Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.3.2, 17.2.5 и 17.1.7, в которых устранено 17 уязвимостей. Одной уязвимости присвоен критический уровень опасности (9.9 из 10), 3 - высокий, 11 - умеренный и 2 - низкий. Критическая уязвимость (CVE-2024-6678) позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под другим пользователем, что даёт возможность атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя...Подробнее: https://www.opennet.me/opennews/art.shtml?num=61851
Мда... Вот что бывает, когда доверяешь написание критической системы каким-то васянам.
А ведь куча умников предлагали переходить на него с надежного гитхаба!
Переходить на надёжный гитхаб это шутка дня.
> Переходить на надёжный гитхаб это шутка дня.В как минимум одном они надежны. Постоянном срыве рабочих процессов и делании мозга. То вы сменили браузер, докажи что не верблюд, и вообще, номер телефона гони! А вот вам 2FA в принудиловку, чтоб вместо занятий своим делом - вы с какой-то левой гадостью тр@хались. А вот мы тут "улучшили" интерфейс - теперь 1 ядро проца в полку даже если оно вообще нихрена не делает, во! Прикольно же если ноут жжот колени а десктоп воет вентилями - за сам факт открытия гитхаба!
Отличные рабочие процессы. Если избавиться от этих улучшений и таких улучшателей. Ах, да, майкрософту видимо не приходило в голову что git, таки, DVCS и про что угодно - кроме наглых вендорлоков.
Ну если ты не осилил 2FA, на который требуется 1 минута для настройки. В дальнейшем только при критических операциях типа удаления репы и т. п., то сложно представить какие у тебя рабочие процессы по своей сложности. Эффективный менеджер?
Васяны не могут в силу малых знаний и опыта, а матерым профессионалам пофиг, « и так сойдет, менеджер говорил что код должен быть вчера и нет времени на рефакторинг». Но результат один.
> Васяны не могут в силу малых знаний и опыта, а матерым профессионалам пофиг, « и так сойдет, менеджер говорил что код должен быть вчера и нет времени на рефакторинг».Лол, ты наверное в каком-то подвале работал, если вообще работал.
Если я говорю менеджеру "код не готов, если мы релизнем так, то нас юзеры на кусочки порвут и рейтинг аппы будет на нуле", то он спрашивает "на сколько нужно сдвинуть релиз?".> Но результат один
Посмотри сколько новостей про уязвимости в Гитхабе и в сабже.
И посчиттай хотя бы на пальцах.
Гм, ну тут как в старом анекдоте, "девушки, вы обе правы!"Если разрабатывается свой софт, то сдвинуть сроки релиза можно без особых проблем. Или не сдвигать, но срочно после релиза выкатить патч, посмотрите на релизы ААА-игр, постоянно так делают.
Если софт разрабатывается под заказчика, с которым контракт, где прописаны сроки и неустойки, то проект-менеджер разрабов с говном съест, но сроки сдвигать ему нельзя. Или нужно эти сроки сдвига согласовывать. И зарплатный фонд разрабам на следующий месяц тоже согласовывать...Все зависит от модели разработки.
Ну, ну. То-то MS свой мессенджер делают таким амном с 2017 какого-то года.7 лет попивали из чашки этот продукт и - не порвали юзеры на кусочки. Красивый фасад и маркетинг сильно людей сбивают с правильного на популярное.
Messenger уже давно нет, ну по крайней мере уже давно не видел кто его использует. Skype они купили у русских разработчиков вероятнее всего из-за клиентов, но внутри там уже давно Lynx, как и в их продукте Teams - мессенджер для корпорастов. Они порой забивают на свои подделия, потом через время вспоминают и доделывают или переделывают на каких-нибудь новых технологиях или подходах, а порой вообще не забывают, а просто продукт-менеджмент позиционирует как другой продукт.
> купили у русских разработчиковНичего не путаешь?
боюсь тебя расстроить, но под капотом у нынешнего Скайпа - электрон
> боюсь тебя расстроить, но под капотом у нынешнего Скайпа - электронВсе к чему прикасается MS, превращается в ... примерно одно и то же. Скайп продолбал все преимущества, так что про него все и забыли уже. И похрен народу что там за teams или что. Гитхаб тоже, вот, загадили. Был просто сервис для разработчиков, с удобным UI и проч. Стало аляповатое тормозное кривое уг постоянно пытающееся всучить какие-то сервисы и создающее массу неудобств. Ну народ оттуда и сваливает ударными темпами.
Всеми перечисленными Вами программами и сервисами не пользуюсь, но я благодарен компании Microsoft за то, что она могла прикрыть Qt, но не прикрыла совсем, слегка только укусила.
> Всеми перечисленными Вами программами и сервисами не пользуюсь, но я благодарен компании
> Microsoft за то, что она могла прикрыть Qt, но не прикрыла
> совсем, слегка только укусила.Офигенная благодарность - мол, могли не только выпороть кнутом, но и убить! Какой хороший рабовладелец попался!
> Был просто сервис для разработчиков, с удобным UI и проч. Стало... стало просто data для обучения их AI :)
Думаешь почему их junior coder Co-Pilot реально код пишет? А потому что вы его тренируете и улучшаете :) Ни у кого в мире (ну может IBM - но там ... специфичное) нет такой кодовой базы в доступе, как у M$ ... всем юзавшим спасибо, с вас ещё денег возьмут, ага - "работать на нас - большая честь"(С) ;-)
И всё-же думаю что популярное всё-же тяжелее сделать правильного, иначе за это не платили бы больших денег. Можно подумать что мессенджеры, почта и социальные сети это высокие технологии. Там информация и клиенты важнее этих технологий.
У разных компаний применяются разные подходы и учитесь как-то друг-друга уважать. То что вы делаете обесценивает и унижает опыт другого человека. Напомню что есть именитые западные компании выкатывают на рынок как можно быстрее сырые продукты, так как их стратегия в том чтобы снять сливки со свободной ниши где видят большие деньги в виду отсутствия конкуренции. Выше вот вспомнили Microsoft. Я лично работал в компаниях где применялся и ваш и подход выше. И не вижу причин для того чтобы друг к другу по хамски относиться.
> У разных компаний применяются разные подходы и учитесь как-то друг-друга уважать.На этом форуме? Ну.. ок, ладно, постараюсь.
> То что вы делаете обесценивает и унижает опыт другого человека.
Неа, я просто честно говорю, что он работал в какой-то не очень привлекательной фирме, раз ему приходилось овнокодить по требованию менеджера.
Мы ж не снежинки какие-то, чтобы подбирать слова "а вдруг я его обижу".> Напомню что есть именитые западные компании выкатывают на рынок как можно быстрее сырые продукты, так как их стратегия в том чтобы снять сливки со свободной ниши где видят большие деньги в виду отсутствия конкуренции
В принципе да, но нет.
Я сам работал в подобных компаниях и там идея немного другая.
"Выпускаем сырой продукт, в том смысле что фич будет немного".
А потом доделываем то, что просят пользователи.
Но если этот кусок №№№№№ падает на старте - это в прод не пойдет.В крайнем случае можно запросить доп. людей из соседних команд.
Или закомментировать часть фич, доделать потом.Ну или это уж очень плохой подход, я бы таких не только в пример не ставил, но агитировал всех "не работайте в таких шарашкины конторах"
Небось, ещё и премию тебе регулярно выписывает, когда сроки срываешь - за честность. Воображаемые менеджеры - они такие, да.
> Если я говорю менеджеру "код не готов, если мы релизнем так, то нас юзеры на кусочки порвут и рейтинг аппы будет на нуле", то он спрашивает "на сколько нужно сдвинуть релиз?".... и начинает искать тебе замену... :)
Про бонусы и ништяки тоже всё понятно.
Велком то рЫал лайф, Лео :)
> менеджер говорил что код должен быть вчераGetting the things done!
Не забудь вписать в резюме!
(васяны не могут не в силу недостатка опыта, а потому что их по дороге к коммунизму никто кормить не намерен)
> (васяны не могут не в силу недостатка опыта, а потому что их по дороге
> к коммунизму никто кормить не намерен)ХЫхы, нафиг Getting Things Done! Вот поныть и выдать более 9000 отмазок на тему почему FAIL - это тема. Жаль что при этом все почему-то приходит - ну вот к тому.
> ХЫхы, нафиг Getting Things Done! Вот поныть и выдать более 9000 отмазокну конечно, штаны надо расстегивать, изучать какие-то пуговки, молнии, еще ремень какой-то зачем-то придумали, некогда, некогда - пффффффф - вот, thing done! Не снимая штанов.
Только вот с точки зрения окружающих - ты просто обо...ся.
> ну конечно, штаны надо расстегивать, изучать какие-то пуговки, молнии, еще ремень какой-то
> зачем-то придумали, некогда, некогда - пффффффф - вот, thing done! Не
> снимая штанов.Ну так есть же ты. Выйдешь с невозмутимым выражением лица на сцену, объяснишь публике что все так и задумано, придумав более 9000 отмазок на тему почему это - хорошо и правильно а те кто делает как-то иначе лошпеды, и вообще!
> Только вот с точки зрения окружающих - ты просто обо...ся.
А ты с точки зрения окружающих мало того что обтекаешь, так еще и уверенно вещаешь что д@рьмо в штанах - так и задумано! А кто не так - вообще не в тренде. Хы.
Я в шоке! И мне ещё предлогали перенести все свои проекты с GitHub на эту платформу...
Бизнес, ничего личного.
Можно подумать, что есть разница.
ты что - дальтоник?! Красный от оранжевого не отличаешь?
Правильно звучит так:
"Ты что, дальтоник скрипач? Зеленый цвет, от оранжевого, отличить не можешь?"
Они что, писать вообще не умеют? Одну уязвимость могу понять. Ну две. Ну три. Но семнадцать мля! Причем это обычная GitLab-related новость, то есть такое стабильно раз в месяц мля.
Пишут, как отцы!Достаточно вспомнить такие шедевры, как BIND, ProFTPD, Exim, OpenSMTPD, чтобы понять — решётчатость является непременным атрибутом софта с большими претензиями.
> Достаточно вспомнить такие шедевры, как BIND, ProFTPD, Exim, OpenSMTPD, чтобы понять — решётчатость является непременным атрибутом софта с большими претензиями.И что это доказывает? А почему ты postfix, dovecot и vsftpd не привел в пример?
> И что это доказывает?Что глупость человеческая существует столько же, сколько человечество.
> А почему ты postfix, dovecot и vsftpd не привел в пример?
Они не такие амбициозные. Ребята просто писали хороший код, потому что им было по фану. Чего не скажешь про "титанов" (гитлаб и перечисленные мной выше).
> dovecot и vsftpd не привел в пример?
>> Они не такие амбициозные.Да что ты говоришь?
DOVECOT The Secure IMAP server is an excellent choice
vsftpd - very secure FTP daemon
> DOVECOT The Secure IMAP server is an excellent choice
> vsftpd - very secure FTP daemonи списочек cve на два экрана.
>postfix, vsftpdпростенькие. а гитлаб оверинжиниринг на оверинжиниринге, достаточно под капот заглянуть.
хотя особых альтернатив нет
> хотя особых альтернатив нетGitea/Forgejo. Но CI у них зачаточный, что не так уж и плохо — можно прикрутить отдельно то, что больше нравится, от олдскульного Jenkins до новомодного Tekton.
> postfix
> простенькийс тобой всё предельно ясно.
он предельно простенький
Тут ведь считается, что если на Си хеллоу-в-рот написать, то там все классы ошибок будут собраны. А вот есть сетевой сервис, получающий и обрабатывающий данные из недоверенных источников и при этом написанный на Си - это по-твоему простенький?
Для малышей карапузов - шокирующая ноаость!
GitLab не написан на Си ...Он написан на языке который "безопасТно управляет памятью"(С), не не на расте, да .... :)
Это же руби, чего ты хотел?
На С же всегда хороший код без дырок пишется
> На С же всегда хороший код без дырок пишетсяДа не, просто у руби такая слава намного хуже пхп уже и каждый раз подтверждается.
Не в языке дело. А в размере и заточенности на интерес простых, вместо сути. Дело в методах разработки продукта.У них постоянно что-либо не работает. Мат-пере-мат, пока добъёшься от приложения нужного. Какое-то ни к селу ни на деревню остроумие баловства магией опциями, вместо того, чтоб просто сделать логичное.
> Не в языке дело.Речь идёт не о прямой причинно-следственной связи, а о корреляции определённых языков с низкой культурой разработки. Такие связи складываются исторически, когда люди без опыта и желания разбираться хватают не глядя модный на тот момент инструмент, осваивают несколько простейших приемов и бегут пилить проекты, ничему не учась.
PHP и Ruby — достаточно характерные примеры таких "концентраторов". Это не обязательно говорит о "плохости" самого языка как инструмента — он мог просто оказаться "не в том месте не в то время".
И что тут такого? В ялре линукса каждый день исправляют десяток уязвимостей, и ничего, Земля не сходит со своей оси.
В данном случае, как видите, тоже не сошла :)
некоторые проекты, чувствительные к безопасности, с помпой ликвидировали trac, перейдя на GitLab.
Совпадение? Точно совпадение.
Их заранее предупреждали это не делать, аккуратно предсказав последствия.
Trac мог ещё десять лет тянуть с релизом новой ветки.Эти хотя бы дырки регулярно закрывают.
если твой проект уже использует trac - значит та ветка которую ты выбрал десять лет назад - вполне тебя устраивала. Что, чорд побери, у тебя в проекте случилось за эти десять лет что тебе наимоднявейшее подавай?Нового стикерпака не хватало, он срочно нужен для еще более быстрого тяпляпа?
> Эти хотя бы дырки регулярно закрывают.
вместо того чтоб их не создавать.
Ну ок, все при деле - ты бесконечно апгрейдишься на новые еще более улучшенные версии, васяны потихоньку майнят.
(это не фигура речи - приходилось починять такое. Причем - закрытый контур, чтоб попасть на машинку, понадобился энидеск, мать его, захожу с чужого экрана на хост - а там... там-тадам, зоопарк червяков, уже друг-друга жрут. Владельцы заметили только когда что-то поломалось настолько что через вебморду уже не пускало.)
Это тот самый trac, у которого сейчас 1000+ открытых issue?
Можно конечно сидеть на какой-то некроверсии и мириться с багами.
Или даже самостоятельно бекпортить..А работать когда?
А чем git+ssh+email не устраивает?
Нет дыр
Нужны смузи в виде формочек, веб гуйни и всяких свистоперделок с непрерывной интегрцией.
Сложна
Надо документацию читать на API продуктов. В голове уметь скрипт придумать.А тут на халяву GUI и интеграция с костылями - API можно не учить, скрипты - тоже, т.к. на YAML такая каша, что ничем не спасти. Счастье тёплого болотца обуревает.
тем что дальше хеловрота не работает.
с разработкой ядра как-то работает
> с разработкой ядра как-то работаеттоже нет. ssh на свой хост Б-жок с Пальцем тебе предоставлять не собирается. Вооон туда иди там вебмордочка для тебя, если ты ну ооооочень из уважаемых.
Потом порежь помельче, и с биением челом подай все равно в рассылку. В ней тебе пятьдесят раз предложат исправить color на colour и обратно, а remote root не заметят, это надо ж код читать, там некому и некогда.
Если повезет - через годик Б-жок оттопыренным пальчиком твой патч (не забудь двести раз переписать под все более новый шта6ле нонсенс) и выложит на лопате остальным.
Такой вот dvcs.
Живет только и исключительно потому что денег у ibm - немеряно.
An issue was discovered in GitLab CE/EE affecting all versions starting from 8.14 prior to 17.1.7, starting from 17.2 prior to 17.2.5, and starting from 17.3 prior to 17.3.2, which allows an attacker to trigger a pipeline as an arbitrary user under certain circumstances.Мне пофиг, у меня запустить pipeline может только тот кто пишет protected tag / branch, т.е. тот у кого и так есть эти привилегии.
Это плохо для публичного гитлаба. Для собственного инстанса во многих случаях некритично.
мы конечно рады, что твой завод окружен заборчиком, но, боюсь, у нас не будут рады если аффтары нужного и важного сайта "25.5лет компании ххх" исполняющего корпоративный гимн при открытии странички со снежинками (или что это там - я хз) внезапно смогут исполнить какого-то своего кота в контексте системы документооборота с доступом к ПД половины рассеян.(разумеется, в реале не смогут, потому что ее гитлаб вообще в другом и изолированном контуре. Ну просто потому что мы примерно догадывались про его безопастность - еще на этапе внедрения этой чуши.)
А зачем внедрять "чушь"? Инвалидность мозга?
> А зачем внедрять "чушь"? Инвалидность мозга?затем что разработчинкам нужно ci/cd и вот ето вот всьо.
И других разработчиков у меня для вас давным-давно уже нет.
Странное название статьи. Я уверен, что в гитлабе больше семьнадцати уязвимостей.
Эти были последние.
Последние - это после которых ничего нет, но это не про гитлаб
Тогда - крайние :)
Они-же вроде кому-то продались. Наверно долго отмечали продажу, за кодом перестали следить, сочувствую...
Ничего сейчас инвестор даст по щам и исправят свои косяки.
Хейтерам надо расслабиться.
вроде только собрались продаваться, и начали уязвимости находить одну за другой. много попросили?
17 друзей GitLab.
Вроде бы уже находили серьёзные уязвимости в GitLab. И вот опять?