https://mobile.opennet.me/openforum/vsluhforumID3/120405.html Компания ReversingLabs опубликовала результаты анализа применения тайпсквоттинга в репозитории RubyGems. Обычно тайпсквоттинг применяется для распространения вредоносных пакетов, рассчитанных на то, что невнимательный разработчик при поиске допустит опечатку или не заметит разницы. В ходе исследования было выявлено более 700 пакетов, названия которых схожи с популярными пакетами и отличаются незначительными деталями, например, заменой похожих букв или использованием подчёркивания вместо тире...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52785<br> https://mobile.opennet.me/openforum/vsluhforumID3/120405.html#58 Fri, 24 Apr 2020 10:07:44 GMT &gt; gpg --check-trustdb <br>&gt; Дает возможность верифицировать базу публичных ключей.<br>&gt; Можно в настройках потребовать чтобы каждый публичный ключ имел не 3, а <br>&gt; 5 подписей.<br>&gt; Эти 2 экаунта, что 700 зловредов запостили точно не собрали бы даже <br>&gt; 3 подписей.<br><br>и что же им помешает набрать подписи???<br> https://mobile.opennet.me/openforum/vsluhforumID3/120405.html#57 Fri, 24 Apr 2020 10:04:22 GMT &gt; какие майнтейнеры? Там практически анонимная свалка.<br><br>а кто, используя RubyGems, понимает это? большинство считают репозиторием а не свалкой<br> https://mobile.opennet.me/openforum/vsluhforumID3/120405.html#56 Fri, 24 Apr 2020 08:22:29 GMT приношу извининения, тк я не думал, что существуют настолько открытые репозитории (точнее свалка)<br>и не думал что существуют те, кто таким слепо пользуется<br><br>не перестают удивлять феноменам современности<br><br>просто дичь<br> https://mobile.opennet.me/openforum/vsluhforumID3/120405.html#55 Fri, 24 Apr 2020 07:41:23 GMT При чем тут закрытый код? Речь про открытые репозитории, неважно, что в них лежит, проприетарной или открытое ПО.<br><br>Это как сайт без HTTPS, открытый для MITM. Неважно, на чем он написан, ASP.NET или RoR, открыт его код или закрыт.<br><br>Речь о том, что нужно ужесточать контроль за репозиториями. Например, все так же разрешать загружать любые пакеты, но делать процедуру получения флага "trusted", а пользователи без флага маркировать как требующие особой осторожности со стороны пользователей.<br> https://mobile.opennet.me/openforum/vsluhforumID3/120405.html#54 Thu, 23 Apr 2020 14:47:26 GMT &gt; NPM всего-то в 100+ раз больше размером <br><br>И за RubyGems стоит компания Ruby Inc, у которой репа и все с ней связанное - основная часть бизнеса?<br>Или опять сравнивается мягкое и фиолетовое?<br> https://mobile.opennet.me/openforum/vsluhforumID3/120405.html#52 Thu, 23 Apr 2020 13:43:26 GMT Ну частично сами виноваты - надо быть конченым чтобы различать - и _ в названиях пакетов, а вообще вполне ожидаемо от uncurated репозитория - в pypi и npm такие же проблемы. Поэтому их можно рассматривать только как помойки, а ставить пакеты только через родные репозитории системы, где на них хотя бы посмотрели мантейнеры.<br> https://mobile.opennet.me/openforum/vsluhforumID3/120405.html#50 Thu, 23 Apr 2020 09:20:51 GMT Лучший критерий - время загрузки первой версии.<br> https://mobile.opennet.me/openforum/vsluhforumID3/120405.html#48 Thu, 23 Apr 2020 09:16:33 GMT Тогда уж coprository.<br> https://mobile.opennet.me/openforum/vsluhforumID3/120405.html#47 Thu, 23 Apr 2020 08:14:01 GMT &gt;В RubyGems выявлено 724 вредоносных пакета<br><br>Зловещие мертвецы<br>