| |
| |
| |
| |
| 5.63, Сладкая булочка (?), 16:56, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Вас... кхм... Автоматизировали?
Ой, не надо только вот эту ерунду тут нести. Уже поди взял компилятор ССС и все им пересобрал, автоматизатор? Вы ни на что не способны, создатели нейрослопа. Просто сидите на готовых либах и сверху генерите хлам, при это строя из себя не пойми кого.
| | |
|
|
|
|
| 1.4, Аноним (4), 00:37, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Что это за такие GitHub Actions, много ли от них пользы? Фигурируют в каждой второй новости про горе-пакеты.
| | |
| |
| 2.12, Аноним (3), 04:49, 29/04/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
Это то, что следует рассмотреть, когда на гит с винраров перейдете.
| | |
| |
| 3.20, Аноним (20), 07:28, 29/04/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
Уж лучше винрары и каменты "// Дата. ФИО", чем пользоваться гитхабом в целом и его экшонами в частности.
| | |
|
|
| 1.7, Аноним (7), 00:40, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45).
А есть возможность скачать заражённые выпуски спустя какое-то время после обнаружения?
| | |
| 1.13, Аноним (13), 05:10, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Весело. Как я понял, их гитхаб токен, который работал в пулл реквестах, имел доступ не только на чтение репа, но и на запись, и на создание релизов. Могли бы не мелочиться и поставить полный доступ.
| | |
| |
| 2.14, Аноним (3), 05:48, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Могли бы не мелочиться и поставить полный доступ
Никто и не мелочился.
| | |
| 2.58, Аноним 9000 (?), 12:51, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
На самом деле в гитхаб совершенно упоротая система с Action. Никаких secure defaults и безопасно это настроить достаточно сложно
| | |
| |
| 3.65, Аноним (65), 17:57, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Там прямым текстом надо писать "read" или "write". Я не знаю, как сделать ещё проще, чтобы вам перестало быть "достаточно сложно", и вы перестали путать.
| | |
|
|
| 1.15, ИмяХ (ok), 05:56, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
 >>история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.
Если это у пользователей скачивает корпорация, то оно законно и называется "телеметрия", а если это скачивает левый чел, то это незаконно и называется "конфиденциальные данные"
| | |
| |
| 2.23, Аноним (20), 07:31, 29/04/2026 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Юридически можно добавить описание в релиз или в какой-либо файл, мол "используя данный пакет вы даёте разрешение на сбор информации"
Тысяча глаз не увидит, какой-нить реновейт затянет, вот уже как бы и незаконный сбор получается законным
| | |
|
| 1.18, Аноним (18), 06:39, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Потому что системных программистов на C,C++ заменили вайтишниет бракоделы на Python для которых стабильная система это нонсенс, вот у них бардак во всем.
| | |
| |
| 2.21, Аноним (21), 07:30, 29/04/2026 [^] [^^] [^^^] [ответить]
| –5 +/– |
Популярность питона и прочей скриптоты - это прямое следствие убогости Си и неадекватности Си++ и их доминирования в системном программировании.
| | |
| |
| 3.26, Аноним (26), 08:10, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Предположим. А что, из всего многообразия языков программирования так и не нашлось более-менее адекватного? Или это и есть Питон - лучшее из худшего? :)
| | |
| 3.33, Аноним (33), 09:22, 29/04/2026 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> убогости ... и неадекватности ... и ... доминирования
У меня логический диссонанс
| | |
| |
| 4.66, Аноним (65), 18:00, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Альтернатив не было, никто особо не знал как нужно и как можно. Как разобрались, стали пытаться что-то делать.
| | |
|
| 3.44, Аноним (44), 11:03, 29/04/2026 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Популярность питона и прочей скриптоты - это прямое следствие убогости и неадекватности по-быстрому-вкатившихся-в-айти и их неспособности научиться кодить на Си и Си++, которые доминируют в системном программировании.
Не благодари.
| | |
| |
| |
| 5.64, Аноним (64), 17:08, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Кинь ссылку на реальные факты эксплуатации. С 94 года, небось, огого сколько набралось?
| | |
|
|
|
|
| 1.27, Аноним (27), 08:27, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Ленивым разарбам влом самим скомпилить себе проджект и залить сразу бинарник? Ну вот и страдайте.
| | |
| 1.34, INSANEWAVE (ok), 09:34, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Я чёт не понимаю, а почему у нас до сих пор такой кринж происходит? Может уже обратят на это внимание на убогость защиты или червей недостаточно было?
| | |
| |
| 2.36, Аноним (26), 09:37, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Если я правильно понял, была проэксплуатирована дыра в обработчике GitHub Action, который есть скрипт, который создаёт владелец репы.
| | |
| 2.38, Аноним (38), 10:12, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Давно пора уже запилить изоляцию хотя бы на уровне virtual environments, чтобы всякое сидело в своём лепрозории, а до тех пор есть несколько простых правил: а) стараться не ставить самые свежие пакеты, а лучше указывать конкретную проверенную версию, и б) стараться по возможности не ставить пакеты с большим количеством зависимостей, чем меньше их - тем лучше
| | |
| |
| 3.42, INSANEWAVE (ok), 10:53, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ну это конечно да, правильно. Лично я так и делаю, правда насчёт малозависимых пакетов сложно и муторно. С другой стороны - когда у тебя пк изолирован и не используется для финансовых операций то ок
| | |
| 3.45, Аноним (44), 11:12, 29/04/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, какбэ, вменяемые люди так и делают, ставят в списке зависимостей ссылку на конкретный релиз либы и хэш тарбола для проверки.
| | |
|
| 2.39, Аноним (39), 10:24, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Инструменты для защиты есть. Просто софта слишком много и дыры находят в самых разных частях. Так теперь ещё и ИИ массово сканирует вообще всё подряд. Гонка вооружений ускорилась, и пока что Red Team имеет преимущество.
Больше инфраструктура - больше поверхность атаки, больше затрат на защиту.
| | |
|
| 1.35, Аноним (35), 09:36, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
используйте secrets говорили они
эти данные не доступны приложениям в CI/CD говорили они ...
| | |
| |
| 2.47, Аноним (47), 11:51, 29/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> компрометации рабочих процессов GitHub Actions
взломали гитхаб так-то
| | |
|
| 1.48, Джон Титор (ok), 11:51, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Мне кажется к информации о пакетах нужно добавлять историю типа Vulenrability History. Чтобы хотя-бы под каждой версией понимать что к чему. Оно всё-равно уже автоматизировано. Люди которые используют хоть будут понимать - возможен инцидент или нет. А то что они где-то в новостях это опубликовали, которые не все и прочитают, и вы вряд-ли эти новости найдёте пока уже не столкнетесь с инцидентом как-то почти бессмысленно.
| | |
| 1.53, Аноним (53), 12:12, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Храните свои токены и пароли в переменных среды, говорили они. Это безопасно, говорили они.
Так я и не понял чем оно безопаснее. На файлы хотя бы права есть. А переменные кто хочешь может читать.
| | |
| |
| 2.54, Аноним (53), 12:13, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
UPD написал на эмоциях не прочитав комменты. Выше уже это же самое подметили.
| | |
|
|
