https://ssl.opennet.dev/openforum/vsluhforumID3/132595.html GitHub раскрыл сведения об уязвимости, позволяющей получить доступ к содержимому переменных окружений, выставленных в контейнерах, применяемых в рабочей инфраструктуре. Уязвимость была выявлена участником программы Bug Bounty, претендующим на получение вознаграждения за поиск проблем с безопасностью. Проблема затрагивает как сервис GitHub.com, так и конфигурации GitHub Enterprise Server (GHES), выполняемые на системах пользователей...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60448<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132595.html#30 Thu, 18 Jan 2024 08:17:37 GMT Топор с надпиленным топорищем - тоже, вроде бы, топор<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132595.html#29 Thu, 18 Jan 2024 03:51:15 GMT Следить за людьми тредно да?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132595.html#28 Wed, 17 Jan 2024 21:25:10 GMT Все равно что предъявить вину молотка криворукому плотнику. Язык это всего лишь инструмент.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132595.html#27 Wed, 17 Jan 2024 21:23:15 GMT Ущербны любые децентрализованные системы, а централизация и строгая вертикаль - путь к порядку и стабильности.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132595.html#24 Wed, 17 Jan 2024 20:23:21 GMT Я один подумал, что ущербна сама идея централизованного храниния секретных ключей на GitHub?<br><br>Ведь именно по этой причине появилась эта уязвимость...<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132595.html#23 Wed, 17 Jan 2024 18:26:58 GMT Начать с того, что такие ключи, сгенерированные самой платформой &#8212; лишь ограниченно полезны. Они не определяют автора коммита, а определяют пользователя сервиса (доверие в рамках одной платформы). Если человек идёт на другую платформу, то там ему генерируют другой ключ &#8212; кроссплатформенного доверия здесь нет, и вопросы по критичным воркфлоу и проверкам должны начинаться уже здесь.<br><br>Хранить хэши коммитов отдельно не нужно: есть дата в коммите и дата отзыва ключа &#8212; всё, что позже, по воркфлоу декларируется невалидным. Понятно, что это неудобно и требует телодвижений. Но когда платформа произвольно генерирует ключи &#8212; то стоит ожидать, что и отзывает их она по своему усмотрению. Если нужно контролируемый воркфлоу &#8212; то ключ создаётся на своей стороне и используется при коммитах, в платформы вгружается публичная часть. Его можно отзывать контролируемо.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132595.html#22 Wed, 17 Jan 2024 17:47:36 GMT &gt; Без этой обвязки гит это смешное скопление костылей никому кроме "кернел девелоперс" рассылающих патчи емейлами ненужное.<br><br>Обвязка дополняет git, и вообще опциональна. Она красивая, удобная и прочее &#8212; но быстро потеряет популярность, если убрать git.<br>Думаю, практически проверять GitHub это не будет.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132595.html#20 Wed, 17 Jan 2024 17:43:54 GMT Ну вот bitbucket поменял меркуриал на git - что, все пользователи разбежались? Проделает такой же кунштюк github - так же ничего не изменится. ВоЙены будут воевать, борцуны - бороцца, а индус-триальные погроммизды - погроммиздить.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132595.html#19 Wed, 17 Jan 2024 17:18:48 GMT &gt;Либо, в анонсе нам дали не всю информации.<br><br>Ты думаешь что тут есть часть инфлрмации правдивой. Мнда... как все пичально<br>