Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Google опубликовал результат аудита используемых пакетов на языке Rust, opennews (ok), 23-Май-23, (0) [смотреть все] И в чем суть отчета , Kuromi (ok), 22:57 , 23-Май-23, (1) +21   // Почитай, kleemhead (?), 23:00 , 23-Май-23, (2) –14   // Скрыто модератором, Аноним (-), 00:59 , 24-Май-23, (8) +6   Раньше, это когда еще Сишные дыры аудировали, приходилось в отчётах всё это как-, f95 (ok), 23:05 , 23-Май-23, (3) –4   Нет никакого отчёта Есть предоставленные гуглом маркировки 389 пакетов, которые, warlock66613 (ok), 23:09 , 23-Май-23, (4) +5   // Можно список этих 389 пакетов, а то раста и карго в системе нет , Аноним (10), 03:40 , 24-Май-23, (10) –2   // Конечно специально для тех кто больше заголовка осилить не может ловите ссылку h, Аноним (14), 06:08 , 24-Май-23, (14) +3   Выражаю особую благодарность тому, кто любит делать чужую работу , Аноним (10), 07:36 , 24-Май-23, (22)   Помощь интеллектуально неодаренным наша обязанность , Аноним (14), 13:05 , 24-Май-23, (59)   Интеллектуалы ленивые люди, поэтому любят смотреть как другие делают работу за н, Аноним (10), 16:48 , 24-Май-23, (70)   Раст -- это круто Его пакетный менеджер -- тоже Его пакеты -- как повезёт, см, topin89 (ok), 23:21 , 23-Май-23, (5) +10   // В Gentoo, лет 15 назад, разрабы дистрибутива выполняли эту работу И моё мнение,, Аноним (16), 06:42 , 24-Май-23, (16) –3   // ну и очень зря, припаривает пересобирать каждый rX , dannyD (?), 07:24 , 24-Май-23, (21)   Не в супер-стабильной ветки дело Достаточно вернутся к старой политике безопасн, Аноним (27), 09:02 , 24-Май-23, (27)   Баги фиксить все равно надо даже в Hardened системах Хоть эксплуатация дыр знач, Аноним (81), 08:40 , 25-Май-23, (81)   Это _другие_ пакеты Они не имеют отношения к пакетам дистрибутивов Линукс если, warlock66613 (ok), 08:57 , 25-Май-23, (82)   Мейнтейнеры дистров не справляются Попробуй что-нибудь типа репов пакетов ruby , Аноним (-), 20:37 , 25-Май-23, (87)   Видимо так накодили , что понадобился аудит , Bob (??), 05:59 , 24-Май-23, (12) +1   TLTR Прогнали аудит по используемым пакетам с зависимостями, расставили тэги Д, Карлос Сношайтилис (ok), 23:55 , 23-Май-23, (6) +1 Просто в голос Это документ для sox аудита, скорее бюрократическая мишура чтобы , Аноним (7), 00:57 , 24-Май-23, (7) +4 Интересно, когда этот самый карго долбанёт, что будут делать эти, которые сейчас, Аноним (9), 01:24 , 24-Май-23, (9) +4 // Отправят недовольных читать AS IS в лицензии , n00by (ok), 06:29 , 24-Май-23, (15) +3 гошную репу пока не долбанула, а на ней пол инета крутится докер облака , Mail (?), 06:48 , 24-Май-23, (17) –1 // Смелое заявление В каждом апдейте что-нибудь по шифрованию подкручивают Да и ги, Брат Анон (ok), 07:12 , 24-Май-23, (19) Так уже было же Растоманы просто сказали что карго это не часть раста раньше ж, Аноним (54), 12:33 , 24-Май-23, (54) // В таком случае где почитать про использование раста без карго , user (??), 20:06 , 24-Май-23, (72) –1 // А толку, если на нем даже пакетный менеджер написать не могут А разговоров то б, Аноним (7), 22:19 , 24-Май-23, (75) –1 Скрыто модератором, фтщтшь (?), 13:03 , 24-Май-23, (58) Спорим они сначала словили из какого-то пакета вирь, а уже потом провели аудит , Аноним (14), 06:03 , 24-Май-23, (13) +1 // Скорее всего нет, аудит обычно ежегодно делаются а то и чаще, смотря какой ауди, Аноним (54), 12:34 , 24-Май-23, (55) +1 // Репа появилась в марте этого года Если они делали это внутри что вряд ли, зачем, Аноним (14), 13:09 , 24-Май-23, (60) –1 // Почему вряд ли Аудит растом не ограничивается , Аноним (7), 22:21 , 24-Май-23, (76) +1 Гугл осмелился поставить под сомнение безопасность раста , Аноним (18), 06:55 , 24-Май-23, (18) +1 // ДА как он смеет , Аноним (64), 14:56 , 24-Май-23, (64) –1 очевидно, безопасность крейтов в общем хранилище-свалке, которые могут быть напи, Аноним (84), 19:23 , 25-Май-23, (84) Это не отчёт Это Филькина грамота Кроме количества пакетов метрик тут больше н, Брат Анон (ok), 07:13 , 24-Май-23, (20) +1 // Потому что это для бюрократов Что-то вроде а вы следите за рисками в зависимост, Аноним (54), 12:37 , 24-Май-23, (56) А если либа с нужным функционалом не помечена как безопасная, что тогда , YetAnotherOnanym (ok), 07:44 , 24-Май-23, (23) –1 // Тогда у тебя два варианта , Котофалк (?), 09:33 , 25-Май-23, (83) проверяешь ее и ее зависимости сам, всю иерархию Очевидно же, не , Аноним (84), 19:24 , 25-Май-23, (85) Самое главное не забыли https github com google supply-chain blob main CODE_O, Аноним (24), 08:12 , 24-Май-23, (24) +1 // Инфы тут побольше чем в отчете наверное все задумывалось для этого файла, полуандерталец (?), 08:34 , 24-Май-23, (25) –1 Ты чё, э, а кто ж по-твоему свободку защищать будет , КО (?), 09:15 , 24-Май-23, (31) –1 Максим, ну серьезно Ну опубликовала И что Какие выводы там представлены Что с, Аноним (28), 09:02 , 24-Май-23, (28) –1 // Новость про то, что опубликованный список можно подключить к своему проекту и не, Аноним (53), 12:28 , 24-Май-23, (53) +1 // То есть аудит каким-то образом учитывает и будущие изменения в зависимостях , Аноним (28), 16:17 , 24-Май-23, (69) ну зачем же врать Там авторы крейтов мамой клянутся, что вредный код в будущем , Аноним (84), 19:33 , 25-Май-23, (86) о чем новость где выводы , жявамэн (ok), 09:10 , 24-Май-23, (29) –1 Да как нормально поставить этот Rust без мутных install sh, которые неизвестно ч, Пряник (?), 09:14 , 24-Май-23, (30) –1 // Твоя слакварь уже устарела, пользуйся пакетными менеджерами , Анониссимус (?), 09:50 , 24-Май-23, (33) Эм ты не в состоянии прочитать содержимое install sh чтобы понять что он дела, Анонин (?), 10:38 , 24-Май-23, (34) +1 // Не в Мак, а в Точку , Аноним (49), 11:25 , 24-Май-23, (49) +1 Интересный наброс, но скажите, вы при каждом запуске читаете скриптовые портянки, Аноним (52), 12:27 , 24-Май-23, (52) –1 // Вообще-то да Но предпочитаю докер или уже в виртуалке запускать , Аноним (54), 12:40 , 24-Май-23, (57) +1 А вот расскажите лучше зачем ее читать КАЖДЫЙ раз Ты запускаешь ее всего ОДИН ра, Анонимусс (?), 13:58 , 24-Май-23, (61) +1 Обычно установку чего-то заворачивают в скрипт, чтобы скрыть ужас который там тв, Пряник (?), 16:15 , 24-Май-23, (68) Прэлестно, просто прелэстно , Аноним (74), 22:01 , 24-Май-23, (74) +1 389 пакетов Это если раньше надо было вывести мсгбокс то люди искали какой там , Аноним (50), 11:52 , 24-Май-23, (50) // ПОПА 8212 Пакетно-Ориентированная Программная Архитектура, Аноним (63), 14:29 , 24-Май-23, (63) +4 Раст это прошлый век, где новость про mojo , Аноним (54), 13:59 , 24-Май-23, (62) –1 // Скрыто модератором, Анонин (?), 15:01 , 24-Май-23, (65) +1 С mojo и карбон не уплачено , Аноним (67), 15:12 , 24-Май-23, (67) Mojo пока что не опенА так в телеге есть канал - там побольше новостей про него, Hck3r (?), 20:22 , 24-Май-23, (73) А вместе с тем главная гугла на https github com google говорит Top languages, Аноним (24), 19:47 , 24-Май-23, (71) –1 // Мозилла тоже много чего говорила, Аноним (7), 22:22 , 24-Май-23, (77) Странно, а где же карбон и можо, Аноним (78), 22:30 , 24-Май-23, (78) –1 // Скрыто модератором, Аноним (-), 07:31 , 25-Май-23, (79) 1,6,7,9,13,18,20,23,24,28,29,30,50,62,71

Сообщения

[Сортировка по времени | RSS]

1. "Google опубликовал результат аудита используемых пакетов на ..."	+21 +/–
Сообщение от Kuromi (ok), 23-Май-23, 22:57
И в чем суть отчета?
Ответить | Правка | Наверх | Cообщить модератору

	2. "Google опубликовал результат аудита используемых пакетов на ..."	–14 +/–
	Сообщение от kleemhead (?), 23-Май-23, 23:00
	Почитай
	Ответить | Правка | Наверх | Cообщить модератору

	8. Скрыто модератором	+6 +/–
	Сообщение от Аноним (-), 24-Май-23, 00:59
	https://github.com/google/supply-chain/blob/main/audits.toml Почитал. И?
	Ответить | Правка | Наверх | Cообщить модератору

	3. "Google опубликовал результат аудита используемых пакетов на ..."	–4 +/–
	Сообщение от f95 (ok), 23-Май-23, 23:05
	Раньше, это когда еще Сишные дыры аудировали, приходилось в отчётах всё это как-то суммаризировать и расписывать. Сейчас конечно никаких проблем возникнуть не может в принципе, а отчеты мы формируем для обратной совместимости
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	4. "Google опубликовал результат аудита используемых пакетов на ..."	+5 +/–
	Сообщение от warlock66613 (ok), 23-Май-23, 23:09
	Нет никакого отчёта. Есть предоставленные гуглом маркировки 389 пакетов, которые можно использовать для себя.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	10. "Google опубликовал результат аудита используемых пакетов на ..."	–2 +/–
	Сообщение от Аноним (10), 24-Май-23, 03:40
	Можно список этих 389 пакетов, а то раста и карго в системе нет.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Google опубликовал результат аудита используемых пакетов на ..."	+3 +/–
	Сообщение от Аноним (14), 24-Май-23, 06:08
	Конечно специально для тех кто больше заголовка осилить не может ловите ссылку https://github.com/google/supply-chain/blob/main/audits.toml
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (10), 24-Май-23, 07:36
	Выражаю особую благодарность тому, кто любит делать чужую работу! )
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (14), 24-Май-23, 13:05
	Помощь интеллектуально неодаренным наша обязанность!
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (10), 24-Май-23, 16:48
	Интеллектуалы ленивые люди, поэтому любят смотреть как другие делают работу за них.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Google опубликовал результат аудита используемых пакетов на ..."	+10 +/–
	Сообщение от topin89 (ok), 23-Май-23, 23:21
	"Раст -- это круто. Его пакетный менеджер -- тоже. Его пакеты -- как повезёт, смотреть надо. Мы посмотрели 389 из них, так что вам необязательно. Но предлагаем быть как мы: смотреть другие пакеты и делиться результатами. Наш результат пригоден для `cargo vet`. Продолжение следует. Присоединяйтесь."
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	16. "Google опубликовал результат аудита используемых пакетов на ..."	–3 +/–
	Сообщение от Аноним (16), 24-Май-23, 06:42
	> Для использования в своих проектах предоставлен файл для проверки зависимостей при помощи команды cargo vet на предмет соответствия требованиям к безопасности, корректности и тестированию. > Применение "cargo vet" позволяет гарантировать, что в проекте используются только проверенные зависимости, которые удовлетворяют заранее определённым условиям. В Gentoo, лет 15 назад, разрабы дистрибутива выполняли эту работу. И моё мнение, что это работа именно разрабов дистрибутивов. Чтобы не было дублирования обмен патчами и координация в багтрекере конкретной программы приветствуется. > результаты аудита 389 crate-пакетов Советую разделять пакеты более чем на две категории по стабильности и безопасности. 1. Проверена аутентичность и целостность архива исходных текстов. (Верификация подписи OpenPGP по белому списку открытых ключей). Тестирование безошибочной сборки и работы программы в локальных репах (оверлеи Gentoo). Добавление патчей по функциональности. 2. Добавление версии пакета в нестабильную ветвь дистрибутива, для конкретной архитектуры. Публичное тестирование не менее 30 дней. Добавление стабилизирующих патчей. 3. Добавление версии пакета в стабильную ветвь дистрибутива, для конкретной архитектуры. Добавление патчей безопасности. 4. Добавление версии пакета в супер-стабильную ветвь дистрибутива после проведения рецензирования/аудита кода, для конкретной архитектуры. (Хотели в Gentoo её сделать, но 15 лет назад упустили момент с большим обёмом доверительного, рецензированного и проверенного кода. Пакеты сменили разрабов, люди рецензировавшие код и проводившие аудит разбежались. Смысла для сегодняшней супер-стабильной ветки уже нет.)
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от dannyD (?), 24-Май-23, 07:24
	>>Смысла для сегодняшней супер-стабильной ветки уже нет. ну и очень зря, припаривает пересобирать каждый rX.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (27), 24-Май-23, 09:02
	>> Смысла для сегодняшней супер-стабильной ветки уже нет. > ну и очень зря, припаривает пересобирать каждый rX. Не в супер-стабильной ветки дело. Достаточно вернутся к старой политике безопасности. Причина, частого пересбора -rN в неверной текущей политике безопасности: Старая, сильная и правильная, политика безопасности: https://wiki.gentoo.org/wiki/Project:Hardened "make Gentoo viable for highly secure, high stability" Новая, слабенькая, политика безопасности: https://wiki.gentoo.org/wiki/Project:Security "to ensure that vulnerabilities in software accessible through the Portage tree are found and fixed"
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (81), 25-Май-23, 08:40
	Баги фиксить все равно надо даже в Hardened системах. Хоть эксплуатация дыр значительно затруднена, но их наличие на стабильность работы при вирусной атаке будет влиять отрицательно. Hardened система дает больше времени для разработки, проверке и стабилизации патчей, плюс закрывает 0-day дыры.
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от warlock66613 (ok), 25-Май-23, 08:57
	> И моё мнение, что это работа именно разрабов дистрибутивов. Это _другие_ пакеты. Они не имеют отношения к пакетам дистрибутивов Линукс (если не говорить о сильно экзотических дистрибутивах а-ля NixOS).
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	87. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (-), 25-Май-23, 20:37
	> В Gentoo, лет 15 назад, разрабы дистрибутива выполняли эту работу. И моё мнение, что это работа именно разрабов дистрибутивов. Чтобы не было дублирования обмен патчами и координация в багтрекере конкретной программы приветствуется. Мейнтейнеры дистров не справляются. Попробуй что-нибудь типа репов пакетов ruby использовать или для common-lisp'а, да хоть для пайтона. Там у них какие-то древнючие версии пакетов, и далеко не все пакеты. Вот до чего руки дошли, то они и опакетили, а всё остальное часто доступно только если забить на системный пакетный менагер вообще. И зачем мне мейнтейнеры дистров в багтрекере с их идеями поддерживать какие-то допотопные системы? Им надо, пускай они и заморачиваются, бекпортируют или любой другой мастурбацией занимаются. Юзеры -- другое дело, их интересы стоит учесть, но мейнтейнеры дистров здесь просто ненужная прослойка, которая мешает всем. То есть, если бы они справлялись бы с программерскими репами, откуда я могу тягать реализации алгоритмов и структур данных под свои нужды, и были бы готовы расширять поддержку  в ответ на мои нужды, то с ними можно было бы разговаривать. Но когда они от меня хотят, чтобы я даунгрейдил версии... да шли бы они знаешь куда? Не могут опакетить, их проблемы. Я appimage сформирую, и пускай они дальше не опакечивают. Кому они нужны? > Советую разделять пакеты более чем на две категории по стабильности и безопасности. Открой данные отчёта и ты увидишь, что там сильно более двух категорий. Они по нескольким осям классифицируют, и для каждого пакета несколько градаций. Прям идеальная система прямо как тебе хочется. Ты зря нос воротишь.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	12. "Google опубликовал результат аудита используемых пакетов на ..."	+1 +/–
	Сообщение от Bob (??), 24-Май-23, 05:59
	Видимо так "накодили", что понадобился аудит...
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема