forum.opennet.ru

"В RubyGems выявлено 724 вредоносных пакета"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Задача именно на криптуху."	+/–
Сообщение от Аноним (45), 23-Апр-20, 06:19
gpg --check-trustdb Дает возможность верифицировать базу публичных ключей. Можно в настройках потребовать чтобы каждый публичный ключ имел не 3, а 5 подписей. Эти 2 экаунта, что 700 зловредов запостили точно не собрали бы даже 3 подписей. Репутация здесь больше о корректности работы с ключиками. Если небрежно относится к хранению приватных ключей и подписывать левые публичные ключи, то создаются проблемы. Придется добавлять blacklist с плохими пользователями ключей и не учитывать их подписи при верификации. Если команда длительное время развивает проект и сама его использует, то вероятность внедрения закладок низкая. Когда забежал и сразу пару сот проектов в репу загнал, а публичный ключ его никто не подписал, то это наверняка зловреды и отсутствие подписей публичного ключа значительно притормозил их распространение.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В RubyGems выявлено 724 вредоносных пакета, opennews, 22-Апр-20, 10:26 [смотреть все]

Никогда, ни в одном, открытом репозитории не было вредоносных пакетов и вот нате, Аноним, 22-Апр-20, 10:26 (1) //
- ну, согласись, 700 штук с двух акаунтов - это все же достижение , нах., 22-Апр-20, 11:47 (14)
- Для публично открытых на запись репозиториев следовало бы придумать другое наз, gogo, 22-Апр-20, 14:13 (24) //
  - crapository - звучит продвигай идею в палату мер и весов, мы тебя поддержим , Константавр, 22-Апр-20, 15:08 (28) //
    - Тогда уж coprository , Nxx, 23-Апр-20, 12:16 (48)
- Думать что в закрытом ПО нет вредоносного кода - это как закрыть глаза руками и , заминированный тапок, 22-Апр-20, 16:08 (31) //
  - При чем тут закрытый код Речь про открытые репозитории, неважно, что в них лежи, MadeInRussiaPlus, 24-Апр-20, 10:41 (55) //
    - приношу извининения, тк я не думал, что существуют настолько открытые репозитори, заминированный тапок, 24-Апр-20, 11:22 (56)
Как хорошо, что не использую софт на руби , Аноним, 22-Апр-20, 10:32 (2) //
- Рад за коллегу, но , Аноним, 22-Апр-20, 10:39 (3) //
  - 1 Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать 2 Контр, Аноним, 22-Апр-20, 10:51 (8) //
    - оно примерно так и работает фактическимеханизм отличия хороших от плохих в студи, JL2001, 22-Апр-20, 11:37 (12)
      - 1 Идентификация пакетов в репозитории строго по подписи OpenPGP ключа 2 Строга, Аноним, 22-Апр-20, 12:59 (21)
        
        Да подпись тут -- инструмент, вопрос в доверии к ней и подписавшему Это зада, Michael Shigorin, 22-Апр-20, 14:16 (25)
        
        gpg --check-trustdbДает возможность верифицировать базу публичных ключей Можно в , Аноним, 23-Апр-20, 06:19 (45)
        
        и что же им помешает набрать подписи , JL2001, 24-Апр-20, 13:07 (58)
        
        А говнокодомакаки как костылили с использованием левых модулей, так и будут дале, microsoft, 22-Апр-20, 19:17 (34)
        
        Хочется M монопольнои контролировать верификацию пакетов в GNU Linux Сколько б, Аноним, 23-Апр-20, 06:30 (46)
    - Хорошие разработчики тоже используют инструментарий SDK к примеру и вообще чужо, Аноним, 22-Апр-20, 11:56 (16)
    - Так ведь НЕ БЫЛИ скомпроментированы существующие пакеты Злоумышленники создали Н, funny.falcon, 22-Апр-20, 13:16 (23)
- Да на Node js тебе ничего не угрожает , Аноним, 22-Апр-20, 10:53 (9) //
  - И JS тоже нигде не использую, даже dbus polkitd не устанавливаю , Аноним, 22-Апр-20, 13:01 (22)
В зависимости подставить можно Если нет - то тут уж у кого глаз острее, КО, 22-Апр-20, 10:40 (4)
а сколько их в нпм , Аноним, 22-Апр-20, 10:40 (5) //
- NPM всего-то в 100 раз больше размером, Аноним, 22-Апр-20, 10:48 (7) //
  - Гусары, молчать , Michael Shigorin, 22-Апр-20, 14:17 (26)
  - Низабудим про лифтпад 111, Lex, 23-Апр-20, 01:18 (41)
  - И за RubyGems стоит компания Ruby Inc, у которой репа и все с ней связанное - ос, Аноним84701, 23-Апр-20, 17:47 (54)
- Там даже целенаправленный зловредный код может быть опасен , Аноним, 22-Апр-20, 10:54 (10)
Если я правильно посмотрел, то в rubygems всего 10620 пакетов 724 от этих 10620, Аноним, 22-Апр-20, 10:46 (6) //
- Это вы нашли пока только 724Думаешь, у меня было только два акаунта , разработчик, 22-Апр-20, 12:03 (17)
репозитории, говорили они, мантейнеры, говорили они, JL2001, 22-Апр-20, 11:26 (11) //
- какие майнтейнеры Там практически анонимная свалка , Константавр, 22-Апр-20, 15:10 (29) //
  - а кто, используя RubyGems, понимает это большинство считают репозиторием а не с, JL2001, 24-Апр-20, 13:04 (57)
невнимательный разработчик ох уж эта ваша политкорректность , Аноним, 22-Апр-20, 12:16 (18) //
- А как правильно Негр , Аноним, 22-Апр-20, 15:13 (30)
Не удивительно что в одном из лучших и крупнейших архивах яп выявлены троянчики , robot228, 22-Апр-20, 12:32 (19)
RubyGerms, user, 22-Апр-20, 12:51 (20)
Как так-то Как так-то , Аноним, 22-Апр-20, 19:04 (33)
Может макаки уже начнут проверять имена пакетов и перестать ныть когда сами вино, microsoft, 22-Апр-20, 19:20 (35) //
- Как, одной командочкой скачивая пакетик leftpad-makes-everything-good вместе с, Онаним, 22-Апр-20, 20:51 (37)
- А как ты узнаешь, что тебе нужно, и как оно называется Простые батарейки конечн, Аноним, 22-Апр-20, 21:26 (39) //
  - Не использовать такое уг в проекте Иииии проверять то что подключаеш а не верит, microsoft, 22-Апр-20, 21:48 (40)
  - Количество и частота скачиваний, количество звёзд и issue в т ч исправленных в, Lex, 23-Апр-20, 01:23 (42) //
    - Если бы это ещё работало Обычно ближе у 1 100 скачиваний, но протухло, у 2 10, , Аноним, 23-Апр-20, 02:20 (44)
    - Лучший критерий - время загрузки первой версии , nebularia, 23-Апр-20, 12:20 (50)
Хы осталось дождаться, когда эти исследователи доберутся до hex pm , YetAnotherOnanym, 22-Апр-20, 21:09 (38)
Помнити лифтпад , Аноним, 23-Апр-20, 01:49 (43)
Зловещие мертвецы, Аноним, 23-Апр-20, 11:14 (47)
Ну частично сами виноваты - надо быть конченым чтобы различать - и _ в названиях, Аноним, 23-Апр-20, 16:43 (52)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру