Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и осуществлена подстановка вредоносного обработчика Github Action в 817 репозиториев. Атака привела к утечке 3325 секретов, используемых в системах непрерывной интеграции и передаваемых через переменные окружения, включая токены доступа к PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам...Подробнее: https://www.opennet.me/opennews/art.shtml?num=63831
> GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub.Как новорится, ССЗБ. Нечего в проприетарном не селфхост облаке хранить критичные данные.
Дядя Петя, ты дундук? (с)> Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.
Что мешает взломать твое не проприетарное селфхостед облако?
Если ты им пользуешься сам, то может тебе хватит "Новая Папка (1)", "Новая Папка (2)" и тд?
А если у тебя распределенная команда, то вероятность того что их взломают, не меньше гита.
>"Новая Папка (1)", "Новая Папка (2)" и тдА что, на self hosted запрещается использовать git daemon?
Отсутствие неподконтрольного тебе обработчика
Если команда небольшая удобнее просто использовать Fossil вместо папок.
GitHub всё больше в помойку превращается. Большинство реп никому не нужны кроме хозяина. А с приходом ИИ всё становится ещё печальней.
Угу, отрвился хлебом - пеки сам
Никогда такого не было и вот опять ?
Ага.
Если учетку мейнтенера сломают, то могут сделать плохие вещи.
Кто бы мог подумать?!!ИЧСХ у "типа конкурентов" гитхаба есть такие же экшены
docs.gitlab.com/user/project/quick_actions/
docs.gitea.com/usage/actions/comparison
Gitlab это скорее клон github
Нормальную конкуренцию может составить radicle.xyz
> Нормальную конкуренцию может составить radicle.xyzЭто ты про п2п штуку для нетакусиков?
Нормальные люди такой дичью не страдают.
Ты бы еще даркнет предложил)
Что у вас с логикой? Конкуренцию продукту А может составить продукт Б, который лучше удовлетворяет запрос потребителя, либо имеет другие рыночные преимущества.То что вы говорите, это _разнообразие_, а не конкуренция.
По вашей же логике получается, что конкуренцию БМВ и Ауди может составить паровой автомобиль.
Системы непрерывной интеграции троянов всё заинтегрировали нормально.
Ваши предложения?
Передевать код на дискетках как диды?
Кричать "вася не трогай файл N я туда сейчас буду изменения заливать!"?
Не делать автотесты перед мерджом?
да лучше на дискетах, сто процентов безопасно
Особенно, если она размагнитится по пути.
Два чая этому господину!
Мои дискеты не размагнитились за 35 лет. Что у тебя там за путь или дискеты?
Сказочник, блин
Даже для того, что бы донести из дома до универа писали минимум на две дискеты, потому что одна вполне может размагнитится даже за время пути из дома в универ. А у тебя якобы за 35 лет нифига
Ну, то есть я тебе верю. У тебя нет ни одной дискеты и потому ни одна не размагнитилась
Твоя сказка про твои дискеты и путь выглядит для меня как "купил колонки в магазине за 100500 денех, пока нёс до дома, магниты в динамиках размагнитились". :D Если то не понимаешь что такое "размагнитились" или от чего реальное размагничивание происходит, то ты ССЗБ.
Знаешь в чем твоя проблема?
У тебя не было дискет, ты в те времена еще не родился, а теперь тут рассказываешь сказки об их надежности
> Знаешь в чем твоя проблема?
> У тебя не было дискет, ты в те времена еще не родился,
> а теперь тут рассказываешь сказки об их надежностиТы так уверен, что я подозреваю что у тебя стойкие галлюцинации.
Размагнитится - вряд ли. А вот сектора у трёхдюймовок бились только в путь.
Кстати был случай, у нас упал интернет и мы пушили на флешку (file:// протокол) и пулились оттуда :)
Зачем до каменного века скатываться? Может достаточно просто не доверять свою чувствительную инфу сомнительным людям?
Сомнительные люди тут кто?
Мейнтенеры, учетки которых взломали?
Значит надо обходиться без мейнтенеров и писать все в одну персону.
А чтобы твою учетку тоже не взломали, не доверять код интернету, и хранить его на подкроватном сервере.
>> Сомнительные люди тут кто?Ты хоть новость читал? Очевидно, что разрабы Github Actions Security
Разрабы GitHub actions security просто добавили отправку секретов на деревню дедушке. А вот сам этот экшен добавляли сломанные учётки мэинтейнеров.
> разрабы Github Actions SecurityНет никакого Github Actions Security, там злоумышленники тупо стадию пайплайна так назвали.
Но зачем в это углубляться?
Увидели название гитхаб, вспомнили что ими владеют майкрософт...
Всё этого достаточно чтобы полторы извилины уже отключились, во рту начала собираться пена и с праведным гневом пошли писать глупые комментарии.
Никаких предложений: говорю ж - нормально всё заинтегрировали, очень удобная штука.
Скажите, а мой репозиторий не скомпрометировали? Как проверить?
>Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.А что, двухфакторная авторизация не помогла?
В том виде, в котором она сейчас реализуется, двухфакторка - это лютый энной. Поэтому принужденные к этой фигне реально будут хранить оба фактора в одном менеджере паролей и вкопировать не глядя.
> хранить оба фактора в одном менеджере паролейЧел, второй фактор - это отдельный девайс.
> В том виде, в котором она сейчас реализуется
По твоему заявлению выше очевидно, ты не понимаешь, как она реализуется.
ты и не понимаешь. Тотп и все там
Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. В одном приложении. Удобно. Были бы дешёвые физические устройства для OTP пользовался бы ими
> Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. В одном приложении. Удобно.Но весьма уменьшает безопасность.
> Были бы дешёвые физические устройства для OTP пользовался бы ими
От 50 баксов до ...
Неужели дорого?
> Что пароль что второй фактор OTP храню [...] На одном устройстве.Все стараются увеличить безопасность, но наш брат непобедим!
> Что пароль что второй фактор OTP храню в Keepass. На одном устройстве.
У тебя уже есть мобильный смартфон.
> второй фактор - это отдельный девайсЭто в HOTP требуется синхронизация счётчика (C) между клиентом и сервером. (https://www.rfc-editor.org/rfc/rfc4226#section-5)
В TOTP для счётчика используется общеизвестное синхронизированное время. Достаточно хранить секрет (K), и одноразовый пароль можно вычислить независимо. (https://www.rfc-editor.org/rfc/rfc6238#section-4)
Круть! Но это все как-то противоречит тому факту, что в двуфакторке вторым фактором является отдельный девайс?
В вебе, в двухфакторках используется TOTP. При регистрации/настройке передаётся секрет, из которого с помощью общеизвестного алгоритма и общеизвестного времени получают временный код. Например, в менеджере паролей, вроде KeePassXC. Девайс не нужен.
Даже если девайс типа "требуется" (например, как в Steam), код можно получить без него. Там другой, но также известный алгоритм (в KPXC есть из коробки). Valve просто привязку телефона у вас так беззастенчиво выпрашивает.
https://github.com/keepassxreboot/keepassxc/pull/1206
«Принужденные» всегда при любых условиях будут делать всё, что угодно, лишь бы саботировать принуждателя. Без исключений. Но даже в этом случае не вижу проблемы для конечного пользователя. Хороший менеджер паролей заполнит все поля сам, даже копировать не надо — считай, чуть лучше одинакового пароля на всех ресурсах. Для тех, кому 2fa не жмёт и кто понимает как им пользоваться не жертвуя удобством тоже всё хорошо. Недовольно бухтят только опеннетчики, что тоже хорошо — можно почитать комментарии и в очередной раз убедиться, что без работы на ближайшие 50 лет не останусь. Сплошная благодать. Омммммммм…
> Анализ изменений в репозитории FastUUID показал, что 2 сентября мэйнтейнер проекта добавил коммит с новым обработчиком Github Action, в котором содержался код для отправки токена к репозиторию PyPI на внешний хост.Всё правильно сделал. Он же не бесплатно эту библиотеку разрабатывал. Лицензия явно позволяет ему так делать. Вы бесплатно дары данайцев берёте (что fastuuid, что проект fastllm, купленный задешево по цене разработки "бесплатной" либы-зависимости), а потом удивляетесь "а за що?!" Потому что жизнь такая. Не нравится - можете всю экосистему лично для себя делать. Сначала дейтацентр купите, потом LLM свою натренируйте на своих данных, а потом с помощью LLM персонально для себя перепишите всю софтовую экосистему, какая вам нужно, а иначе так и будете жить на либох, служащих не тебе, а чужому господину.
Таких атак дальше будет только больше: LLM позволяют даже васяну дешево писать "бесплатный" высококачественный код, который уже окупается через бекдоры.
Ст. 273 УК РФ
И какое отношение понятия папуасов имеют к серверам Github?
А ты сам-то с какого раёна будешь?
Это неприменимо: принимая лицензию на программу (включая зависимые библиотеки) вы подтверждаете, что согласны на любой вред, который она нанесёт, и подтверждаете, что вы сами несёте за него ответственность. Иначе можно и разрабов coreutils за бинарь rm обвинить - она может стереть все данные на жёстком диске. Однако разрабы не виноваты, что пользователь не читает лицензи документации, а лучшая документация к программе - это её исходный код. Разрабы fastbullshit делали библиотеку исключительно для себя, то что выложили на github - это чтобы вы поизучать могли, и не виноваты, что вы не читаете исходный код и тащите в свою программу какие попало зависисмости, а равно используете программы других разрабов, не читая их код и не аудируя зависимости, в общем дарёному коню в зубы не смотрите, а конь данайцев оказался.
> принимая лицензию на программуУ УК приоритет выше.
> бинарь rm
Сам себя не запустит. И делает ровно то, о чём заявляет.
> Разрабы fastbullshit
Незаявленное поведение, причиненный вред, злой умысел. Для возбуждения только заявления не хватает.
> "Разрабы"Разработчики обязаны соблюдать законы нашей Вилкой страны! Вы согласны в этом, или нет?
Даже в том случаи, если просто выложил открытый код, разраб должен нести полную ответственность (в том числе и уголовную) за свой код!
А если разработчик находится в другой стране, то он должен быть экстрадирован к нам для суда!