Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний,
opennews (?), 10-Фев-21, (0) [смотреть все]
- Нужно больше зависимостей и скриптов установки ,
Leftpad (?), 11:03 , 10-Фев-21, (1) +55 //
- Скрыто модератором,
Лудакрис (?), 11:08 , 10-Фев-21, (3) –12 //
- Не зря же в расте даже базовые возможности - во внешних модулях Растаманы приго,
Аноним (8), 11:18 , 10-Фев-21, (8) +11 //
- Больше зависимостей богу зависимостей Да здравствует leftpad ,
Аноним (10), 11:20 , 10-Фев-21, (10) +9 //
- Да здравствует Haskell ,
Аноним (-), 15:04 , 10-Фев-21, (101)
- ЛапкоКодеры импортируют на лету непроверенное гавно из внешних источников в прод,
ЧешкиЧехова (?), 19:07 , 11-Фев-21, (180) +4 //
- давайте тогда делать вебсайты без этих ваших фреймворков и MVC, будем складывать,
Aga (??), 00:03 , 14-Фев-21, (196)
- Вполне нормальное явление Иначе зачем все эти либы и фреймворки, сильные обойду,
RedEyedMan (ok), 14:09 , 26-Фев-21, (204)
- Нужно больше васянских библиотек и костылей на вызов одной функции ,
Dzen Python (ok), 12:50 , 10-Фев-21, (38) //
- Правильно, если у тебя в большом проекте 1 000 000 однострочников и ты использов,
Аноним (48), 13:08 , 10-Фев-21, (48) +7 //
- Вообще-то, когда приходится фиксить сотни чужих пакетов, это достаточный повод с,
YetAnotherOnanym (ok), 14:19 , 10-Фев-21, (84) +11 //
- Так писали наши деды Раньше позорным считалось переиспользование кода не только,
Аноним (102), 15:06 , 10-Фев-21, (102) +1 //
- то ты сделал что-то ну вот вообще совсем не так ,
Аноним (-), 03:39 , 12-Фев-21, (185) +1
- Вообще от зависимостей надо лечиться, а то в диспансер на учёт поставят ,
InuYasha (??), 22:27 , 10-Фев-21, (153) +6
- Ваш комментарий в моей голове был озвучен голосом нежити из Варкрафта 3 ,
Аноним (200), 14:14 , 15-Фев-21, (200)
- всё гениальное просто,
Леголас (ok), 11:06 , 10-Фев-21, (2) +9 //
- Скрыто модератором,
DildoZilla (?), 11:14 , 10-Фев-21, (4) –6
- Дыра Раста проблема тоже касается ,
Аноним (5), 11:15 , 10-Фев-21, (5) –2 //
- а есть упоминание читайте внимательнее, глупые аноны, это нелегко, знаю, но пыт,
Лудакрис (?), 11:36 , 10-Фев-21, (18) +1 //
- Нет упоминанй, потому что Растом и его пакетником в не пользуются ,
Аноним (21), 11:41 , 10-Фев-21, (21)
- Не хами ,
Аноним (5), 11:42 , 10-Фев-21, (22)
- Я не тот анон, но там написано в других системах, таких как и дальше привод,
Аноним (48), 13:12 , 10-Фев-21, (49) +1 //
- Нет, там нужно указывать registry, откуда качать пакет ,
Ананимус (?), 11:53 , 10-Фев-21, (25) +2
- Не раста, а cargo Именно эта не касается, тк зависимости качаются по дефолту с ,
cheater (?), 12:03 , 10-Фев-21, (30) +5 //
- Да, это проблема и не только cargo, но и всего раста, потому что все используют ,
Аноним (5), 12:09 , 10-Фев-21, (32) +3 //
- cargo умеет работать с git-репозиториями и локальными пакетами ,
Siborgium (ok), 12:28 , 10-Фев-21, (37) +1
- И На локальные пакеты он сможет сослаться в уже скомпилированном состоянии А на,
Dzen Python (ok), 12:53 , 10-Фев-21, (39) –2
- Мне интереснее, а можно ли при сборке приложения с помощью cargo использовать то,
Аноним (5), 12:54 , 10-Фев-21, (41) +3
- Позволен git, путь, и crates io Можно создать свой https github com rust-lang,
Аноним (68), 13:43 , 10-Фев-21, (70) +1
- Это unsafe и не позволяет делать запланированное устаревание,
Аноним (-), 17:56 , 10-Фев-21, (128) +1
- Вопрос не очень понятен 99 999 процентов пакетов в расте имеют внешние завис,
cheater (?), 18:25 , 10-Фев-21, (134) +1
- Да, уважающие себя дистрибутивы, вроде Дебиана и Федоры так и делают, поэтому в ,
Аноним (149), 20:29 , 10-Фев-21, (149) +1
- Если у тебя конечно есть доступ к репозиторию ,
Аноним (68), 12:22 , 10-Фев-21, (34)
- А при чем тут Раст Он же не скриптовый вроде,
Аноним (68), 12:24 , 10-Фев-21, (35) –4 //
- а там написано, но это ж читать букавки надо, чему многи не обучены ,
Аноним (156), 23:38 , 10-Фев-21, (156) +1
- в русте зависимости ставятся через wget https sploit onion l33t sh 124 bash,
Аноним (199), 23:56 , 14-Фев-21, (199)
- Рекомендации по защите не работают Работает только система, которая безопасна из,
тоже Аноним (ok), 11:17 , 10-Фев-21, (7) +13
- Они что, объявляли их просто как пакеты, а не ссылкой на каталог файл типа file ,
Lex (??), 11:20 , 10-Фев-21, (11) +1 //
- Так им всем и надо ,
ryoken (ok), 11:32 , 10-Фев-21, (14) +1
- Руст или вообще какой-нибудь петон Мы то знаем ,
Аноним (-), 11:46 , 10-Фев-21, (23) +1
- А как они узнали их имена ,
Аноним (24), 11:51 , 10-Фев-21, (24) //
- А если кто то забудет там пароли ,
Аноним (24), 11:55 , 10-Фев-21, (26) +3 //
- ну например если дотнет то прям в файле проекта PackageReference Include Fck U ,
kissmyass (?), 12:02 , 10-Фев-21, (29) +3 //
- а если доступа к коду нет, но есть к бинарникам, то обычно одна ассембли - один ,
kissmyass (?), 12:04 , 10-Фев-21, (31)
- Использовали бы FreeBSD и её дерево портов, проблем бы не было ,
bsdun (?), 11:58 , 10-Фев-21, (27) +2
- Я тоже немного офигел когда приватные пакеты искались на nuget orgСамый очевидны,
kissmyass (?), 11:58 , 10-Фев-21, (28) –1 //
- Зависимости эт плохо пнятненько,
Fracta1L (ok), 12:10 , 10-Фев-21, (33) +1 //
- composer у php не подвержен такой бяке ,
qweqwe (?), 12:27 , 10-Фев-21, (36) +1 //
- Защита методом безопасность через неясность - говно В нормальных компаниях про,
Аноним (42), 12:54 , 10-Фев-21, (42) +3
//
- Это где так ,
Аноним (-), 12:57 , 10-Фев-21, (43) +3
//
- В нормальных компаниях к тому моменту, когда они выкладывают код имеют зрелый пр,
Dzen Python (ok), 12:58 , 10-Фев-21, (44) –2
- Если уж этим на проверены службой безопасности не хватает, то где тогда норма,
Аноним (46), 13:05 , 10-Фев-21, (46) +1
- втф ловите эльфа наркомана ,
JL2001 (ok), 14:23 , 10-Фев-21, (87)
//
- Этот случай только лишний раз доказывает ущербность идеи автоматических пакетов,
Gogi (??), 13:02 , 10-Фев-21, (45) +2 //
- Может наоборот Там где комерческое - то пофиг, барин то платит ,
Аноним (-), 13:06 , 10-Фев-21, (47) //
- а линуксы в продакшене ты как обновляешь, братюнь зы какова ответственность ред,
JL2001 (ok), 14:28 , 10-Фев-21, (89) –1 //
- Поддерживаю Собственно поэтому приходится у себя в гит репозитории хранить все ,
Аноним (139), 19:01 , 10-Фев-21, (139)
- Против выступать легко А что в замен предложите ,
anonymous (??), 11:17 , 11-Фев-21, (171) +1
- Так я и не понял, это баг или фича ,
Андрей (??), 13:13 , 10-Фев-21, (50) +2 //
- И как раст от такого спасет А вы говорите безопасный язык А раст такая же дыре,
Аноним (58), 13:15 , 10-Фев-21, (52) –2 //
- Не глупо ли это само по себе - выкладывать на публику проекты, зависящие от неоп,
Аноним (55), 13:21 , 10-Фев-21, (55) –1 //
- запускайте npm pip gems install на машинах разработчиков без изоляции, он вам и ,
Аноним (61), 13:27 , 10-Фев-21, (61) +1 //
- чо там, пацаны, давно в vlc-ppa публиковали linux-generic-7 0 1 ,
JL2001 (ok), 13:30 , 10-Фев-21, (64) +2
- pred post-install запускать от рута, говорили они, ничего не будет, всегда так д,
JL2001 (ok), 13:36 , 10-Фев-21, (66) –2 //
- Мой любимый кошмар на работе - почти каждый проект закачивает пол интернета при ,
PetrG (ok), 13:44 , 10-Фев-21, (71) +3 //
- А как же Perl 3,
Аноним (74), 13:49 , 10-Фев-21, (74) //
- вот тебе и DevУпс ,
Аноним (77), 13:55 , 10-Фев-21, (77)
- Очевидная атака Удивительно что такие компании при сборке используют зависимост,
Аноним (80), 14:01 , 10-Фев-21, (80) //
- Проверки подписи не у всех есть, да и проверяет вначале публичные репы и только ,
Аноним (61), 14:06 , 10-Фев-21, (82) +1 //
- Анониму всё очевидно, но 130К грина ушло опять не ему ,
Страдивариус (?), 16:46 , 10-Фев-21, (116) +2
- Для пистона это норма Даже прожекты с мегатоннами звест на гитхубе, имеют мегат,
Аноним (74), 14:07 , 10-Фев-21, (83) +4 //
- Ну все значит нам нужна единая платформа, которая будет монолитна полностью запр,
Аноним (58), 14:44 , 10-Фев-21, (92) –1 //
- Может не нужна платформа, а достаточно просто научиться программировать и делать,
Аноним (97), 14:56 , 10-Фев-21, (97) +2 //
- Проблема не в зависимостях, а в навыках и культуре разработки, которые хромают у,
Аноним (74), 15:15 , 10-Фев-21, (104) //
- А что разве в GO уже переделали Раньше в GO чтобы цеплять файлы с гитхаба нужн,
Аноним (24), 14:54 , 10-Фев-21, (94) –2 //
- go mod vendor тебе в помощь В голанге не так ,
Брат Анон (ok), 16:10 , 10-Фев-21, (112) +1
- в Go - ещё лучше на go get, go лезет к гуглу и спрашивает у него, можно ли скач,
еман (?), 22:15 , 11-Фев-21, (181)
- Чем проще разработка, тем проще эксплуатация уязвимостей ,
Оуноуним (?), 14:56 , 10-Фев-21, (96) +1 //
- Странно что никто не озадачился проверкой базовых образов на которых собираются ,
Erley (ok), 15:23 , 10-Фев-21, (105) +4 //
- Так-то вендоринг в golang великая сила Правда, это тоже не спасёт, если внешний,
Брат Анон (ok), 16:09 , 10-Фев-21, (111) –1
- Скрыто модератором,
Аноним (117), 17:01 , 10-Фев-21, (117) –1 //
- Похоже, что пакетный ад Javascript дал о себе знать ,
Аноним (120), 17:17 , 10-Фев-21, (120) +1 //
- Вообще-то когда скачивается пакет, должна подпись проверяться ,
Аноним (120), 17:24 , 10-Фев-21, (121) –2 //
- дык, норм у него была подпись - в точности того чувака, который его честно созда,
пох. (?), 17:57 , 10-Фев-21, (129) +2
- так она и проверилась, и вернаяно репозиторий другой и автор пакета другойя не з,
JL2001 (ok), 18:30 , 10-Фев-21, (136) //
- Зачем тестировать Просто пользуйтесь Пользуйтесь все Пока гром не грянет, муж,
mumu (ok), 17:24 , 10-Фев-21, (122) //
- Всего 130 тысяч долларов, за такую черную ды ру, вас на ,
Аноним (123), 17:49 , 10-Фев-21, (123) +2 //
- Вот зачем девопсы нужны ,
Аноним (131), 18:15 , 10-Фев-21, (131) –3 //
- Девляпсы опять налетели на проблемы говнорепозитариев Удивительно, правда ,
Аноним (140), 19:07 , 10-Фев-21, (140) //
- 75 от всех зафиксированных запусков кода были связаны с загрузкой NPM- Вот это ,
srgazh (ok), 00:13 , 11-Фев-21, (158) –1
- Молодец человек Увидел возможность, реализовал и очень не плохо на ней заработал,
Ilya Indigo (ok), 01:01 , 11-Фев-21, (159) +1 //
- Внешние автоматически выкачиваемые зависимости 8212 это всегда риск А вдруг з,
Аноним (160), 02:10 , 11-Фев-21, (160) +1 //
- Вот кто бы сомневался во всех этох npn, ruby-чего-то там Там же будет и всё оста,
deeaitch (ok), 04:05 , 11-Фев-21, (165)
- Надуманная проблема для python --extra-index-url там никто не использует, кроме ,
Аноним (167), 05:16 , 11-Фев-21, (166)
- А как выполнить произвольный код в NuGet-пакете после его загрузки, если ни один,
.NET (?), 14:09 , 11-Фев-21, (173)
- Другим урок Расслабляться нельзя Всё время надо быть на чеке ,
Аноним (189), 14:43 , 12-Фев-21, (191)
1,2,5,7,11,14,23,24,27,28,33,36,42,45,50,52,55,61,64,66,71,74,77,80,83,94,96,105,111,120,121,122,123,131,140,158,159,160,165,166,173,191
|
Вариант для распечатки
