più entusiasmanti" della band, secondo un membro dei Fab Four
David Bowie ha quasi scritto un musical composto da false canzoni di Bob Dylan
Il manager dei Led Zeppelin, Peter Grant, ha visto una band finta vincere un Grammy prima che lo facessero gli Zep
Paul McCartney disse che "When I'm Sixty-Four" dei Beatles era uno scherzo
Quentin Tarantino una volta ha condiviso il personaggio più interessante che abbia mai scritto in "Pulp Fiction"
"Non dormire nella metropolitana" sconcertava Petula Clark
Stevie Nicks si è "aggrappata" a una canzone di Joni Mitchell quando sentiva che la sua carriera musicale stava fallendo
Donovan ha paragonato una delle sue canzoni a "Lucy in the Sky with Diamonds" dei Beatles
La canzone di Paul Simon che ha perfettamente parodiato Bob Dylan 
Jana Duggar: tutto ciò che ha detto sull'amore e sulla sua finestra di 5 anni per trovare "l'unico"
MIA una volta ha attaccato "Give Peace a Chance" di John Lennon
I consigli di Jimmy Page per i giovani musicisti provengono direttamente dal manuale degli oratori motivazionali
Gene Simmons afferma che i fumetti dei KISS potrebbero potenzialmente “ricreare l'umanità
'Boy Meets World': perché il signor Turner è scomparso dalla serie?
Paul McCartney ha detto che un 'Sgt. La canzone di Pepper non parla di eroina
"My Way" di Frank Sinatra non era così grande come il suo "Old MacDonald"
La canzone dei Beatles che Peter Asher ha definito la "più grande canzone che abbia mai sentito"
Paul McCartney ha immaginato come sua madre avrebbe reagito al suo successo
Billy Crystal e Robin Williams hanno improvvisato il loro intero cameo di "Friends".
Christopher Nolan una volta si è pentito di aver letto la sceneggiatura di Pulp Fiction di Quentin Tarantino
"Il curioso caso di Natalia Grace": dove sono oggi Nataila, Kristine e Michael Barnett?
Paul McCartney era così stressato per l'unico spettacolo cancellato dei Beatles che ha vomitato
John Lennon ha condiviso perché "The Tonight Show" è stato lo spettacolo "più imbarazzante" in cui fosse mai stato
Come è morto John Ritter: ripensando alla morte dell'attore di "Three's Company"
Ringo Starr si rifiuta di suonare con una traccia di clic e questo lo rende un batterista migliore
John Lennon ha detto 1 frase in "Revolution" dei Beatles commentata Police
La carriera di attore di Bradley Cooper era in pericolo quando ha lavorato con Julia Roberts in questo progetto
Mick Jagger ha detto che "Their Satanic Majesties Request" dei Rolling Stones è stata ispirata dagli acidi, non dai Beatles
Winona Ryder una volta ha condiviso che tutti i suoi personaggi sono stati scritti come la "ragazza brutta" all'inizio della sua carriera
John Lennon ha detto che questa canzone dei B-52 suonava "proprio come la musica di Yoko"
Sam Heughan sa esattamente cosa prenderà dal set di 'Outlander': 'Mi sento come se fossi Jamie quando li indosso'
Paul McCartney: La sofferenza ha reso buona 1 canzone dal "White Album" dei Beatles
Brad Pitt e Harrison Ford hanno dovuto inventare "The Devil's Own" al volo quando la "copione è stata buttata via"
Rolling Stones: Keith Richards è stato incazzato da 1 gruppo di fan della musica che hanno criticato la band
Uno sguardo al ruolo di Buddy Ebsen in "The Andy Griffith Show"
Paul McCartney ha detto di essere stato "fortunato" a non aver mai usato eroina 
Perché Paul McCartney è stato "protetto" dal dire la verità sui Beatles
Come Melissa Gilbert ha salvato un uccellino intrappolandolo sotto la sua camicia da notte
Il momento migliore per visitare la location delle riprese di "La casa nella prateria".
George Harrison si è arrabbiato: i suoi testi per "Hurdy Gurdy Man" di Donovan non sono stati usati
Come Paul McCartney ha reagito al titolo di "Lucy in the Sky with Diamonds" dei Beatles
Dolly Parton ha trovato Dio in una chiesa abbandonata Adolescenti locali usati per il sesso
Dolly Parton ha aiutato sua nonna "invalida" quando nessuno degli altri nipoti l'avrebbe fatto: le faceva anche uno scherzo
Insect Hotels lancia il tappetino di benvenuto per insetti di ogni tipo
Chief Plenty Coups: leader visionario e difensore della nazione dei corvi
Dona i tuoi capelli per aiutare a mantenere la nostra acqua pulita
I pappagallini sono super socievoli e sono ottimi animali domestici
I calcoli renali sono strazianti, ma la fonte del dolore è sorprendente
Martha Mitchell: La donna che sapeva troppo del Watergate
The Secrets of Airline Travel Quiz
Perché gli Stati Uniti non hanno un sistema di dichiarazione delle tasse "senza restituzione"?
Hai bisogno di avere un atteggiamento positivo per sconfiggere il cancro?
Un piccolo gruppo di samaritani pratica ancora la loro antica religione
Quanto è lontana la Russia dall'Alaska?
Chi era Ponzio Pilato, prima e dopo la crocifissione di Gesù?
Le centrali elettriche virtuali potrebbero aiutare a stabilizzare la rete energetica degli Stati Uniti?
La montagna più alta del sistema solare è molto più alta dell'Everest
La falena Atlas è una falena Behe, più altri 5 fatti
Pensiero oggettivo vs. soggettivo e applicazioni
Solo 50 persone vivono sull'isola di Pitcairn, uno dei luoghi più remoti della Terra
$ 1.500 oggi acquista uno Yellowstone Pass per il 2172
Come sbarazzarsi delle mosche di drenaggio
Hagfish: questa macchina per melma simile a un'anguilla è l'incubo di un predatore
Mangeresti Casu Marzu, il formaggio illegale con i vermi?
Cos'è l'umidità e come influisce sulla temperatura?
Qual è il pompelmo più dolce: bianco, rosso o rosa?
La mantide orchidea sembra un fiore, "punge" come un'ape
Perché le grandi aziende come Tesla e Amazon stanno dividendo le azioni
Perché gli Stati Uniti non hanno sempre sostenuto la Corte penale internazionale
Grandi Fughe! 5 animali selvatici che sono scappati e sono scappati
Come ripristinare le impostazioni di fabbrica del tuo iPhone
Che cos'è una pillola velenosa e Twitter terrà a bada Elon Musk?
L'ispiratrice e tragica storia di Sophie Scholl, la studentessa che sfidò Hitler
Che cos'è il genocidio e la Russia lo sta commettendo in Ucraina?
I rifugiati ucraini potrebbero non tornare mai più a casa, anche dopo la fine della guerra
La Biennale di Venezia è l'"Olimpiade dell'Arte"
Da dove viene la frase "On the Lam"?
Qual è la differenza tra i lieviti secchi istantanei e attivi?
Dovresti usare Facebook o Google per accedere ad altri siti?
5 citazioni eloquenti e durature di Maya Angelou
Perché Sriracha è la salsa piccante preferita da tutti
Forse puoi essere troppo magro? Incontra il grattacielo più magro del mondo
Che cos'è la macchia e può purificare uno spazio di energia negativa?
Qual è la differenza tra una democrazia e una repubblica?
Elon Musk possiede Twitter. Che cosa potrebbe andare storto?
Ketanji Brown Jackson confermato giudice della Corte Suprema
Where in the World Are You? Take our GeoGuesser Quiz
Il tempo potrebbe non esistere, dicono alcuni fisici e filosofi
La cottura a induzione è migliore di quella a gas o elettrica?
Uno sguardo ai matrimoni più memorabili della Casa Bianca
Pripyat: la città fantasma ucraina all'ombra di Chernobyl
Il famoso rapper di YouTube e il famoso mago di TikTok entrano in una partita di abbaio virale
L'avventura di Tiana nel Bayou rompe 87 anni di una strana canonizzazione delle principesse Disney
La Corte Suprema esaminerà le argomentazioni sulla possibilità che la legge del Texas possa determinare le tue abitudini pornografiche
Alcuni fan di Mortal Kombat temono che l'ultimo gioco sia già morto, ma potrebbe essere più complicato
La moglie di Zelenskyj non ha effettivamente acquistato una Bugatti Tourbillon nonostante le affermazioni della propaganda russa
L'isteria da lockdown alimentata dalla motosega di Cate Blanchett l'ha portata a Borderlands
BMW non vuole che le auto bruciate nel bisarca vengano messe in vendita
Vuoi una Corvette ma vorresti che fosse orribile? Ragazzo, abbiamo preso la macchina per te
Ora puoi possedere il bikini più iconico della fantascienza
Ridley Scott "non era felice" quando furono distribuiti i sequel di Alien e Blade Runner
Cattive notizie per Fani Willis e il suo caso di interferenza elettorale di Trump
Ricordi quando una compagnia aerea olandese mise 440 scoiattoli in un trituratore gigante?
Riuscirà Simone Biles a preparare SZA per le Olimpiadi?
Il riepilogo di Bear: Marcus è l'uomo più gentile, tenero e sincero di Chicago?
Eddie Murphy sta coprendo tutto nel suo tour stampa di Beverly Hills Cop: Axel F
L'autista riesce a ribaltare il Cybertruck di Tesla, senza bisogno della guida autonoma
La McLaren non riesce a smettere di licenziare i piloti della IndyCar, anzi, lo adora
Ecco perché Eddie Murphy è stato "costretto" a cambiare la sua famosa risata
A $ 9.800, li metteresti dentro in questa Toyota RAV4 del 2008 a sette posti?
Il mio Elden Ring: Evocazioni giocatore di Shadow Of The Erdtree, classificate
Guarda Motorweek testare la sterlina, una versione britannica dimenticata della leggenda dell'Acura
Papa Francesco approva il primo santo millenario
Impedisci al tuo gatto di graffiare i mobili con queste strategie supportate dalla scienza
Due bambini palestinesi sono "traumatizzati" dopo che una donna ha tentato di annegarli
Biden ribatte alla sentenza della Corte Suprema sull'immunità di Trump e sottolinea il pericolo di un potere incontrollato
La Corte Suprema stabilisce che Trump ha l'immunità per qualsiasi crimine commesso tra i 9 e i 5 anni
Un uomo della Louisiana ha inviato un avvertimento agghiacciante in vista dell'ondata di criminalità
Fatevi un favore e andate a vedere il miglior evento di speedrunning dell'anno
Boeing vorrebbe che tutti smettessero di dire che il test sulla ISS dello Starliner è un fallimento
Il furgone delle consegne di Amazon prende fuoco in un'esplosione di fuoco durante la calura estiva di Houston
Land Rover Defender Octa è una bestia da 626 CV in arrivo per i Raptors of the World
La nipote di Luther Vandross ha qualcosa da dire sulla sua straziante intervista post-ictus con Oprah Winfrey
Il direttore di Twister non ha ricevuto l'allarme tornado sui Twister
Una spaventosa turbolenza fa volare un uomo nel cestino sospeso in un video virale
Xbox subisce un'interruzione grave [Aggiornamento: funziona di nuovo]
MaXXXine è una polposa storia hollywoodiana che sembra troppo docile
Il destino di Young Thug nel processo YSL Rico richiederà più tempo del previsto
Chiedo ai giocatori di Final Fantasy 14 di leggere semplicemente il dialogo in Dawntrail
Non va bene: l’uragano Beryl è la prima tempesta di categoria 5 nella storia
RIP Robert Towne, sceneggiatore premio Oscar di Chinatown
Cate Blanchett spiega perché è nel film Borderlands
Beverly Hills Cop: recensione di Axel F: Eddie Murphy se la prende con calma nel semplice ritorno al passato di Netflix
Ho trascorso un fine settimana con la riproduzione remota e il cloud gaming ed è stato davvero fantastico
Lo spettacolo Black Panther della Marvel sarà lo spettacolo animato più cruciale di sempre
Una delle tante idee rifiutate da Ryan Reynolds per Deadpool 3 era un viaggio indie
AI per riesumare le voci di celebrità morte per leggerti PDF o altro
Deadpool e Wolverine sbloccheranno finalmente i film degli X-Men della Marvel
La Lionsgate si concede un anno di tempo per cambiare il titolo di Now You See Me 3 in Now You Three Me
Charly Reynolds rivela un recente intervento chirurgico alle corde vocali: "Avevo problemi a cantare"
Gli acquirenti di Amazon affermano di dormire "come un bambino coccolato" grazie a queste federe di seta che costano solo $ 10
Paul McCartney sull'essere "romantico" con la moglie Nancy Shevell: "Ho completamente esagerato a San Valentino"
Matthew McConaughey rivela che un indovino gli ha detto di recitare in "Come perdere un ragazzo in 10 giorni"
Gwyneth Paltrow rivela l'abito da sera che ha tenuto dalla sua relazione con Brad Pitt 
Animal Rescue mette in guardia "Non tingere mai un uccello" dopo che il piccione rosa "lotta" è stato trovato a vagare per New York
Melissa Gorga non è sicura se risolverà la faida con Teresa Giudice: "Quanto tossico puoi lasciare che qualcosa diventi?"
Heather Rae e Tarek El Moussa danno il benvenuto al loro bambino: "I nostri cuori sono così felici"
La storia degli appuntamenti di Drake: da Rihanna a Jennifer Lopez
Chloe Cherry di "Euphoria" è accusata di furto per presunto furto di camicetta da $ 28
La tenuta di Kirstie Alley elenca la casa in Florida da 6 milioni di dollari della defunta star che ha acquistato da Lisa Marie Presley
Muni Long dice che non ha ancora "processato" guadagnando 3 nomination ai Grammy: "Tutto sta andando così veloce"
Margaret Josephs difende la scelta "devastante" di Melissa e Joe Gorga di saltare il matrimonio di Teresa Giudice
Cronologia della relazione tra Garth Brooks e Trisha Yearwood
L'asciugacapelli leggero "molto silenzioso" che gli acquirenti dicono di dare loro una "finitura da salone" costa solo $ 20 su Amazon
Corpi ritenuti appartenere a rapper scomparsi da quando è stato trovato un concerto annullato: "Non se lo meritavano"
Tom Girardi partecipa all'udienza per determinare la sua competenza a sostenere un processo per accuse di frode
Dwayne Johnson afferma che sua madre sta "bene" dopo un incidente automobilistico notturno, "continuerà a essere valutata"
Eric e Jessie James Decker si baciano sempre addosso e ai bambini non piace
Cronologia delle relazioni tra Suzanne Somers e Alan Hamel
Tutto sulla relazione di Zoë Kravitz con i genitori Lenny Kravitz e Lisa Bonet
Danielle Moné Truitt di 'Law & Order' pensa che i fan siano stati 'ingannati; Di Stabler e Benson Kiss Tease
Professore della Purdue University arrestato per presunto spaccio di metanfetamine e proposta di favori sessuali a donne
Donna morta 37 anni fa dopo essere stata trovata priva di sensi sull'autostrada Ga. Identificata come mamma scomparsa di 4 figli
La cantante di "Flashdance" Irene Cara è morta di ipertensione, colesterolo alto: rapporto
Chi è la moglie di Vince Vaughn? Tutto su Kyla Weber
Bob Barker, presentatore di lunga data di "The Price Is Right", morto a 99 anni: "Il più grande MC del mondo"
Il pattinaggio di figura statunitense "frustrato" per la mancanza di una decisione finale nell'evento a squadre, chiede una decisione equa
Yasmin Vossoughian di MSNBC afferma che il medico ha liquidato i suoi dolori al petto come reflusso, quindi è iniziato il suo "incubo"
Donna trovata viva e "senza fiato" in un sacco per cadaveri all'impresa di pompe funebri dell'Iowa
Susan Lucci ricorda in lacrime il defunto marito mentre ammette di non essere ancora pronta per iniziare a frequentarsi
Whoopi Goldberg mostra a Kit Harington la sua toilette ispirata a "Game of Thrones": "Un vero trono di ferro"
Trevor Noah afferma che "Break My Soul" di Beyoncé è stata la "colonna sonora della mia vita" mentre lasciava il "Daily Show"
Lizzo ha concesso il marchio per "100% QUELLA cagna" in caso di annullamento dopo che la domanda è stata respinta
TJ Watt vuole vedere Tom Brady e il fratello JJ entrare insieme nella Hall of Fame della NFL
Ragazza scomparsa, 17 anni, probabilmente morta congelata dopo aver guidato in un fosso nel Wisconsin rurale: funzionari
Bengals Running Back Joe Mixon ricercato con mandato di arresto emesso per presunta arma da fuoco puntata contro una donna
Chi è la ragazza di Dev Patel? Tutto su Tilda Cobham-Hervey
Chi è il marito di Lisa Vanderpump? Tutto su Ken Todd
Ci sono oltre 2.500 stili per il freddo che si nascondono in questa sezione di vendita segreta su Nordstrom Rack - A partire da $ 6
Jimmy Buffett, cantante di "Margaritaville", morto a 76 anni
La famiglia di Yara Shahidi: tutto sui genitori e fratelli dell'attrice
L'olimpionica Jasmine Camacho-Quinn festeggia che suo fratello Robert Quinn è diretto al Super Bowl
Clare Crawley indossa un abito da sposa sostitutivo "da sogno" dopo che il suo primo abito è stato rubato - Guarda il suo look!
La Marvel sta effettivamente pubblicando una memoria immaginaria di Scott Lang da "Ant-Man and the Wasp: Quantumania"
La figlia di Kevin Jonas, Alena, sembra cresciuta nella foto del compleanno: "9 anni non sembrano reali"
Molly Ringwald festeggia il 22° anniversario con il marito Panio Gianopoulos: "La migliore decisione che abbia mai preso"
Chelsea Houska di "Teen Mom" ​​condivide una reazione in lacrime al rinnovo della seconda stagione dello show di HGTV: "Significa così tanto"
Sto passando da femmina a maschio. Quale dovrebbe essere il mio nuovo nome?
Sono una studentessa universitaria di 21 anni. Cosa posso fare ora che cambierà la mia vita per sempre?
Ho appena compiuto 17 anni, cosa faccio ora per garantirmi la vita migliore?
La pubertà avviene per fasi? Può fermarsi e poi ricominciare?
Cosa dovrebbe succedere se non attraversi mai la pubertà?
Quali sono i pro ei contro della pubertà?
Quali farmaci possono cambiare un maschio in una femmina senza intervento chirurgico?
Durante il passaggio di genere da maschio a femmina, come ci si sente a crescere il seno?
Tutti attraversano la pubertà?
Va bene che ho 13 anni ma sono ancora un ragazzino nel cuore?
Come faccio a vivere la vita al meglio a 19 anni?
Secondo te, qual è il passaggio di genere più difficile, da femmina a maschio (FtM) o da maschio a femmina (MtF)?
Ho 23 anni. Cosa posso fare ora che cambierà la mia vita per sempre?
Ho 19 anni e sono figlio unico. Mi deprimo e mi preoccupo per qualcosa che accade ai miei genitori perché sono tutto ciò che ho. Non ho amici e non ho potuto farne nessuno con la pandemia. Ho paura di essere solo, cosa posso fare per aiutare me stesso?
Quali sono gli effetti negativi della pubertà (salute mentale, ecc.)?
Lo spironolattone è dannoso per la terapia ormonale sostitutiva?
Qual è la cosa più importante che un adolescente di 14 anni dovrebbe tenere a mente?
Perché non ho mai visto una persona transgender da femmina a maschio?
Sono una ragazza di 14 anni che si annoia facilmente dei suoi hobby. Come trovo la mia passione e il mio talento?
Vale la pena la chirurgia del fondo per una transizione da maschio a femmina?
Cosa può fare un quattordicenne per rendere la propria vita migliore/più facile?
18 anni è una buona età per iniziare il passaggio a MTF?
Quali cambiamenti si verificheranno se vai in terapia ormonale sostitutiva alle 13?
Domani compio 16 anni. Che consiglio specifico puoi dare a un ragazzo di 16 anni?
Ho 17 anni e ho intenzione di andare in terapia ormonale sostitutiva quando mi laureerò quest'anno a 18 anni. Fino ad allora cosa potevo fare per sentirmi più femminile?
Sono un tredicenne depresso e voglio vedere un dottore per questo, ma ho paura di farlo e che i miei genitori lo spazzeranno via solo come i miei ormoni e cose del genere. Cosa dovrei fare?
Ho 14 anni che consiglio vorresti darmi che sarà utile per il resto della mia vita?
Qual è il modo migliore per passare naturalmente da maschio a femmina?
Ho 17 anni, cosa devo fare per acquisire maggiori conoscenze?
Ho 30 anni. Cosa posso fare ora che cambierà la mia vita per sempre?
La terapia ormonale sostitutiva è consigliata per gli adolescenti transgender?
Se voglio scoprire per iniziare un trattamento per il cambio di genere, che tipo di medico devo visitare?
Come posso cambiare la mia vita a 17 anni?
Oggi ho 19 anni. Qual è la cosa più importante che dovrei imparare?
Sono ancora transgender (FTM) se ho iniziato a mostrare segni solo quando ho raggiunto la pubertà?
Compio 17 anni tra un mese e ho pensato che non mi sento molto diverso dall'avere 11 anni, è normale? Cambierò davvero quando invecchierò?
Come faccio a prendere una visita dal medico senza i miei genitori e senza che loro sappiano il motivo per cui vado? Ho 15 anni.
Ho 13 anni, transgender (ftm) e frequento un terapista da alcuni mesi. Come posso dirle che sono transgender e farle consigliare di fare coming out?
È una buona idea iniziare la terapia ormonale sostitutiva a 18 anni (transgender)?
Quali sono le abilità di vita necessarie che posso padroneggiare in questa estate di 3 mesi? Ho 17 anni.
Come posso fermare la pubertà senza bloccanti della pubertà?
A 13 anni, come posso risparmiare e immagazzinare denaro senza che i miei genitori lo sappiano?
Come posso ottenere la terapia ormonale sostitutiva senza dire che voglio la terapia ormonale sostitutiva?
Qual è l'età migliore per iniziare la transizione da femmina a maschio?
Come inizio il mio passaggio da maschio a femmina? Sono sempre stata una ragazza dentro. Cosa devo fare?
Ho 16 anni e ne compio 17 il mese prossimo. Come faccio a rivolgermi a un terapeuta se mia madre pensa che non ne abbia bisogno?
Qual è la cosa più utile che posso fare a 14 anni?
Puoi iniziare gli ormoni MTF HRT a 13 anni?
"Non incorrono in sensi di colpa e muoiono"
La luna ha la velocità giusta per non schiantarsi sulla Terra o fuggire nello spazio. Quali sono le probabilità?
Puzzle scorrevole 3 x 2
Rimuovi il bordo interno in tipo = colore
Perché la frutta e la verdura in salamoia non facevano parte delle razioni (europee) durante l'Età della Vela?
Qual è il modo corretto per chiudere un socket C# in .NET Core 3.1?
Come si attaccano i cristalli a un bastone da sciamano senza usare adesivo?
Kubernetes: è possibile combinare Pod.yaml e Service.yaml in un file yaml (ma senza distribuzione)
Uso di una parola ebraica insolita per "splendeva" in Esodo
Gruppo iniziale di leader di Mosè Esodo 18:21
Qual è la sentenza per dichiarare guerra nelle città?
Come vedere se un array ha 2 o più elementi uguali? [duplicare]
Urano potrebbe avere una superficie solida a causa della sua composizione interna e della mancanza di calore interno?
Cosa sono le bombe Ellerman e come possiamo identificarle?
Quali sono i maggiori ostacoli per ottenere RL in produzione?
winforms C # .NET - Come migliorare le prestazioni del mio codice durante l'utilizzo di cicli (for, foreach, ecc ...) [chiuso]
Chiedi il permesso a [prefisso] [infisso] [suffisso]. Cos'è [intero]?
Raggruppa l'elenco per elementi dell'elenco nidificato [duplicato]
Si possono caratterizzare le anticatene massime in termini di reticoli distributivi?
Qual è la matrice del logaritmo dell'operatore derivato ( $\ln D$)? Qual è il ruolo di questo operatore in vari campi matematici?
Dimostra che una sequenza $\{a_n\}_n$definito da $a_1=-\frac14$e $-a_{n+1}=\frac{a_na_{n+1}+4}4$converge e trova il suo limite.
Caso di studio: cosa serve per formulare e dimostrare l'argomento del piccolo oggetto di Quillen in ZFC?
Come ottenere un testo specifico che appartiene alla classe div
Prova alpha di attivazione per un nuovo editor di stack
Può l'albero Stern-Brocot essere impiegato per una migliore convergenza di $2^m/3^n$?
Come elencare i miei lavori k8s con un LabelSelector complesso da client-go?
Proxy nginx a Tomcat con SSL
" $\Sigma_1^1$-Peano aritmetica ”- lo definisce $\mathbb{N}$?
Quanto dovrebbe essere grande un codice QR sul mio tetto perché un satellite sia in grado di scansionarlo data la risoluzione consentita oggi?
Se il decapaggio distrugge la vitamina C, in che modo i crauti sono ricchi di vitamina C?
Come monitorare i limiti di velocità sulle strade nel periodo medievale? [duplicare]
Per quanto riguarda un dottorando che rifiuta uno studente per problemi di salute
Principio di riflessione vs universi
Il modo più pulito per utilizzare BeginTransaction utilizzando try catch
Devo aprire la mia app se utilizzo dati API non modificati con licenza CC-BY-SA 4.0
Effetto Wilson: quanto sono "profonde" le macchie solari?
Regex_search c++
"Quaranta giorni e quaranta notti"
È offensivo uccidere il mio personaggio gay alla fine del mio libro?
La Corte Suprema può dichiarare incostituzionale un impeachment? [duplicare]
Possiamo generare elettricità dalle tempeste di sabbia marziane? In caso affermativo, può essere utilizzato per alimentare le colonie?
MOC: una domanda sull'utilizzo del marchio LEGO
java: ottieni il conteggio di tutte le chiavi e i valori distinti in Map <String, Set <String>> [duplicate]
Perché i voli non volano prima verso il loro percorso di atterraggio?
Un'analisi più approfondita dell'incidente di sicurezza di maggio 2019: feedback sul post del blog
La storia della moda dei lupi mannari, parte 1: gli anni 2000
Come rimuovere gli anelli di Saturno?
Esiste una doppia posizione di accoppiamento forzato?
5 tecniche di scrittura creativa che portano ad articoli interessanti
5 tecniche di scrittura creativa che portano ad articoli interessanti
Un chatbot per il controllo delle risorse
Un chatbot per il controllo delle risorse
Silenzio
Silenzio
Fidarsi del tuo primo istinto in una relazione è fondamentale
Fidarsi del tuo primo istinto in una relazione è fondamentale
Cosa stiamo costruendo nel 2020
Cosa stiamo costruendo nel 2020
Rendere più specifiche le soppressioni degli errori di flusso
Rendere più specifiche le soppressioni degli errori di flusso
I migliori linguaggi di programmazione per ingegneri di intelligenza artificiale nel 2020
I migliori linguaggi di programmazione per ingegneri di intelligenza artificiale nel 2020
Motivi per scegliere PyTorch per il deep learning
Motivi per scegliere PyTorch per il deep learning
Samantha Lazar
Samantha Lazar
Il vortice di un anno
Il vortice di un anno
L'invito
L'invito
Due repository Python per la visualizzazione del testo
Due repository Python per la visualizzazione del testo
Ottieni il massimo: Hybrid App UX Design
Ottieni il massimo: Hybrid App UX Design
Notifiche e allarmi in Flutter
Notifiche e allarmi in Flutter
6 cose che ho imparato da Brendon Burchard
6 cose che ho imparato da Brendon Burchard
Le persone altamente produttive hanno una routine mattutina ritualistica
Le persone altamente produttive hanno una routine mattutina ritualistica
Fai la cosa che ti interessa di più entro mezzogiorno
Fai la cosa che ti interessa di più entro mezzogiorno
Perché non dovresti prendere le cose personalmente
Perché non dovresti prendere le cose personalmente
5 cose che i grandi successi hanno in comune
5 cose che i grandi successi hanno in comune
Halloween sullo spettro
Halloween sullo spettro
Sono un adulto autistico e odio Halloween
Sono un adulto autistico e odio Halloween
Non avrei mai pensato di fare un cenno di assenso a George W. Bush's Decency
Non avrei mai pensato di fare un cenno di assenso a George W. Bush's Decency
L'emergere della finanza decentralizzata
L'emergere della finanza decentralizzata
Visualizzare la crescita esplosiva della DeFi nel 2020
Visualizzare la crescita esplosiva della DeFi nel 2020
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved