https://mobile.opennet.me/openforum/vsluhforumID3/127001.html Опубликован выпуск фреймворка TUF 1.0 (The Update Framework), предоставляющего средства для безопасной проверки наличия и загрузки обновлений. Основной целью проекта является защита клиента от типовых атак на репозитории и инфраструктуры, включая противодействие продвижению злоумышленниками фиктивных обновлений, созданных после получения доступа к ключам для формирования цифровых подписей или компрометации репозитория. Проект развивается под эгидой организации Linux Foundation и применяется для повышения безопасности доставки обновлений в таких проектах, как Docker, Fuchsia, Automotive Grade Linux, Bottlerocket и PyPI (включение верификации загрузок и метаданных в PyPI ожидается в ближайшее время). Код эталонной реализации TUF написан на языке Python и распространяется под лицензией Apache 2.0...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56847<br> https://mobile.opennet.me/openforum/vsluhforumID3/127001.html#27 Thu, 17 Mar 2022 07:55:30 GMT &gt;&gt; пирамида без конца.<br>&gt; Безопасность это вообще процесс. Она не "есть", приходится её обеспечивать.<br><br>Я прекрасно в курсе, что безопасность это не состояние, а процесс.<br>Также я в курсе, что описанную проблему верификации верификатора -- безопасность не решает.<br> https://mobile.opennet.me/openforum/vsluhforumID3/127001.html#26 Tue, 15 Mar 2022 10:36:04 GMT &gt; пирамида без конца. <br><br>Безопасность это вообще процесс. Она не "есть", приходится её обеспечивать.<br> https://mobile.opennet.me/openforum/vsluhforumID3/127001.html#25 Tue, 15 Mar 2022 06:28:32 GMT Надстройка над настройкой над настройкой<br>Мы будем контролировать то, что вы сами контролируете, но плохо<br> https://mobile.opennet.me/openforum/vsluhforumID3/127001.html#24 Tue, 15 Mar 2022 00:09:35 GMT ну Python это отличный язык для прототипирования... примерно как Turbo Pascal раньше.<br>концепт заложен теперь надо подождать программистов, которые перепишут хотя бы на сях это хоть под какой-то дистрибутив... хотя зачем?<br> https://mobile.opennet.me/openforum/vsluhforumID3/127001.html#22 Mon, 14 Mar 2022 17:30:28 GMT Я вам всем бюджетное финансирование урезал!<br> https://mobile.opennet.me/openforum/vsluhforumID3/127001.html#21 Mon, 14 Mar 2022 14:33:29 GMT Не унывайте, коллега. Специалисты что-нибудь придумают.<br> https://mobile.opennet.me/openforum/vsluhforumID3/127001.html#20 Mon, 14 Mar 2022 14:24:38 GMT &gt; фреймворк для организации безопасной доставки обновлений <br><br>И как же я теперь буду бэкдоры вставлять? *плак-плак*...<br> https://mobile.opennet.me/openforum/vsluhforumID3/127001.html#17 Mon, 14 Mar 2022 12:37:19 GMT &gt; Ну оно звучит интересно.<br><br>Лучше, чем ничего. Но тут даже зловреда не надо: из requirements.txt берём лижу типа<br>pylint&gt;=4.7<br>и подтягивается pylint 18.3. Для python 4.5. <br>И это отвратительно. К слову, в golang такое не прокатывает. <br> https://mobile.opennet.me/openforum/vsluhforumID3/127001.html#16 Mon, 14 Mar 2022 12:33:37 GMT Только тут проблема: если кто-то смог залить зловред в репу -- значит ключ протёк. На ключ нужен другой ключ уровнем выше. Это пирамида без конца. <br>