https://www.opennet.dev/openforum/vsluhforumID3/108371.html В генераторе кода Swagger (https://github.com/swagger-api/swagger-codegen), применяемом для создания RESTful web-сервисов, соответствующих спецификации OpenAPI (https://en.wikipedia.org/wiki/OpenAPI_Specification), выявлена <br>уязвимость (https://community.rapid7.com/community/infosec/blog/2016/06/23/r7-2016-06-remote-code-execution-via-swagger-parameter-injection-cve-2016-5641) (CVE-2016-5641), которая может привести к выполнению кода на стороне сервера или клиента, через подстановку специальных параметров в документы Swagger, на основе которых производится динамическая генерация обработчиков API. <br><br><br>Проблема затрагивает RESTful-обработчики, созданные с использованием кода, автоматически сгенерированного при помощи Swagger. В том числе обработчики, сгенерированные для языков JavaScript/Node.JS, PHP, Ruby и Java (важно отметить, что вопреки заявлениям некоторых СМИ, проблема не затрагивает непосредственно Node.JS, PHP, Ruby и Java, а касается только проектов на данных языках, применяющих swagger-codegen дл https://www.opennet.dev/openforum/vsluhforumID3/108371.html#18 Sat, 02 Jul 2016 09:41:27 GMT И вновь вы ничего не поняли. Почитайте, чем они отличаются, прежде чем открывать рот и озвучивать свое ценное мнение<br> https://www.opennet.dev/openforum/vsluhforumID3/108371.html#15 Tue, 28 Jun 2016 09:27:31 GMT А! Так Вы написали новый javadoc? Ну так круто че. Есть вон еще писатели, которые Kotlin забацали. Вот только туда же - не надо. Че-нить типа спринга, если осилите - всегда велкам, а гламурные гаечные ключи - в сад. <br> https://www.opennet.dev/openforum/vsluhforumID3/108371.html#14 Tue, 28 Jun 2016 08:14:01 GMT Вы понимаете разницу между написанием (кодогенерацией) рест-сервиса и написанием документации к нему?<br> https://www.opennet.dev/openforum/vsluhforumID3/108371.html#13 Tue, 28 Jun 2016 07:47:00 GMT На пуре-джяве с io.netty рестсервис без всяких своггеров делается за 15 минут с перекурами и кофебрейком. Кому нафиг оно ваще надо?<br> https://www.opennet.dev/openforum/vsluhforumID3/108371.html#12 Tue, 28 Jun 2016 01:43:35 GMT Все идет от излишнего за*тства. Зачем мужик вообще генерирует чего-то? Зачем все эти языки? Почему нельзя просто добавлять три типа списков в базу данных и не радоваться ситуации? Что за тотальный #*изм развели?<br> https://www.opennet.dev/openforum/vsluhforumID3/108371.html#11 Mon, 27 Jun 2016 15:44:27 GMT swagger отменная вещь для написания документации по REST API.<br>Особенно его свыше с gradle и asciidoc<br> https://www.opennet.dev/openforum/vsluhforumID3/108371.html#10 Mon, 27 Jun 2016 15:04:59 GMT Мне кажется восхитительно не это, а вызов утилиты ls из джава кода.<br><br>Подобные приемчики смердят на любом языке, хоть питон, хоть джава.<br> https://www.opennet.dev/openforum/vsluhforumID3/108371.html#9 Mon, 27 Jun 2016 13:03:22 GMT Какие более лучшие решения вам известны?<br> https://www.opennet.dev/openforum/vsluhforumID3/108371.html#8 Mon, 27 Jun 2016 11:48:23 GMT Чем это отличается от import static? Вердикт: то же самое.<br><br>http://docs.oracle.com/javase/1.5.0/docs/guide/language/static-import.html<br>