Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от opennews (??), 22-Апр-20, 10:26 | ||
Компания ReversingLabs опубликовала результаты анализа применения тайпсквоттинга в репозитории RubyGems. Обычно тайпсквоттинг применяется для распространения вредоносных пакетов, рассчитанных на то, что невнимательный разработчик при поиске допустит опечатку или не заметит разницы. В ходе исследования было выявлено более 700 пакетов, названия которых схожи с популярными пакетами и отличаются незначительными деталями, например, заменой похожих букв или использованием подчёркивания вместо тире... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "В RubyGems выявлено 724 вредоносных пакета" | +11 +/– | |
Сообщение от Аноним (1), 22-Апр-20, 10:26 | ||
Никогда, ни в одном, открытом репозитории не было вредоносных пакетов и вот нате вам опять! | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "В RubyGems выявлено 724 вредоносных пакета" | +8 +/– | |
Сообщение от нах. (?), 22-Апр-20, 11:47 | ||
ну, согласись, 700 штук с двух акаунтов - это все же достижение! | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "В RubyGems выявлено 724 вредоносных пакета" | +11 +/– | |
Сообщение от gogo (?), 22-Апр-20, 14:13 | ||
Для публично открытых на запись "репозиториев" следовало бы придумать другое название, дабы не путать с нормальными репозиториями. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
28. "В RubyGems выявлено 724 вредоносных пакета" | +12 +/– | |
Сообщение от Константавр (ok), 22-Апр-20, 15:08 | ||
crapository - звучит :) продвигай идею в палату мер и весов, мы тебя поддержим :) | ||
Ответить | Правка | Наверх | Cообщить модератору |
48. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Nxx (ok), 23-Апр-20, 12:16 | ||
Тогда уж coprository. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "В RubyGems выявлено 724 вредоносных пакета" | –2 +/– | |
Сообщение от заминированный тапок (ok), 22-Апр-20, 16:08 | ||
Думать что в закрытом ПО нет вредоносного кода - это как закрыть глаза руками и думать что спрятался и в безопасности | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
55. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от MadeInRussiaPlus (?), 24-Апр-20, 10:41 | ||
При чем тут закрытый код? Речь про открытые репозитории, неважно, что в них лежит, проприетарной или открытое ПО. | ||
Ответить | Правка | Наверх | Cообщить модератору |
56. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от заминированный тапок (ok), 24-Апр-20, 11:22 | ||
приношу извининения, тк я не думал, что существуют настолько открытые репозитории (точнее свалка) | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Аноним (1), 22-Апр-20, 10:32 | ||
Как хорошо, что не использую софт на руби. | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "В RubyGems выявлено 724 вредоносных пакета" | +6 +/– | |
Сообщение от Аноним (3), 22-Апр-20, 10:39 | ||
Рад за коллегу, но | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "В RubyGems выявлено 724 вредоносных пакета" | +4 +/– | |
Сообщение от Аноним (1), 22-Апр-20, 10:51 | ||
1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать! | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от JL2001 (ok), 22-Апр-20, 11:37 | ||
> 1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать! | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Не примерно надо, а точно!" | –1 +/– | |
Сообщение от Аноним (21), 22-Апр-20, 12:59 | ||
1. Идентификация пакетов в репозитории строго по подписи OpenPGP ключа. | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Не примерно надо, а точно!" | +2 +/– | |
Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:16 | ||
Да подпись тут -- инструмент, вопрос в доверии к ней (и подписавшему). Это задачка на репутацию, а не на криптуху. | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Задача именно на криптуху." | +/– | |
Сообщение от Аноним (45), 23-Апр-20, 06:19 | ||
gpg --check-trustdb | ||
Ответить | Правка | Наверх | Cообщить модератору |
58. "Задача именно на криптуху." | +/– | |
Сообщение от JL2001 (ok), 24-Апр-20, 13:07 | ||
> gpg --check-trustdb | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Не примерно надо, а точно!" | +/– | |
Сообщение от microsoft (?), 22-Апр-20, 19:17 | ||
А говнокодомакаки как костылили с использованием левых модулей, так и будут дале | ||
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору |
46. "Не примерно надо, а точно!" | +/– | |
Сообщение от Аноним (45), 23-Апр-20, 06:30 | ||
Хочется M$ монопольнои контролировать верификацию пакетов в GNU/Linux? Сколько будете со счета списывать за загрузку GNU/Linux? | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Аноним (3), 22-Апр-20, 11:56 | ||
Хорошие разработчики тоже используют инструментарий. SDK к примеру и вообще чужой код, в том числе открытый. Но https://www.computerra.ru/261789/kak-prilozheniya-shpionyat-.../ И как нам, хорошим, быть? | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
23. "В RubyGems выявлено 724 вредоносных пакета" | +3 +/– | |
Сообщение от funny.falcon (?), 22-Апр-20, 13:16 | ||
Так ведь НЕ БЫЛИ скомпроментированы существующие пакеты. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
9. "В RubyGems выявлено 724 вредоносных пакета" | +7 +/– | |
Сообщение от Аноним (9), 22-Апр-20, 10:53 | ||
Да на Node.js тебе ничего не угрожает. | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
22. "В RubyGems выявлено 724 вредоносных пакета" | +1 +/– | |
Сообщение от Аноним (21), 22-Апр-20, 13:01 | ||
И JS тоже нигде не использую, даже dbus & polkitd не устанавливаю. | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от КО (?), 22-Апр-20, 10:40 | ||
В зависимости подставить можно? | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "В RubyGems выявлено 724 вредоносных пакета" | +1 +/– | |
Сообщение от Аноним (5), 22-Апр-20, 10:40 | ||
а сколько их в нпм... | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "В RubyGems выявлено 724 вредоносных пакета" | +1 +/– | |
Сообщение от Аноним (7), 22-Апр-20, 10:48 | ||
NPM всего-то в 100+ раз больше размером | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "В RubyGems выявлено 724 вредоносных пакета" | +1 +/– | |
Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:17 | ||
Гусары, молчать! | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "В RubyGems выявлено 724 вредоносных пакета" | +1 +/– | |
Сообщение от Lex (??), 23-Апр-20, 01:18 | ||
Низабудим про лифтпад!!111 | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
54. "В RubyGems выявлено 724 вредоносных пакета" | +1 +/– | |
Сообщение от Аноним84701 (ok), 23-Апр-20, 17:47 | ||
> NPM всего-то в 100+ раз больше размером | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
10. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Аноним (9), 22-Апр-20, 10:54 | ||
Там даже целенаправленный зловредный код может быть опасен. | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
6. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Аноним (7), 22-Апр-20, 10:46 | ||
Если я правильно посмотрел, то в rubygems всего 10620 пакетов. 724 от этих 10620 это почти 7%. | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "В RubyGems выявлено 724 вредоносных пакета" | +6 +/– | |
Сообщение от разработчик (?), 22-Апр-20, 12:03 | ||
Это вы нашли пока только 724 | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от JL2001 (ok), 22-Апр-20, 11:26 | ||
репозитории, говорили они, мантейнеры, говорили они | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Константавр (ok), 22-Апр-20, 15:10 | ||
какие майнтейнеры? Там практически анонимная свалка. | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от JL2001 (ok), 24-Апр-20, 13:04 | ||
> какие майнтейнеры? Там практически анонимная свалка. | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "В RubyGems выявлено 724 вредоносных пакета" | –1 +/– | |
Сообщение от Аноним (18), 22-Апр-20, 12:16 | ||
"невнимательный разработчик".. ох уж эта ваша политкорректность. | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Аноним (30), 22-Апр-20, 15:13 | ||
А как правильно? Негр? | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "В RubyGems выявлено 724 вредоносных пакета" | –1 +/– | |
Сообщение от robot228 (?), 22-Апр-20, 12:32 | ||
Не удивительно что в одном из лучших и крупнейших архивах яп выявлены троянчики=) | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от user (??), 22-Апр-20, 12:51 | ||
RubyGerms | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Аноним (33), 22-Апр-20, 19:04 | ||
Как так-то? Как так-то?! | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от microsoft (?), 22-Апр-20, 19:20 | ||
Может макаки уже начнут проверять имена пакетов и перестать ныть когда сами виноваты? | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Онаним (?), 22-Апр-20, 20:51 | ||
Как, одной командочкой скачивая пакетик "leftpad-makes-everything-good" вместе со всеми зависимостями, ещё надо что-то проверять? | ||
Ответить | Правка | Наверх | Cообщить модератору |
39. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Аноним (39), 22-Апр-20, 21:26 | ||
А как ты узнаешь, что тебе нужно, и как оно называется? Простые батарейки конечно просмотришь глазами (1 раз), но со сложными как быть? Если есть возможность, я смотрю на список других пакетов автора. И копирую, чтобы не ошибиться при вводе. Так ведь не проблема нагенерировать по автору на каждый пакет! И как ты отличишь это нормальный форк, или малварь? А если половина авторов просто китайские нонеймы? | ||
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору |
40. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от microsoft (?), 22-Апр-20, 21:48 | ||
Не использовать такое уг в проекте. Иииии проверять то что подключаеш а не верить васяну на чисто ну тут я те говору да мамо клянусь все путем | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Lex (??), 23-Апр-20, 01:23 | ||
Количество и частота скачиваний, количество звёзд и issue( в т.ч исправленных )в репе проекта | ||
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору |
44. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Аноним (39), 23-Апр-20, 02:20 | ||
Если бы это ещё работало. Обычно ближе у 1 100 скачиваний, но протухло, у 2 10, но не протухло. А на гитхабе ещё и 100500 форков, пойди найди живой. Выбирай. При этом обычно там ещё и норм код оказывается, намного лучше, чем сейчас бы накостылял под задачу. | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от nebularia (ok), 23-Апр-20, 12:20 | ||
Лучший критерий - время загрузки первой версии. | ||
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору |
38. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от YetAnotherOnanym (ok), 22-Апр-20, 21:09 | ||
> касается других популярных репозиториев | ||
Ответить | Правка | Наверх | Cообщить модератору |
43. "В RubyGems выявлено 724 вредоносных пакета" | +1 +/– | |
Сообщение от Аноним (43), 23-Апр-20, 01:49 | ||
Помнити лифтпад! | ||
Ответить | Правка | Наверх | Cообщить модератору |
47. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Аноним (47), 23-Апр-20, 11:14 | ||
>В RubyGems выявлено 724 вредоносных пакета | ||
Ответить | Правка | Наверх | Cообщить модератору |
52. "В RubyGems выявлено 724 вредоносных пакета" | +/– | |
Сообщение от Аноним (52), 23-Апр-20, 16:43 | ||
Ну частично сами виноваты - надо быть конченым чтобы различать - и _ в названиях пакетов, а вообще вполне ожидаемо от uncurated репозитория - в pypi и npm такие же проблемы. Поэтому их можно рассматривать только как помойки, а ставить пакеты только через родные репозитории системы, где на них хотя бы посмотрели мантейнеры. | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |