https://www.opennet.dev/openforum/vsluhforumID3/82997.html Разработчики проекта Horde (http://www.horde.org/), в рамках которого развивается серия свободных продуктов для организации совместной работы корпоративных пользователей, сообщили (http://permalink.gmane.org/gmane.comp.horde.announce/708) о выявлении факта внедрения бэкора в некоторые из установочных пакетов. Подробности совершения атаки не приводятся, известно лишь то, что пакеты были модифицированы в результате взлома первичного FTP-сервера проекта. Интегрированный бэкдор позволяет удалённому злоумышленнику выполнить произвольный PHP-код на сервере.<br><br><br>Сообщается, что бэкдор был внедрён только в пакеты с Horde 3.3.12, Groupware 1.2.10 и Horde Groupware Webmail Edition 1.2.10. Модифицированные злоумышленниками версии распространялись с начала ноября по 7 февраля. Пользователям указанных версий рекомендуется удостовериться, что их системы не содержат вредоносного кода. Для этого достаточно осуществить поиск в исходных текстах по маске "$m[1]($m[2])". <br><br><br>Производители Linux-дистриб...<br><br>URL: http://permali https://www.opennet.dev/openforum/vsluhforumID3/82997.html#56 Thu, 16 Feb 2012 18:47:28 GMT &gt; Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик. <br><br>тем не менее именно линукс паровоз опенсорса. <br><br>&gt; Столлман же описывает модель распространения, а не разработки.<br><br>описал он её уже давно, и за это ему спасибо гигантское. сейчас он описывает, как все должны жить. это не модель разработки, это проповедь.<br> https://www.opennet.dev/openforum/vsluhforumID3/82997.html#55 Thu, 16 Feb 2012 10:21:15 GMT &gt; в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD.<br><br>Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик. Столлман же описывает модель распространения, а не разработки.<br> https://www.opennet.dev/openforum/vsluhforumID3/82997.html#54 Wed, 15 Feb 2012 16:36:48 GMT &gt;&gt; Нет доверия.<br>&gt;&gt; Есть знание.<br>&gt; Сколько будет два плюс два?<br><br>А сколько Вам надо? (С) ;)<br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/82997.html#53 Wed, 15 Feb 2012 16:32:00 GMT &gt;&gt; поэтому порочную практику &#171;публикования релизов&#187; давно пора отменить. вместо <br>&gt;&gt; этого указывать на сайте команду для гита, которая вытащит именно то, <br>&gt;&gt; что девелоперы назвали релизом.<br>&gt; Сравним: <br>&gt; Вы предлагаете скачивать из $VCSNAME. При этом это может быть git, svn, <br>&gt; cvs, ...<br>&gt; Нужно всегда знать, как проверять "релиз" в очередной VCS. Хорошо, если это <br>&gt; всегда git.<br><br>в упор не вижу проблемы. md5/sha в портах/портежах проверяются, никто не парится. так же можно и подпись проверять.<br><br><br>&gt; Вы предлагаете мне заочно стать разработчиком, хотя я ничего и не разрабатываю обычно?<br><br>исходники вам зачем тогда? если нужны - нет же проблем разобраться?<br> https://www.opennet.dev/openforum/vsluhforumID3/82997.html#52 Wed, 15 Feb 2012 16:24:33 GMT &gt; (задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в <br>&gt; любимые. то, что где-то фичи нет &#8212; не причина сидеть и <br>&gt; плакать, это повод допилить фичу туда, где её нет.<br><br>истинно так. но легко свести лошадь к воде, но невозможно заставить её пить. фичи напишут, ещё бы на них не забивали.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/82997.html#51 Wed, 15 Feb 2012 16:21:30 GMT &gt; то ссзб, очевидно <br><br>от этого не легче<br> https://www.opennet.dev/openforum/vsluhforumID3/82997.html#50 Wed, 15 Feb 2012 12:15:07 GMT &gt; а всем желающим попользоватся активно ставить себе бегом клиента для коннекта<br><br>apt-get отказывается ставить такие страшные вещи?<br><br>&gt; к очередной _cvs_system_, ню ню <br><br>cvs, svn, git, mercurial. нет, я понимаю, что для рая на земле надо только apt-get, но у нас, обитателей мрачных лабиринтов соурс-бейзед, оно уже стоит. да. и я больше скажу. не будучи программистом как таковым приходится знать все четыре. хотя бы на уровне терминологии и общих принципов. и ты знаешь, ещё никто не умер. хотя я понимаю, проблема не в apt-get install mercurial, проблема потом разбираться. может случиться переполнение памяти ;)<br><br> https://www.opennet.dev/openforum/vsluhforumID3/82997.html#49 Wed, 15 Feb 2012 12:06:40 GMT Я предлагаю посмотреть в общем и целом. Проблема стоит так, что опенсорс более уязвим именно на стадии написания и распространения исходников. И контрольные суммы - это даже не тень решения проблемы в целом.<br>- в проект надо набирать людей. надо как-то проверять их самих и требования к рабочему месту. это раз.<br>- разработчик должен иметь подпись. <br>- проект должен уметь работать с подписями и проверять валидность кода.<br>- должна быть секурити тим.<br>- тот, кто код берёт, должен иметь возможность проверить его аутентичность.<br><br>в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD. <br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/82997.html#48 Wed, 15 Feb 2012 11:47:12 GMT ^ пардон, не посмотрел кому отвечаю.<br>