The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В пакетах, размещённых в PyPI, выявлено 57 забытых ключей доступа к AWS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В пакетах, размещённых в PyPI, выявлено 57 забытых ключей доступа к AWS"  +/
Сообщение от opennews (??), 07-Янв-23, 08:49 
Опубликованы результаты сканирования пакетов в репозитории PyPI (Python Package Index) на предмет наличия забытых в коде ключей доступа к Amazon Web Services (AWS). Провести проверку побудил прошлогодний инцидент с утечкой  AWS-ключей  компании InfoSys. Как оказалось случай не единичный и в коде представленных в PyPi пакетов удалось выявить ещё 57 действующих ключей, которые присутствовали среди прочего в проектах таких крупных компаний, как Amazon, Intel, Terradata,  General Atomics, Top Glove и Delta Lake, а также в репозиториях австралийского правительства и университетов Сендфорда, Портланда и Луизианы...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58446

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  –2 +/
Сообщение от Аноним (1), 07-Янв-23, 08:49 
А в чём суть проблемы, собственно? Так много написано и не написано главного.
Ответить | Правка | Наверх | Cообщить модератору

5. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +2 +/
Сообщение от Аноним (5), 07-Янв-23, 10:33 
В ненавязчивой рекламе shitgrep, написанного на хрусте.

Обычный-то, дидовский, ну никак бы не подошел.

Ответить | Правка | Наверх | Cообщить модератору

10. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +2 +/
Сообщение от вымя (?), 07-Янв-23, 13:37 
А из-за --multiline из дедовского без костылей подошёл бы только pcregrep.

Ну и на всём объёме PyPI разность в скоростях грепа уже начинает быть заметной.

Ответить | Правка | Наверх | Cообщить модератору

11. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  –6 +/
Сообщение от пох. (?), 07-Янв-23, 14:18 
Ну конечно ж ты найдешь кучу ключей (даже не среди активных 57, а включая 57000 тех похожих строчек что не подошли к aws, но были найдены в коде) написанных в две строки. В питон-коде это особенно часто принято. Ой, только вот в их регексе это почему-то не учтено.

> Ну и на всём объёме PyPI разность в скоростях грепа уже начинает быть заметной.

нет (даже если разница существует не только в фантазиях хрустиков). потому что совершенно все равно, выполняется ли _одноразовая_ операция час или четыре.

Ответить | Правка | Наверх | Cообщить модератору

16. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +5 +/
Сообщение от вымя (?), 07-Янв-23, 18:38 
> Ой, только вот в их регексе это почему-то не учтено.

Полный регексп, который ты, как выяснилось, и не читал, и тот гораздо легче воспринимается, чем первая половина твоего коммента, который выглядит так, будто за меня уже ещё кучу всего додумали. А потом ты удивляешься, чего это тебе ересь всякую в комментах отвечают.

> совершенно все равно, выполняется ли _одноразовая_ операция час или четыре.

Она одноразовая до тех пор, пока ты не захочешь эту регулярку дописать, а это желание непременно возникнет только потому, что никто веб-ма... ээээ, джуниоров не бьёт палкой по рукам с целью заставить их палить ключи Единственно Правильным И Заведомо Известным Способом. А весь PyPI, который грепался — это более десятка терабайт *гзипнутых* данных. Один час тут только займёт чтение в никуда без распаковки, при условии, что есть хранилище, которое может насытить PCI-E 4.0 ×16. Помножь на коэффициент сжатия, на накладные расходы грепа, и вот одна итерация как-бы-одноразовой-но-как-бы-и-не-совсем задачи уже приближается к суткам. Удобноооо, аж жуть!

Как там бузинесс по выгулу собак, не релоцировался ещё?

Ответить | Правка | Наверх | Cообщить модератору

38. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от Аноним (38), 08-Янв-23, 02:28 
> совершенно все равно, выполняется ли _одноразовая_ операция час или четыре

Боже, что он несёт… Медленнее, ребятки, лучше, чем быстрее. Такие дела.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

23. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +1 +/
Сообщение от Аноним (23), 07-Янв-23, 21:40 
Ripgrep превосходная утилита, эффективная и фичастая. А на язык пофиг, не веди себя как свин.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +7 +/
Сообщение от YetAnotherOnanym (ok), 07-Янв-23, 10:44 
На трёхнедельных курсах будущим питонокодерам ничего не говорят о удалении каких-то там ключей из кода перед его публикацией.
Ответить | Правка | Наверх | Cообщить модератору

7. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от Аноним (1), 07-Янв-23, 11:04 
Такие ошибки допускают в основном корпоративные кодеры, у них там и секреты плейнтекстом в ps светить норм. Это никакого отношения к квалификации кадров не имеет, скорее говорит о культуре.
Ответить | Правка | Наверх | Cообщить модератору

12. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  –6 +/
Сообщение от пох. (?), 07-Янв-23, 14:19 
> Такие ошибки допускают в основном корпоративные кодеры

потому что у тебя, ванька, нет денег ни на какие aws instances.

Да и забанен ты там давно.

Нет ключа, нечего прогадить, логично.

Ответить | Правка | Наверх | Cообщить модератору

15. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +2 +/
Сообщение от Аноним (15), 07-Янв-23, 18:32 
>секреты плейнтекстом в ps светить норм
>никакого отношения к квалификации кадров не имеет

прикольно

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

22. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +4 +/
Сообщение от Аноним (22), 07-Янв-23, 21:38 
> никакого отношения к квалификации кадров не имеет

Жалкая попытка выгораживания гуманитариев-самоучек. Хотя, в IT давно не видать специалистов с профильным высшим образованием (оборонка и гос. структуры не в счёт).

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

24. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от Аноним (1), 07-Янв-23, 21:44 
Только речь идёт о высокооплачиваемых специалистах с вполне себе образованием и прошедших отбор, в основном у них такая лажа случается. Такие люди считают, что они лучше знают, что можно делать, и что нельзя, и в итоге творят всякую дичь.
Ответить | Правка | Наверх | Cообщить модератору

26. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  –4 +/
Сообщение от Аноним (26), 07-Янв-23, 21:53 
Высокая зарплата не означает, что человек является специалистом. Я работаю в оборонном предприятии инженером, моя квалификация, и та работа, которую я проделываю (в плане полезности), даже близко не стоит рядом со всякими игроделами, вэб-"разработчиками" и т.д., но зарплата у меня меньше раза в четыре, чем у моего сына, который работает в торговой сети региональным менеджером, имея 9 классов образования + незаконченное ПТУ, но имеет подвешенный язык, общительный и "пробивной".
Ответить | Правка | Наверх | Cообщить модератору

28. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +2 +/
Сообщение от Аноним (28), 07-Янв-23, 23:15 
> та работа, которую я проделываю (в плане полезности), даже близко не стоит рядом со всякими игроделами

Самокритика - это всегда похвально.

Ответить | Правка | Наверх | Cообщить модератору

50. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от YetAnotherOnanym (ok), 08-Янв-23, 12:40 
> прошедших отбор

По умению расфуфыривать хвост.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

52. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от пох. (?), 08-Янв-23, 18:13 
>> прошедших отбор
> По умению расфуфыривать хвост.

тебя опять не взяли? То ли дело в подвальчик, там в темноте даже и не видно, есть у тебя хвост или нет вовсе.

Ответить | Правка | Наверх | Cообщить модератору

57. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от YetAnotherOnanym (ok), 09-Янв-23, 20:30 
Бывало. Но осадочек остался.
Ответить | Правка | Наверх | Cообщить модератору

46. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от пох. (?), 08-Янв-23, 10:12 
Для манки-кодинга ШЕСТЬ гребаных лет жить в общаге на мамины деньги и подрабатывать свободная-касса?
(и потом не найти работу, потому что с опытом написания курсовиков не берут никуда кроме как в "оборонка и госструктуры", причем там и там на зарплату в 16 тыщ)

Когда яндекс или, не к ночи будь помянут, шитбокс какой обещают войтивойти всего за пол-года и можно уже бежать наниматься на галеру?

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

39. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от Аноним (38), 08-Янв-23, 02:32 
Кодерам правильно говорят на курсах, что все эти ключи одноразовые. Спрашивать надо с того, кто писал и применял полиси.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

47. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +1 +/
Сообщение от пох. (?), 08-Янв-23, 10:14 
Угу, именно поэтом они вбивают их в код, и при попытке поменять ключ - "ой, прод упал, срочно верните все как было и объяснительные со всего отдела чтоб через час мне на стол!"

Ответить | Правка | Наверх | Cообщить модератору

55. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от Аноним (38), 09-Янв-23, 19:31 
Ну если прямо-таки прод упал из-за такой ерунды, то ничего не попишешь, придётся меня нанимать чтобы процессы чинить. Такую очевидную лажу пайплайн на мерже в devel должен ловить, раз уж код ревью с перепою делается. На худой конец, stage должен упасть. От херак-херак и в продакшен другой защиты не придумали.
Ответить | Правка | Наверх | Cообщить модератору

58. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от пох. (?), 10-Янв-23, 09:25 
> придётся меня нанимать чтобы процессы чинить
> присутствовали среди прочего в проектах таких крупных компаний, как Amazon, Intel, Terradata,
>  General Atomics, Top Glove и Delta Lake

иди, расскажи им, что тебя срочно надо нанять и ты всепачинишь.

А то пока у тебя кончились все деньги и туалетная бумага.
А код с ключами может даже и не исправил никто до сих пор - эти вот ребята отправили предупреждение на мэйл который принадлежит давно уволившейся обезьянке.

Ответить | Правка | Наверх | Cообщить модератору

8. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  –1 +/
Сообщение от Омномним (?), 07-Янв-23, 12:56 
Обычный типовой PyPI'ц, уже как-то можно даже новостей из этого и не делать, приелось.
Ответить | Правка | Наверх | Cообщить модератору

9. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  –3 +/
Сообщение от user90 (?), 07-Янв-23, 13:12 
Ну мы же знаем, какие васяны на этом пишут))
Ответить | Правка | Наверх | Cообщить модератору

13. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от ИмяХ (?), 07-Янв-23, 15:11 
Хорошо, что в cargo ничего подобного нет и никогда не будет, ибо это принципиально невозможно, благодаря безопасности.
Ответить | Правка | Наверх | Cообщить модератору

14. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +1 +/
Сообщение от Самый Лучший Гусь (?), 07-Янв-23, 18:29 
А усишки нету пакетного менеджера потому такая ситуация вобще невообразима
Ответить | Правка | Наверх | Cообщить модератору

25. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от Аноним (26), 07-Янв-23, 21:45 
> у сишки нету пакетного менеджера

Поэтому этот язык - отдушина для немногих оставшихся IT специалистов-инженеров с профильным образованием, которые разрабатывают программное обеспечение для кретических объектов инфраструктуры и оборонной промышленности. Лично я, как инженер с ещё советским профильным образованием, просто на дух не переношу все эти смузи-технологии для детишек в обтянутых штанишках с розовыми волосами.

Ответить | Правка | Наверх | Cообщить модератору

29. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  –3 +/
Сообщение от Аноним (29), 07-Янв-23, 23:37 
> специалистов-инженеров с профильным образованием, которые разрабатывают программное обеспечение для кретических объектов инфраструктуры и оборонной промышленности.

Да будет самопровозглашенному инженеру известно, что критические объекты инфраструктуры и оборонной промышленности уже лет 40 как не пишутся на убогом С. В этих областях Ada и SPARK.

Ответить | Правка | Наверх | Cообщить модератору

53. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  –1 +/
Сообщение от пох. (?), 09-Янв-23, 10:03 
У "оставшихся" в известной перде инженеров нет никакой ады - во-первых, потому что еще двадцать лет она показала свою малопригодность для разработки и была всеми забыта, кроме немногих уже тогда замшелых дедов. (Которым вполне удалось угробить ракету - оказалось, волшебный язык не помогает от этого никак. Только мешает писать код и усложняет тесты.)

А во-вторых потому что у них там - фортран. Другого компилятора для M1 не написали, видать.

А у crew dragon управление на ведроидах. Ну да, дерьмо. Зато много.

Ответить | Правка | Наверх | Cообщить модератору

48. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  –1 +/
Сообщение от Прохожий (??), 08-Янв-23, 12:25 
у вас явно какая-то особая боль с профильным образованием
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

56. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +1 +/
Сообщение от Аноним (38), 09-Янв-23, 19:35 
Это у него от осознания бесполезности этого образования через год лет после получения. И от той боли пониже спины, которую испытывают дипломированные специалисты, когда понимают, что пять лет практического опыта ценятся при найме выше, чем диплом с отличием, и они просто профукали пять лет вникуда.
Ответить | Правка | Наверх | Cообщить модератору

60. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +1 +/
Сообщение от Аноним (60), 10-Янв-23, 13:10 
> бесполезности этого образования

Когда задумаешься, а что сделали те тонны выпускников "институтов математики и информационных технологий"? А ничего.

Ответить | Правка | Наверх | Cообщить модератору

40. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +2 +/
Сообщение от Аноним (40), 08-Янв-23, 02:33 
Теперь MS завезёт на GitHub трёхфакторную авторизацию?
Ответить | Правка | Наверх | Cообщить модератору

49. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +2 +/
Сообщение от InuYasha (??), 08-Янв-23, 12:37 
Трёхфазную.
Ответить | Правка | Наверх | Cообщить модератору

62. "В пакетах, размещённых в PyPI, выявлено 57 забытых ключей до..."  +/
Сообщение от Аноним (60), 11-Янв-23, 23:26 
к стулу авторов контента
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру