- Атака на зависимости позволила выполнить код на серверах Pay..., Leftpad, 11:03 , 10-Фев-21 (1) +55 [^]
- Атака на зависимости позволила выполнить код на серверах Pay..., Лудакрис, 11:08 , 10-Фев-21 (3) –12 [V]
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 11:18 , 10-Фев-21 (8) +11 [^]
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 11:20 , 10-Фев-21 (10) +9 [^]
- Атака на зависимости позволила выполнить код на серверах Pay..., Dzen Python, 12:50 , 10-Фев-21 (38)
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 13:08 , 10-Фев-21 (48) +7 [^]
- Атака на зависимости позволила выполнить код на серверах Pay..., InuYasha, 22:27 , 10-Фев-21 (153) +6 [^]
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 14:14 , 15-Фев-21 (200)
- Атака на зависимости позволила выполнить код на серверах Pay..., Леголас, 11:06 , 10-Фев-21 (2) +9 [^]
- Атака на зависимости позволила выполнить код на серверах Pay..., DildoZilla, 11:14 , 10-Фев-21 (4) –6 [V]
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 11:15 , 10-Фев-21 (5) –2
- Атака на зависимости позволила выполнить код на серверах Pay..., Лудакрис, 11:36 , 10-Фев-21 (18) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Ананимус, 11:53 , 10-Фев-21 (25) +2
- Атака на зависимости позволила выполнить код на серверах Pay..., cheater, 12:03 , 10-Фев-21 (30) +5
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 12:09 , 10-Фев-21 (32) +3
- Атака на зависимости позволила выполнить код на серверах Pay..., Siborgium, 12:28 , 10-Фев-21 (37) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Dzen Python, 12:53 , 10-Фев-21 (39) –2
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 12:54 , 10-Фев-21 (41) +3
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 13:43 , 10-Фев-21 (70) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 17:56 , 10-Фев-21 (128) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., cheater, 18:25 , 10-Фев-21 (134) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 20:29 , 10-Фев-21 (149) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 12:22 , 10-Фев-21 (34)
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 12:24 , 10-Фев-21 (35) –4 [V]
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 23:38 , 10-Фев-21 (156) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 23:56 , 14-Фев-21 (199)
- Атака на зависимости позволила выполнить код на серверах Pay..., тоже Аноним, 11:17 , 10-Фев-21 (7) +13 [^]
- Атака на зависимости позволила выполнить код на серверах Pay..., Lex, 11:20 , 10-Фев-21 (11) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., ryoken, 11:32 , 10-Фев-21 (14) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 11:46 , 10-Фев-21 (23) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 11:51 , 10-Фев-21 (24)
- Атака на зависимости позволила выполнить код на серверах Pay..., bsdun, 11:58 , 10-Фев-21 (27) +2
- Атака на зависимости позволила выполнить код на серверах Pay..., kissmyass, 11:58 , 10-Фев-21 (28) –1
- Атака на зависимости позволила выполнить код на серверах Pay..., JL2001, 14:21 , 10-Фев-21 (86)
> Я тоже немного офигел когда приватные пакеты искались на nuget.org > Самый очевидный но не самый простой способ на мой взгляд это юзать > что-то типа Sonatype Nexus и проксировать nuget.org... полностью убрав nuget.org из > списка источников.а Nexus не накачает с nuget.org более новых версий, чем локальные??
- Атака на зависимости позволила выполнить код на серверах Pay..., kissmyass, 15:09 , 10-Фев-21 (103) –1
- Атака на зависимости позволила выполнить код на серверах Pay..., JL2001, 15:55 , 10-Фев-21 (109)
>>> Я тоже немного офигел когда приватные пакеты искались на nuget.org >>> Самый очевидный но не самый простой способ на мой взгляд это юзать >>> что-то типа Sonatype Nexus и проксировать nuget.org... полностью убрав nuget.org из >>> списка источников. >> а Nexus не накачает с nuget.org более новых версий, чем локальные?? > Насколько я знаю, там надо апрувить пакеты на кеширование. > Если пакета нет, то пофик какой версии его нет ))) > Он заберется из приватной репы.возможно от настроек зависит, наш выкачивает автоматом
- Атака на зависимости позволила выполнить код на серверах Pay..., Fracta1L, 12:10 , 10-Фев-21 (33) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., qweqwe, 12:27 , 10-Фев-21 (36) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 12:54 , 10-Фев-21 (42) +3
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 12:57 , 10-Фев-21 (43) +3
- Атака на зависимости позволила выполнить код на серверах Pay..., Dzen Python, 12:58 , 10-Фев-21 (44) –2
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 13:05 , 10-Фев-21 (46) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., JL2001, 14:23 , 10-Фев-21 (87)
> Ставится со своего, все чужие пакеты в котором проверены службой безопасности.втф? ловите эльфа/наркомана!!
- Атака на зависимости позволила выполнить код на серверах Pay..., Gogi, 13:02 , 10-Фев-21 (45) +2
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 13:06 , 10-Фев-21 (47)
- Атака на зависимости позволила выполнить код на серверах Pay..., JL2001, 14:28 , 10-Фев-21 (89) –1
> Этот случай только лишний раз доказывает ущербность идеи "автоматических пакетов". Сеть > априори считается ОПАСНЫМ местом. А вы оттуда тягаете пакеты на автомате > и надеетесь, что хакеры это пропустят?? :) > Я уже несколько лет выступаю против нюГетов и подобных rовноподелий - им > не место в продакшене! Для самопальных перделок - ради бога, но > где идёт коммерческое ПО - сразу вон поганой метлой!а линуксы в продакшене ты как обновляешь, братюнь? зы: какова ответственность редхата за появление в его репозитории дырявого или протрояненого самим автором программы пакета?
- Атака на зависимости позволила выполнить код на серверах Pay..., An O Nim, 16:24 , 10-Фев-21 (115) –2
- Атака на зависимости позволила выполнить код на серверах Pay..., JL2001, 18:24 , 10-Фев-21 (133)
> Редхат как раз и есть внутренние штатные репо самого дистра RHE Линукс. > Репы RHEL как раз внутренние репо самого RHEL. > А вот бездумное добавление в yum-dnf.conf реп третьих сторон даст уязвимость как > в новости. И некоторые и так тоже делают... Всякие там PPA > репо и прочие с хабров и т.п. "авторитетных" площадок. > Шапкины репы - внутренние для Шапки. Тут-то очень всё норм.я купил суппорт редхата, подключил их репы, автор оченьНужнойПрограммы обсфурцировал трояна в обновлении (крызыс, все выживают, как могут), оно попало в редхатовские репы, я обновился, меня хакнули какую ответственность несёт редхат?
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 22:25 , 10-Фев-21 (152) +2
- Атака на зависимости позволила выполнить код на серверах Pay..., JL2001, 02:20 , 11-Фев-21 (163)
> В теории ментейнер пакетов это не просто человек-компилятор, а ещё и в > код смотрит и правит перед компиляцией если нужно. Хотя я почти > уверен, что у красной шляпы соглашение написано не хуже чем у > MS.это то понятненько, что смотрит (в теории) но вот сейчас у меня вопрос - какая ответственность прописана у редхата/оракла/итд если их мантейнер не смог рассмотреть если пришедший пакет повлёк денежный, репутационный, моральный ущерб
- Атака на зависимости позволила выполнить код на серверах Pay..., пох., 17:50 , 10-Фев-21 (124) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 19:01 , 10-Фев-21 (139)
- Атака на зависимости позволила выполнить код на серверах Pay..., anonymous, 11:17 , 11-Фев-21 (171) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Андрей, 13:13 , 10-Фев-21 (50) +2
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 13:15 , 10-Фев-21 (52) –2
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 13:21 , 10-Фев-21 (55) –1
- Атака на зависимости позволила выполнить код на серверах Pay..., JL2001, 14:32 , 10-Фев-21 (91) +3
> Не глупо ли это само по себе - выкладывать на публику проекты, > зависящие от неопубликованных библиотек.они и не выкладывают в манифесте внутри опубликованного "бинарника" осталась инфа о том, из чего он собран, включая внутренние пакеты
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 13:27 , 10-Фев-21 (61) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., JL2001, 13:30 , 10-Фев-21 (64) +2
чо там, пацаны, давно в vlc-ppa публиковали linux-generic-7.0.1 ?
- Атака на зависимости позволила выполнить код на серверах Pay..., JL2001, 13:36 , 10-Фев-21 (66) –2
> добавив в скрипт, запускаемый перед началом установки (preinstall в NPM), код для сбора информации о системе и отправки полученных сведений на внешний хостpred/post-install запускать от рута, говорили они, ничего не будет, всегда так делали, говорили они ей, пацаны с репозиториями, вас там ещё не во все дыры? мантейнеры успевают все патчи мониторить, или как с Kubernetes - напихали с гита в пакет, и всё отлично?
- Атака на зависимости позволила выполнить код на серверах Pay..., PetrG, 13:44 , 10-Фев-21 (71) +3
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 13:49 , 10-Фев-21 (74)
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 13:55 , 10-Фев-21 (77)
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 14:01 , 10-Фев-21 (80)
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 14:07 , 10-Фев-21 (83) +4
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 14:54 , 10-Фев-21 (94) –2
- Атака на зависимости позволила выполнить код на серверах Pay..., Оуноуним, 14:56 , 10-Фев-21 (96) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Erley, 15:23 , 10-Фев-21 (105) +4
- Атака на зависимости позволила выполнить код на серверах Pay..., Брат Анон, 16:09 , 10-Фев-21 (111) –1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 17:01 , 10-Фев-21 (117) –1 [V]
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 17:17 , 10-Фев-21 (120) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 17:24 , 10-Фев-21 (121) –2
- Атака на зависимости позволила выполнить код на серверах Pay..., mumu, 17:24 , 10-Фев-21 (122)
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 17:49 , 10-Фев-21 (123) +2
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 18:15 , 10-Фев-21 (131) –3
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 19:07 , 10-Фев-21 (140)
- Атака на зависимости позволила выполнить код на серверах Pay..., srgazh, 00:13 , 11-Фев-21 (158) –1
- Атака на зависимости позволила выполнить код на серверах Pay..., Ilya Indigo, 01:01 , 11-Фев-21 (159) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 02:10 , 11-Фев-21 (160) +1
- Атака на зависимости позволила выполнить код на серверах Pay..., JL2001, 02:24 , 11-Фев-21 (164)
> Внешние автоматически выкачиваемые зависимости — это всегда риск. > А вдруг завтра lodash зальют с бекдором?а "внешнее НЕ автоматическое выкачивание зависимостей" - это как? или у вас тоже СБ круче мантейнеров редхата?
- Атака на зависимости позволила выполнить код на серверах Pay..., deeaitch, 04:05 , 11-Фев-21 (165)
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 05:16 , 11-Фев-21 (166)
- Атака на зависимости позволила выполнить код на серверах Pay..., .NET, 14:09 , 11-Фев-21 (173)
- Атака на зависимости позволила выполнить код на серверах Pay..., Аноним, 14:43 , 12-Фев-21 (191)
|