forum.opennet.ru - "Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений" (23)

"Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений"	+/–
Сообщение от opennews (ok), 14-Мрт-22, 12:12
Опубликован выпуск фреймворка TUF 1.0 (The Update Framework), предоставляющего средства для безопасной проверки наличия и загрузки обновлений. Основной целью проекта является защита клиента от типовых атак на репозитории и инфраструктуры, включая противодействие продвижению злоумышленниками фиктивных обновлений, созданных после получения доступа к ключам для формирования цифровых подписей или компрометации репозитория. Проект развивается под эгидой организации Linux Foundation и применяется для повышения безопасности доставки обновлений в таких проектах, как Docker, Fuchsia, Automotive Grade Linux, Bottlerocket и PyPI (включение верификации загрузок и метаданных в PyPI ожидается в ближайшее время). Код эталонной реализации TUF написан на языке Python и распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56847
Ответить \| Правка \| Cообщить модератору

Оглавление

мнээ Переведите плз кто-нибудь на обычный юзеропостижимый русский , ryoken (ok), 12:12 , 14-Мрт-22, (1) +4

Там лютый дроч на безопасность, но однажды найдут уязвимость, которая всё похери, slava_kpss (ok), 12:34 , 14-Мрт-22, (2) +12

потомучто не на расте, распад олова (?), 13:23 , 14-Мрт-22, (5) –12

ну Python это отличный язык для прототипирования примерно как Turbo Pascal ра, Аноним (24), 03:09 , 15-Мрт-22, (24)

И эта уязвимость сидит перед монитором, пишет интеграцию в TUF Или это уязвимост, Жироватт (ok), 13:44 , 14-Мрт-22, (10) +4

Например, у Пока Линукс сломали два раза сайт, залили скрипт с редиректом на лох, n00by (ok), 13:17 , 14-Мрт-22, (3)

Только тут проблема если кто-то смог залить зловред в репу -- значит ключ протё, Брат Анон (ok), 15:33 , 14-Мрт-22, (16) +1

Безопасность это вообще процесс Она не есть , приходится её обеспечивать , n00by (ok), 13:36 , 15-Мрт-22, (26) +1

Я прекрасно в курсе, что безопасность это не состояние, а процесс Также я в курс, Брат Анон (ok), 10:55 , 17-Мрт-22, (27)

Принцип похож на обоснование герметичных толстых переборок в кораблях - если ест, Жироватт (ok), 13:40 , 14-Мрт-22, (9) +1

Фигня какая-то Примеры предотвращенных атак есть, или опять должно работать , pashev.ru (?), 13:18 , 14-Мрт-22, (4)

Чего вы требуете от версии 1 0 , ryoken (ok), 13:30 , 14-Мрт-22, (7) –2

Хотя бы работы, а не одних деклараций , Аноним (12), 14:15 , 14-Мрт-22, (12) +1

Написал ниже Нет обкатки в реальном мире - должно работать Тут же область бе, Жироватт (ok), 13:33 , 14-Мрт-22, (8) +5

Спасёт ли это NPM или что-нибудь такое же скриптовое и популярное В репах дистри, Жироватт (ok), 13:30 , 14-Мрт-22, (6) +1
Не продолжайте , Аноним (11), 14:11 , 14-Мрт-22, (11) –6
Ну оно звучит интересно , Kusb (?), 14:31 , 14-Мрт-22, (13)

Лучше, чем ничего Но тут даже зловреда не надо из requirements txt берём лижу , Брат Анон (ok), 15:37 , 14-Мрт-22, (17)

Новость-то не фиктивная А то подписи нет , user90 (?), 15:21 , 14-Мрт-22, (15)
И как же я теперь буду бэкдоры вставлять плак-плак , Майор (??), 17:24 , 14-Мрт-22, (20) +1

Не унывайте, коллега Специалисты что-нибудь придумают , Адмирал Майкл Роджерс (?), 17:33 , 14-Мрт-22, (21) +2

Я вам всем бюджетное финансирование урезал , Dzen Python (ok), 20:30 , 14-Мрт-22, (22)

Надстройка над настройкой над настройкойМы будем контролировать то, что вы сами , Аноним12345 (?), 09:28 , 15-Мрт-22, (25) +1

Сообщения [Сортировка по времени | RSS]

1. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +4 +/–

Сообщение от ryoken (ok), 14-Мрт-22, 12:12

>> В каждом отдельном ключе сосредотачивается только минимально необходимое доверие
...мнээ... Переведите плз кто-нибудь на обычный юзеропостижимый русский..?

Ответить | Правка | Наверх | Cообщить модератору

2. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +12 +/–

Сообщение от slava_kpss (ok), 14-Мрт-22, 12:34

Там лютый дроч на безопасность, но однажды найдут уязвимость, которая всё похерит

Ответить | Правка | Наверх | Cообщить модератору

5. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." –12 +/–

Сообщение от распад олова (?), 14-Мрт-22, 13:23

потомучто не на расте

Ответить | Правка | Наверх | Cообщить модератору

24. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +/–

Сообщение от Аноним (24), 15-Мрт-22, 03:09

ну Python это отличный язык для прототипирования... примерно как Turbo Pascal раньше.
концепт заложен теперь надо подождать программистов, которые перепишут хотя бы на сях это хоть под какой-то дистрибутив... хотя зачем?

Ответить | Правка | Наверх | Cообщить модератору

10. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +4 +/–

Сообщение от Жироватт (ok), 14-Мрт-22, 13:44

И эта уязвимость сидит перед монитором, пишет интеграцию в TUF.
Или это уязвимость с доступом к ревью коммитов самого TUF получила деньги от Конгресса неназванной страны, патриотических люлей от дрилл-сержанта морской пехоты неопределенной страны, а затем угрозы от бесноватых, живущих с ним рядом в андефайн-стране, в имярековой социальной сети во имя всего хорошего против всего плохого?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +/–

Сообщение от n00by (ok), 14-Мрт-22, 13:17

Например, у Пока Линукс сломали два раза сайт, залили скрипт с редиректом на лохотрон. Они узнали об этом от пользователей ВК. Потеряно доверие ко всей системе обеспечения безопасности, ко всей инфраструктуре, мало ли что там ещё взломали. Обновляться нельзя, качать образы для установки нельзя. А тут как бы можно обновляться, если взломали маловажную часть инфраструктуры.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +1 +/–

Сообщение от Брат Анон (ok), 14-Мрт-22, 15:33

Только тут проблема: если кто-то смог залить зловред в репу -- значит ключ протёк. На ключ нужен другой ключ уровнем выше. Это пирамида без конца.

Ответить | Правка | Наверх | Cообщить модератору

26. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +1 +/–

Сообщение от n00by (ok), 15-Мрт-22, 13:36

> пирамида без конца.
Безопасность это вообще процесс. Она не "есть", приходится её обеспечивать.

Ответить | Правка | Наверх | Cообщить модератору

27. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +/–

Сообщение от Брат Анон (ok), 17-Мрт-22, 10:55

>> пирамида без конца.
> Безопасность это вообще процесс. Она не "есть", приходится её обеспечивать.
Я прекрасно в курсе, что безопасность это не состояние, а процесс.
Также я в курсе, что описанную проблему верификации верификатора -- безопасность не решает.

Ответить | Правка | Наверх | Cообщить модератору

9. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +1 +/–

Сообщение от Жироватт (ok), 14-Мрт-22, 13:40

Принцип похож на обоснование герметичных толстых переборок в кораблях - если есть пробоина в каком-то отсеке, то он тупо задраивается и даже с полностью затопленным отсеком корабль сохраняет плавучесть, теряя в мореходности. Обычно там закладывается при проектировке рассчетно 2-3-5 затопленных отсеков, позволяющих судну своим ходом дойти до ближайшего порта, сбросить карго и в док, на ремонт.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +/–

Сообщение от pashev.ru (?), 14-Мрт-22, 13:18

Фигня какая-то... Примеры предотвращенных атак есть, или опять "должно работать"?

Ответить | Правка | Наверх | Cообщить модератору

7. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." –2 +/–

Сообщение от ryoken (ok), 14-Мрт-22, 13:30

> Фигня какая-то... Примеры предотвращенных атак есть, или опять "должно работать"?
Чего вы требуете от версии 1.0? :)

Ответить | Правка | Наверх | Cообщить модератору

12. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +1 +/–

Сообщение от Аноним (12), 14-Мрт-22, 14:15

Хотя бы работы, а не одних деклараций.

Ответить | Правка | Наверх | Cообщить модератору

8. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +5 +/–

Сообщение от Жироватт (ok), 14-Мрт-22, 13:33

Написал ниже. Нет обкатки в реальном мире - "должно работать".
Тут же область бесконечной борьбы шита и меча. Как и военные игрушки, так и такие сесурити-средства должны постоянно тестироваться в реальной боевой, где мелочи решают: жив или умер. Ну или закрыт-чист или скомпрометирован.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +1 +/–

Сообщение от Жироватт (ok), 14-Мрт-22, 13:30

Спасёт ли это NPM или что-нибудь такое же скриптовое и популярное?
В репах дистрибутивов DoS-атака в принципе невозможна: клиент запрашивает список у сервера, а не сервер пушит "есть апдейт - скачай апдейт, ой, есть еще апдейт".
Остальное интересно, но не более того. Нужна обкатка, серьёзная военприёмочная обкатка и напилинг на реальных высокоопасных репозиториях, вроде рассадника лефтпадов. Далее, лет через пять, когда большую часть common-use-сценариев уже раскроют и исправят, тогда можно говорить о статусе выше proof-of-concept

Ответить | Правка | Наверх | Cообщить модератору

11. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." –6 +/–

Сообщение от Аноним (11), 14-Мрт-22, 14:11

> Код эталонной реализации TUF написан на языке Python
Не продолжайте.

Ответить | Правка | Наверх | Cообщить модератору

13. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +/–

Сообщение от Kusb (?), 14-Мрт-22, 14:31

Ну оно звучит интересно.

Ответить | Правка | Наверх | Cообщить модератору

17. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +/–

Сообщение от Брат Анон (ok), 14-Мрт-22, 15:37

> Ну оно звучит интересно.
Лучше, чем ничего. Но тут даже зловреда не надо: из requirements.txt берём лижу типа
pylint>=4.7
и подтягивается pylint 18.3. Для python 4.5.
И это отвратительно. К слову, в golang такое не прокатывает.

Ответить | Правка | Наверх | Cообщить модератору

15. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +/–

Сообщение от user90 (?), 14-Мрт-22, 15:21

Новость-то не фиктивная? А то подписи нет)

Ответить | Правка | Наверх | Cообщить модератору

20. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +1 +/–

Сообщение от Майор (??), 14-Мрт-22, 17:24

> фреймворк для организации безопасной доставки обновлений
И как же я теперь буду бэкдоры вставлять? *плак-плак*...

Ответить | Правка | Наверх | Cообщить модератору

21. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +2 +/–

Сообщение от Адмирал Майкл Роджерс (?), 14-Мрт-22, 17:33

Не унывайте, коллега. Специалисты что-нибудь придумают.

Ответить | Правка | Наверх | Cообщить модератору

22. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +/–

Сообщение от Dzen Python (ok), 14-Мрт-22, 20:30

Я вам всем бюджетное финансирование урезал!

Ответить | Правка | Наверх | Cообщить модератору

25. "Доступен TUF 1.0, фреймворк для организации безопасной доста..." +1 +/–

Сообщение от Аноним12345 (?), 15-Мрт-22, 09:28

Надстройка над настройкой над настройкой
Мы будем контролировать то, что вы сами контролируете, но плохо

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+4 +/–
Сообщение от ryoken (ok), 14-Мрт-22, 12:12
>> В каждом отдельном ключе сосредотачивается только минимально необходимое доверие ...мнээ... Переведите плз кто-нибудь на обычный юзеропостижимый русский..?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+12 +/–
	Сообщение от slava_kpss (ok), 14-Мрт-22, 12:34
	Там лютый дроч на безопасность, но однажды найдут уязвимость, которая всё похерит
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	–12 +/–
	Сообщение от распад олова (?), 14-Мрт-22, 13:23
	потомучто не на расте
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+/–
	Сообщение от Аноним (24), 15-Мрт-22, 03:09
	ну Python это отличный язык для прототипирования... примерно как Turbo Pascal раньше. концепт заложен теперь надо подождать программистов, которые перепишут хотя бы на сях это хоть под какой-то дистрибутив... хотя зачем?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+4 +/–
	Сообщение от Жироватт (ok), 14-Мрт-22, 13:44
	И эта уязвимость сидит перед монитором, пишет интеграцию в TUF. Или это уязвимость с доступом к ревью коммитов самого TUF получила деньги от Конгресса неназванной страны, патриотических люлей от дрилл-сержанта морской пехоты неопределенной страны, а затем угрозы от бесноватых, живущих с ним рядом в андефайн-стране, в имярековой социальной сети во имя всего хорошего против всего плохого?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	3. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+/–
	Сообщение от n00by (ok), 14-Мрт-22, 13:17
	Например, у Пока Линукс сломали два раза сайт, залили скрипт с редиректом на лохотрон. Они узнали об этом от пользователей ВК. Потеряно доверие ко всей системе обеспечения безопасности, ко всей инфраструктуре, мало ли что там ещё взломали. Обновляться нельзя, качать образы для установки нельзя. А тут как бы можно обновляться, если взломали маловажную часть инфраструктуры.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	16. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+1 +/–
	Сообщение от Брат Анон (ok), 14-Мрт-22, 15:33
	Только тут проблема: если кто-то смог залить зловред в репу -- значит ключ протёк. На ключ нужен другой ключ уровнем выше. Это пирамида без конца.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+1 +/–
	Сообщение от n00by (ok), 15-Мрт-22, 13:36
	> пирамида без конца. Безопасность это вообще процесс. Она не "есть", приходится её обеспечивать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+/–
	Сообщение от Брат Анон (ok), 17-Мрт-22, 10:55
	>> пирамида без конца. > Безопасность это вообще процесс. Она не "есть", приходится её обеспечивать. Я прекрасно в курсе, что безопасность это не состояние, а процесс. Также я в курсе, что описанную проблему верификации верификатора -- безопасность не решает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+1 +/–
	Сообщение от Жироватт (ok), 14-Мрт-22, 13:40
	Принцип похож на обоснование герметичных толстых переборок в кораблях - если есть пробоина в каком-то отсеке, то он тупо задраивается и даже с полностью затопленным отсеком корабль сохраняет плавучесть, теряя в мореходности. Обычно там закладывается при проектировке рассчетно 2-3-5 затопленных отсеков, позволяющих судну своим ходом дойти до ближайшего порта, сбросить карго и в док, на ремонт.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

4. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+/–
Сообщение от pashev.ru (?), 14-Мрт-22, 13:18
Фигня какая-то... Примеры предотвращенных атак есть, или опять "должно работать"?
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	–2 +/–
	Сообщение от ryoken (ok), 14-Мрт-22, 13:30
	> Фигня какая-то... Примеры предотвращенных атак есть, или опять "должно работать"? Чего вы требуете от версии 1.0? :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+1 +/–
	Сообщение от Аноним (12), 14-Мрт-22, 14:15
	Хотя бы работы, а не одних деклараций.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+5 +/–
	Сообщение от Жироватт (ok), 14-Мрт-22, 13:33
	Написал ниже. Нет обкатки в реальном мире - "должно работать". Тут же область бесконечной борьбы шита и меча. Как и военные игрушки, так и такие сесурити-средства должны постоянно тестироваться в реальной боевой, где мелочи решают: жив или умер. Ну или закрыт-чист или скомпрометирован.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

6. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+1 +/–
Сообщение от Жироватт (ok), 14-Мрт-22, 13:30
Спасёт ли это NPM или что-нибудь такое же скриптовое и популярное? В репах дистрибутивов DoS-атака в принципе невозможна: клиент запрашивает список у сервера, а не сервер пушит "есть апдейт - скачай апдейт, ой, есть еще апдейт". Остальное интересно, но не более того. Нужна обкатка, серьёзная военприёмочная обкатка и напилинг на реальных высокоопасных репозиториях, вроде рассадника лефтпадов. Далее, лет через пять, когда большую часть common-use-сценариев уже раскроют и исправят, тогда можно говорить о статусе выше proof-of-concept
Ответить \| Правка \| Наверх \| Cообщить модератору

11. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	–6 +/–
Сообщение от Аноним (11), 14-Мрт-22, 14:11
> Код эталонной реализации TUF написан на языке Python Не продолжайте.
Ответить \| Правка \| Наверх \| Cообщить модератору

13. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+/–
Сообщение от Kusb (?), 14-Мрт-22, 14:31
Ну оно звучит интересно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+/–
	Сообщение от Брат Анон (ok), 14-Мрт-22, 15:37
	> Ну оно звучит интересно. Лучше, чем ничего. Но тут даже зловреда не надо: из requirements.txt берём лижу типа pylint>=4.7 и подтягивается pylint 18.3. Для python 4.5. И это отвратительно. К слову, в golang такое не прокатывает.
	Ответить \| Правка \| Наверх \| Cообщить модератору

15. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+/–
Сообщение от user90 (?), 14-Мрт-22, 15:21
Новость-то не фиктивная? А то подписи нет)
Ответить \| Правка \| Наверх \| Cообщить модератору

20. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+1 +/–
Сообщение от Майор (??), 14-Мрт-22, 17:24
> фреймворк для организации безопасной доставки обновлений И как же я теперь буду бэкдоры вставлять? плак-плак...
Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+2 +/–
	Сообщение от Адмирал Майкл Роджерс (?), 14-Мрт-22, 17:33
	Не унывайте, коллега. Специалисты что-нибудь придумают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+/–
	Сообщение от Dzen Python (ok), 14-Мрт-22, 20:30
	Я вам всем бюджетное финансирование урезал!
	Ответить \| Правка \| Наверх \| Cообщить модератору

25. "Доступен TUF 1.0, фреймворк для организации безопасной доста..."	+1 +/–
Сообщение от Аноним12345 (?), 15-Мрт-22, 09:28
Надстройка над настройкой над настройкой Мы будем контролировать то, что вы сами контролируете, но плохо
Ответить \| Правка \| Наверх \| Cообщить модератору