Раскрыты сведения об уязвимостях в обработчиках GitHub Actions, автоматически вызываемых при отправке pull-запросов в репозиторий пакетов Nixpkgs, применяемый в дистрибутиве NixOS и в экосистеме, связанной с пакетным менеджером Nix. Уязвимость позволяла постороннему извлечь токен, предоставляющий доступ на запись и чтение к исходному коду всех пакетов, размещённых в Nixpkgs. Данный токен позволял напрямую вносить изменения в любой пакет через Git-репозиторий проекта, в обход процессов проверки и рецензирования изменений...Подробнее: https://www.opennet.me/opennews/art.shtml?num=64059
Я так понимаю ИИ в никсы уже завезли. Очень похоже на уязвимость в гитхабе с выдачей ИИ паролей при прямом запросе.
Надо было запилить свой гитхаб, но только очень функциональный (без всякой вебни и императивщины), с монадами и без постэффектов, а так же декларативный.
а вообще хотелось бы такого
> свой гитхаб
> но только очень функциональныйИ пусть каждый pull request требует доказательство от противного. (ФωФ)
Но сначала нужно доказать, что тот, кто будет доказывать пулл реквест - является противным.
Все пулл-реквесты по умолчанию реджектятся, а дальше вступает в дело функция, которая выведет доказательство.
Скопировал символ "ω", буду применять в дискуссиях ;-)
PS: Наверное первая полезная вещь от всех никсос-тусовки :-р
Darcs.Ну или написанный на Rust Pijul.
Осталось написать сопоставимый с GitHub сайт на Haskell (бэк и, возможно, фронт), PureScript (фронт), Elm (фронт).
Можно даже без git!
Почему у каких-то бородатых луддитов из OpenBSD есть свой got - а у Самой Передовой В Мире Системы с Самым ЛуДшим Пакетным Менеджером (Который позволяет держать в системе ВСЕ версии пакета одновременно!*) - своей Самой Лудшей В Мире (Основанной на наработках пакетного менеджера) системы управления версиями нет?!!("Все" означает "все, КРОМЕ луддитских X11 от Васянов)
> Самая надежная NixOS.Именно так. В других дистрибутивах были уязвимости как в самой инфраструктуре, так и в пакетных менеджерах. Но, в отличие от nixos, в других дистрибутивах ты можешь лишь гадать что у тебя там зловред в системе изгадил. В nixos пересобрать систему ты можешь в любой момент, сделать её чистой установкой одной командой.
Комментарий для ответа пропал, что же...
>> Самая надежная NixOS.
> Именно так. В других дистрибутивах были уязвимости как в самой инфраструктуре, так
> и в пакетных менеджерах. Но, в отличие от nixos, в других
> дистрибутивах ты можешь лишь гадать что у тебя там зловред в
> системе изгадил. В nixos пересобрать систему ты можешь в любой момент,
> сделать её чистой установкой одной командой.Ну да, ну да, как никсоводам набрасывать в новостях по другим дистрам, когда там обcepyтся, так это за здоров живёшь, а как у никсоводов жиденько тренькнули в штанишки, то сразу: "ну, оно всё же не такое жиденькое, как у других, и даже не такое пачкающее, и не такое вонючее, вон клеёночку мы покладываем и можно быстренько сполоснуться под душиком!"
Пц, никсоводы мастера этодругина и переобувки в воздухе 80 lvl xD
Гитхаб экшоны в nixos не используются ни для чего серьёзного, лишь для проверки кодстайла и прочего, я удивлён что там вообще какие-то credentials существуют зачем-тоЧтобы атака к чему-либо привела, атаковать надо hydra.nixos.org, что уже и является CI. Либо хотя бы ofborg, потому что у него право на мерж есть и доступ хоть к каким то сборочным машинам.
По делу есть что сказать? Не вижу контраргумента против быстрого восстановления чистой системы. В других дистрибутивах ты НЕ сможешь найти зловред и тебе придётся либо целиком накатывать бекап, либо переустанавливать. Теперь понятно?
> По делу есть что сказать? Не вижу контраргумента против быстрого восстановления чистой
> системы. В других дистрибутивах ты НЕ сможешь найти зловред и тебе
> придётся либо целиком накатывать бекап, либо переустанавливать. Теперь понятно?Бэкап на дискетах уже давно не хранят, если что. А в остальных случаях, сказки Венского Леса о том, что пересборка всего и вся из сорцов будет быстрее восстановления из бэкапа ... вызывают некоторые сомнения.
Ну и да: "сделать её чистой установкой одной командой." не очистит твой хомяк от зловреда.
> пересборка всего и вся из сорцовПри чём здесь пересборка из исходных кодов? Вы видимо не разбираетесь в nixos от слова совсем. Поставьте, изучите, поймёте в чём ошибаетесь. А то критикуете впустую.
> Ну и да: "сделать её чистой установкой одной командой." не очистит твой хомяк от зловреда.Очистит, так как в nixos есть home manager для декларативного управления конфигами и (при наличии) бинарников в директории пользователя.
Ещё раз: в nixos контролируется не только системные конфиги и бинарники, но и пользовательские home.
Плюсом можно добавить модуль impermanence, который позволяет самому добавлять директории на диск, а остальную систему держать в tmpfs (хоть весь / если захочется). B получается чистая и предсказуемая система, которая не захламляется мусором и кэшем.
именно не так
"репродюсибилити" вообще не имеет никакого отношения к надежности и самому факту что систему изгадил зловред
манипуляшки у никсосеров уровня дошколят
Не знаете что такое воспроизводимость? Изучите на досуге. А то я перечислил аргументы, а вы что в контраргументы приводите? Ничего кроме кривляний.
что ты несёшь?
Это, конечно, интересно. Но препятствует ли NixOS (и любой другой дистрибутив) попытке за rm-шить/скопировать и отпавить куда-либо содержимое домашней директории?
Именно там хранится всё самое важное и нужное. Года два назад я копированием соответствующих папок переносил различные авторизации при переустановки системы (ещё до перехода на NixOS).
Есть ощущение, что вне всяких серверов, смотрящих в мир, как будто и рут не нужен.
Эх, а я говорил, что надо слезать с гитхаба, как в: "Когда убьют тогда и приходите"
тут просто комбо: маленькие криворукие nixos-сектанты + "программисты" из определённой страны из майкрософт
В NixOS? Ха! Было бы что компроментировать. Там уже все скомпрометировано до вас.