URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124069
[ Назад ]
Исходное сообщение
"Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp "
Отправлено opennews , 27-Апр-21 10:01 
Компания HashiCorp, известная разработкой открытых инструментариев Vagrant, Packer, Nomad и Terraform, объявила об утечке  закрытого GPG-ключа, используемого для создания цифровых подписей, верифицирующих релизы. Атакующие, получившие доступ к GPG-ключу, потенциально могли внести скрытые изменения в продукты HashiCorp, заверив их корректной цифровой подписью. При этом компания заявила, что в ходе проведённого аудита следов попыток внесения подобных модификаций не выявлено...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55032

Содержание
Сообщения в этом обсуждении
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Анонин , 27-Апр-21 10:01 
Бывает
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Леголас , 27-Апр-21 10:33 
никогда же нет, но вот опять
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 10:03 
Вот заслуживает уважения за то что не скрывают. Асус помнится распространял подписанную его ключом малварь через сервисы обновления (чья операция?).
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено валяйте , 28-Апр-21 12:06 
Ой дурачееек.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено пох. , 27-Апр-21 10:27 
доскер, gcs, curl | sudo su
все пароли от всего плейнтекстом потому что как же ж иначе скрипт сможет их использовать.
Модная современная разработка, continuous degradation.

Почему я и не удивлен?

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Леголас , 27-Апр-21 10:35 
> Модная современная разработка, continuous degradation

с точки зрения двигателей прогресса: главное, что не стагнация, или «устаревание технологий» (:

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено kvaps , 28-Апр-21 07:55 
Ага, "Evolution is better than stagnation" - всё верно :)
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено richman1000000 , 27-Апр-21 10:42 
> continuous degradation

это прям в точку. Даже добавить ничего не могу

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Леголас , 27-Апр-21 11:25 
> Даже добавить ничего не могу

и не надо, просто наградите автора славным зелёным +

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 13:42 
> Модная современная разработка

а чё не так?
жсы, питоны, котлины, ява и ой-ой-ой-какие-нагруженные-перегруженные-сервисы-ой-ой-ёй, бэкэнды головного мозга, андройды, докеры, ой-ой-ёй-какие-высокие-пороги-вхождения-в-малокультурную-нижеплинтусную-разработку...

зато за этот фаршмак платят норм... так и живём...

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 13:58 
Проблема вызвана случайной публикацией пароля, доскер, gcs, curl | sudo su к ней в общем-то не имеют отношения
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Михрютка , 27-Апр-21 20:43 
https://youtu.be/p9bb8qz4FxQ?t=39
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено kvaps , 28-Апр-21 07:57 
А знаете что самое забавное и ироничное в этой ситуации?
Тот факт что Hashicorp Vault - это то самое решение, которые должно было бы решить данную проблему.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 10:47 
Используйте vault говорили они...
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 14:00 
Если бы Codecov использовал vault то вероятно не опубликовал бы пароль
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 28-Апр-21 07:50 
При чём тут Codecov то ?
Хашикорп у себя в проектах использовали Codecov скрипт и очевидно хранили ключи в env ...
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено kvaps , 28-Апр-21 08:06 
Кстати, отличная иллюстрация почему не стоит "хранить все яйца в одной корзинке".

Если они используют контейнеры для запуска CI, то запуск codecov в отдельном контейнере позволил бы избежать этой проблемы. Так как в изолированном окружении он имел бы доступ только коду репозитория и токену GitHub.

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено lockywolf , 27-Апр-21 10:59 
Отличная новость, в которой такой старый пердун как я понял единственное слово: GPG.

О чём вообще речь? Кто все эти люди, и что делают их классные продукты?

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Штыбель , 27-Апр-21 11:03 
С возвращением в мир победившего DevOps'а.
Облака, Докер-Пакер, Непрерывная интеграция, все дела...
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Леголас , 27-Апр-21 11:27 
хочу обратно в анабиоз
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Crazy Alex , 27-Апр-21 19:00 
Уж что-что, а непрерывная интеграция - это хорошо. Гарантированно стандартным образом всё соберёт с нуля и без невоспроизвлдимых хитростей конкретного разработчика, тесты прогонит, анализаторы всякие... милое дело.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено kissmyass , 28-Апр-21 10:13 
к сожалению брехня, не гарантированно, очередное обновление какого-нибудь гитлаб ранера или еще какой системы типа powershell или grunt и всё летит к чертям, притом иногда собирает, но никак не говорит о проблемах, не говоря уже о самом коде, который с определенного момента нужно собирать по-другому

так что это нереально написать скрипт на все случаи жизни... оно конечно упрощает отчасти повседневную рутину, но добавляет гемора по саппорту всего этого велосипеда

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Штыбель , 28-Апр-21 20:23 
>оно конечно упрощает отчасти повседневную рутину, но добавляет гемора по саппорту всего этого велосипеда

Та-даммм... для этого и нужен высокооплачиваемый специалист DevOps Engineer.

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено kissmyass , 29-Апр-21 00:44 
>>оно конечно упрощает отчасти повседневную рутину, но добавляет гемора по саппорту всего этого велосипеда
> Та-даммм... для этого и нужен высокооплачиваемый специалист DevOps Engineer.

если требуются расходы на еще одну штатную единицу для поддержания системы сборки на плаву, не проще ли оплатить некоторое количество часов разработчику за +- тот же самый результат?

притом это скорее всего будет быстрее, дешевле и с лучшим знанием проекта

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено анонн , 27-Апр-21 14:13 
> Облака, Докер-Пакер, Непрерывная интеграция,

... горы шкурок от бананов, оглушающие крики "Уг-уг! Аг-аг-аг-а-а!", из гигантской кучи экскрементов виднеется часть  исполинской статуи Древних Предтеч -  гигантская рука, сжимающая не менее гигантский факел ...

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено YetAnotherOnanym , 27-Апр-21 14:31 
> часть исполинской статуи Древних Предтеч -  гигантская рука, выставившая не менее гигантский средний палец...

Пофиксил.

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 28-Апр-21 13:40 
>> часть исполинской статуи Древних Предтеч -  гигантская рука, выставившая не менее гигантский средний палец...
> Пофиксил.

Зачем было фиксить классическую отсылку к "Планете Обезьян"?

https://smarthistory.org/wp-content/uploads/2020/07/PotA-sca...

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 13:45 
> Кто все эти люди, и что делают их классные продукты?

болото нынешней it макулатуры

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 11:02 
SaaS-ификация разработки от-SaaS-ла
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 12:20 
Нагородили фигни со своими докерами, теперь страдают.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 13:50 
> для взлома инфраструктуры атакующие воспользовались
> ошибкой в процессе создания Docker-образа

бесценно...

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 14:01 
Чем именно? Точно такая же ошибка может быть и при создании iso или rpm или deb или чего угодно.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено andy , 27-Апр-21 16:18 
> Точно такая же ошибка может быть и при создании iso
> или rpm или deb или чего угодно.

Какая же это "такая ошибка" может быть при создании deb или rpm?

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Crazy Alex , 27-Апр-21 19:02 
Случайно засунуть туда ключи доступа к инфрастрруктуре, вестимо.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 28-Апр-21 08:31 
Звучит как из области фантастики.
Давно не встречал взломов инфраструктуры из-за deb/rmp. А обсижёр докеров или выходов за пределы вмок - регулярно.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 14:15 
Университет Миннесоты теперь ложит докеры?
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 14:27 
Кладет же! Пишы правельна!
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 15:20 
Дитмар Эльяшевич?
Так то ж просторечие разговорного жанра, не мне вам рассказывать.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено псевдонимус , 27-Апр-21 15:46 
Хорошая новость. Подробная.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено псевдонимус , 27-Апр-21 16:14 
Докер это глобально и надёжно. Отраслевой стандарт.

Линукс собственно и нужен для запуска докера.

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 17:42 
Чёт народ тут не признает новые технологии. Удивительно что кто-то хейтит доккер.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Noname , 28-Апр-21 11:33 
Потому что при выборе шашечек или ехать, приехали.

Делали б по заветам Таненбаума и Кнута, может быть меньше обсирались.

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 18:07 
>Изменения были внесены ещё 31 января, два месяца оставались незамеченными и позволяли злоумышленникам извлекать информацию, хранимую в окружениях систем непрерывной интеграции клиентов. При помощи добавленного вредоносного кода злоумышленники могли получить информацию о тестируемом Git-репозитории и всех переменных окружения, в том числе включающих токены,

То ли дело Coveralls:  https://github.com/TheKevJames/coveralls-python/blob/54be754...

"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 19:41 
Сначала прочитал Valgrind.
А vagrant - тот еще пц интеграции. Как-то разок попробовал и стало ясно что яуж как нибудь сам, ручками.
С их джентельментским набором все это предсказуемо, даже и на новость не тянет. Давайте про каждого ламера теперь писать будем. Больше статей - больше рекламы.
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено амоним , 27-Апр-21 20:20 
а что не так с их набором?
отличные решения, каждая софтина закрывает определенный участок
"Внедрение вредоносного кода в скрипт Codecov привело к компр..."
Отправлено Аноним , 27-Апр-21 23:46 
Внедрение вредоносного кода в бредоносный говнокод.