Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Пять уязвимостей в платформе совместной разработки Gogs, позволяющих выполнить код на сервере "	+/–
Сообщение от opennews (ok), 26-Дек-24, 09:17
Опубликован корректирующий релиз платформы совместной разработки Gogs 0.13.2, в котором устранено 6 уязвимостей. 5 уязвимостям присвоен критический уровень опасности (10 из 10).  Исправленные проблемы позволяют непривилегированному пользователю Gogs выполнить код на сервере, изменить данные в репозиториях других пользователей или получить SSH-доступ к серверу. Судя по предварительной проверке, уязвимости не затрагивают платформы Forgejo и Gitea, продолжающие развитие форка Gogs, созданного в 2016 году... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62469
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+9 +/–
Сообщение от Werenter (ok), 26-Дек-24, 09:17
А вот будь оно на Си...
Ответить | Правка | Наверх | Cообщить модератору

	4. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–10 +/–
	Сообщение от Аноним (4), 26-Дек-24, 09:36
	Не понимаю почему такие критически важные для инфраструктуры программы еще не переписали на расте. Неуженли люди осознанно отказываются писать программы без ошибок и приближать цифровой коммунизм?
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+3 +/–
	Сообщение от Аноним (10), 26-Дек-24, 10:08
	На расте тоже можно писать с ошибками и Раст никак не поможет поэтому Раст и мало кем используется. По факту совсем нигде не используется.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–9 +/–
	Сообщение от Аноним (13), 26-Дек-24, 10:18
	Согласно статистике, количество проектов, разрабатываемых на Rust превысило количество проектов, разрабатываемых на СИ еще в Августе 2022
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+9 +/–
	Сообщение от Аноним (22), 26-Дек-24, 11:46
	Заметьте: не сделанных, а разрабатываемых, да еще и превысило.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от нах. (?), 26-Дек-24, 11:58
	не вижу противоречий. Начатых переписываний и законченных хеловротов, типа драйвера аж целого мигателя светодиодиком (ой... да и тот собственно мигает сишным кодом, а на хрусте прослойка к прокладке) и должно быть больше - на сях редко что-то "переписывают", да и публиковать хеловроты как-то не принято, когда на собеседовании попросят показать твой шитхап, они точно не хеловрот хотят увидеть от senior C programmer, и прослойкой к прокладке ты это собеседование тоже провалишь. Больше изумляет как раз отсутствие хоть чего-то реально полезного, ресдох так и сдох, руффлерс так и стреляет себе в задницу из эскопеты с дыркой в текстурах, чувак писавший вебсервер на базе "фреймворка" так и пропал куда-то... где же вы 6-ди, выручайте дядю! Ну может хоть ии за нас напишет? А, хрен там... хеловрот-то напишет, а для чего посложнее - ему учиться-то не на чем. В результате начинает галлюцинировать, и эти результаты еще и попадают в шитхап - т.е. еще и используются для "улучшения" этой бредятины.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	46. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (46), 26-Дек-24, 15:47
	А на джаваскрипт ещё больше чем на расте лол.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	58. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от нах. (?), 26-Дек-24, 16:23
	> А на джаваскрипт ещё больше чем на расте лол. так это реальные проекты, а не одни хеловроты с ресдохами. вон - целый онлифа..простите, чорт попутал - онлиофис написали. Попробуйте кто-нибудь начать переписывать на хруст, что-ли, поржем. А ведь на первый (да и на второй-третий) взгляд вроде бы для написания офиса куда логичней выбрать если не си-с-классами (при том что вот на нем-то точно уже один работающий написан... даже и не один, собственно) то что-то похожее. Потому что там как раз прямо противоположный подход - не ты от борова бегаешь, а язык за тебя все проблемы решает, как умеет - ну подумаешь 1+1 то ли 11, то ли хрен его знает - код запускается, а такие приколы либо выявят тесты, либо значит никому пока не помешали.
	Ответить | Правка | Наверх | Cообщить модератору

	90. Скрыто модератором	+/–
	Сообщение от Аноним (90), 26-Дек-24, 22:30
	Братан, меня больше забавляет как всё всегда сводится к этому расту. Мне кажется ананим бамбанул потрольку :) Я его этот раст уже ненавижу люто,но придётся учить ибо особо упоротые гады его впердолили куда надо. Вазможна вы сталкнулись с подобностью
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (72), 26-Дек-24, 17:26
	Вот интересно, когда NPM и Cargo устроят соревнование по количеству протрояненных пакетов?
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

	92. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (90), 26-Дек-24, 22:30
	Никогда
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (72), 26-Дек-24, 17:10
	>Согласно статистике, количество проектов, разрабатываемых на Rust превысило количество проектов, разрабатываемых на СИ еще в Августе 2022 Ух тыж! Срочно бегу на Шитхаб создать свой прожект на Rust, чтоб пополнить статистику. Мой собственный Hello, World!
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	109. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от нах. (?), 27-Дек-24, 07:38
	слышь, ну чо ты как маленький, зачем так трахаться-то? Просто нажми "fork" на Hello.rs - я вот уже три раза нажал - у меня теперь целых ТРИ проекта на хрусте! И пацанам почет и уважуха - "воон сколько у нашего суперпроекта форков!" и тебе не потеть. readme.md можешь поправить потом, там несложно, в крайнем случае чатгопоту попроси отформатировать, это-то она умеет.
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (79), 26-Дек-24, 18:44
	вы из какой вселенной?
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	15. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+5 +/–
	Сообщение от Аноним (15), 26-Дек-24, 10:43
	Если бы не отбитая политизированность комьюнити и тех, кто продвигает этот язык, глядишь раст бы использовали чаще
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	24. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от нах. (?), 26-Дек-24, 12:01
	блин, да как ты его использовать хочешь-то? посмотри ЛЮБУЮ новость про новую версию каждые три дня - еще стопиццот новых закорючек, которые надо вызубрить! Могла бы помочь чатгопота - но...упс, ей учиться не на чем, одни хеловроты кругом. С пехепе фреймворками она справляется, потому что полно образцов, написанных человеками, таки осилившими ЭТО выучить.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–2 +/–
	Сообщение от Аноним (-), 26-Дек-24, 16:46
	>Если бы не отбитая политизированность комьюнити и тех, кто продвигает этот язык, глядишь раст бы использовали чаще Не в политике дело. Растаманы против копилефта, а копилефт наше всё. Они стремятся все копилефтные утилиты переписать на Раст с бздунской лицензией. А копилефт написан на чистом Си.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	93. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (90), 26-Дек-24, 22:33
	На самом деле есть идейка переписать на си что-то нужное что есть на расте. Делать этого я конечно не буду
	Ответить | Правка | Наверх | Cообщить модератору

	113. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от qrKot (?), 27-Дек-24, 08:21
	невыполнимо. На расте нет ничего нужного
	Ответить | Правка | Наверх | Cообщить модератору

	117. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 27-Дек-24, 09:33
	тот же ruffle (не то чтоб ему это поможет, конечно) - но вряд ли получится. Скорей уж на pure js. Все же си не самый удачный язык для случаев когда нужно не на bare metal или хотя бы не только на нем.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+4 +/–
	Сообщение от Анон из села Кукуево (?), 26-Дек-24, 17:44
	А нет никакой политизированности у раста Политизированность есть у местных фриков которые видят врагов во всем, что появилось в последние 20 лет, хоть раст, хоть гоу, хоть что угодно еще
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	114. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от qrKot (?), 27-Дек-24, 08:24
	>> А нет никакой политизированности у раста Ну да, ну да...
	Ответить | Правка | Наверх | Cообщить модератору

	124. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Анон из села Кукуево (?), 27-Дек-24, 10:06
	Да Политизированность что в расте, что в гоу, что в чем-то еще видят местные шизики Сами придумали, сами испугались и оскорбились
	Ответить | Правка | Наверх | Cообщить модератору

	136. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (136), 27-Дек-24, 12:57
	Откуда тогда берутся новости про недопереписанное? Постоянно.
	Ответить | Правка | Наверх | Cообщить модератору

	143. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Анон из села Кукуево (?), 27-Дек-24, 13:12
	А еще кто-то пишет аналоги разных утилит на гоу, паскале и прочих языках Просто сюда тащат новости про написание на расте А так ну вот есть ncdu одна на сях что ли, а вторая(от того же автора) на zig и есть их аналог gdu на Golang. Просто никто не тащит про них сюда новости, вот и нет фантазий местных дурачков про ужасные заговоры
	Ответить | Правка | Наверх | Cообщить модератору

	125. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (125), 27-Дек-24, 11:04
	Гоу норм язык. В нем куча глупостей, и плохая вендоризация, но на нём есть рабочий код, и он полезен для человека более-менее.
	Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

	17. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от rrgbv (ok), 26-Дек-24, 11:18
	Какая разница, если всё обернут в unsafe и продолжат стрелять себе в ногу, только теперь ещё и с вырвиглазным синтаксисом
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	25. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 26-Дек-24, 12:04
	иди наxep, у нас все безопастно, нет совершенно никакой необходимости оформлять ../../.. unsafe. Память в этом случае совершенно в безопастносте.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от rrgbv (ok), 26-Дек-24, 12:06
	Уверен? https://github.com/Speykious/cve-rs
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от Аноним (53), 26-Дек-24, 16:10
	> Уверен? https://github.com/Speykious/cve-rs Такой умный и уверенный вид был ... и так спалился. Там есть эпичный тред, где сначала неделю пытались заставить это таки компилироваться и работать: https://github.com/Speykious/cve-rs/issues/4 для чего пришлось написать свою реализацию низкоуровневых базовых "примитивов" типа transmute и null_mut (в демке "кастуют" и "магичат" с кусом памяти нулевого размера, ага). Ну и пояснение, как это работает: https://docs.rs/cve-rs/latest/cve_rs/lifetime_expansion/inde... > How it works > There is a soundness hole in the Rust compiler that allows our domain expansion to work. [...] > rustc should infer that one of the lifetimes does not outlive 'static, so that we can’t > use lifetime_translator; however, for whatever reason, it doesn’t, so this exploit works. > See https://github.com/rust-lang/rust/issues/25860 for this bug’s bug report. >
	Ответить | Правка | Наверх | Cообщить модератору

	128. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (128), 27-Дек-24, 11:22
	Тащишь эту мантру из новости в новость. И кто-то ведётся на эту чушь. Собирается без проблем, unsafe для этой уязвимости не используется.
	Ответить | Правка | Наверх | Cообщить модератору

	137. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (136), 27-Дек-24, 13:01
	Это новость пр неудачное целеполагание при разработке rust. Вот если бы при разработке задались целью такого не допустить, то у ruts'а появилась бы ниша.
	Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

	54. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от nilsys (?), 26-Дек-24, 16:13
	мне нравится как вы носитесь с cve-rs как с писаной торбой, когда это просто баг компилятора, который ещё и хрен среплицируешь
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	129. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (128), 27-Дек-24, 11:23
	> это просто баг компилятора Не _просто_, а баг компилятора на безопасном(тм) язычке.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от anonymous (??), 26-Дек-24, 11:43
	Потому что Раст рекламируют нейросети для компаний, которым нужны новые хомячки-погроммисты за миску риса. Сишник ещё имеет некоторую свободу выбора.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	26. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от нах. (?), 26-Дек-24, 12:04
	Имеет, но только между двумя пустыми мисками.
	Ответить | Правка | Наверх | Cообщить модератору

	96. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Вы забыли заполнить поле Name (?), 27-Дек-24, 00:01
	>  Не понимаю почему такие критически важные для инфраструктуры программы еще не переписали на расте. Неуженли люди осознанно отказываются писать программы без ошибок и приближать цифровой коммунизм? Как раст поможет избежать упомянутых выше ошибок? > и приближать цифровой коммунизм? С капиталистическим компилятором? Ну-ну.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	139. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (136), 27-Дек-24, 13:04
	Для религиозных фанатиков rust'а неважно. Главное верить. А тех кто не верит - заставить. Кого не получится заставить - подвергать анафеме, если уж на костре сжечь не получится.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от cheburnator9000 (ok), 26-Дек-24, 12:31
	Оно на Go, что по сути своей является Си для веб погромистов. Хотя данные CVE по своей сути это отсутствия знания матчасти в веб безопасности.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	40. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (40), 26-Дек-24, 14:39
	>данные CVE по своей сути это отсутствия знания матчасти в веб безопасности. К сожалению, это верно для 99% веб программистов, не зависимо от ЯП (GO, PHP, JS, etc)
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–2 +/–
	Сообщение от InuYasha (??), 26-Дек-24, 22:19
	Так вот почему в РФ день программиста и день web-разработчика празднуются раздельно!..
	Ответить | Правка | Наверх | Cообщить модератору

	126. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (125), 27-Дек-24, 11:05
	Программист пишет программы, а веб-разработчик сайты. Что странного?  Разные профессии.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (33), 26-Дек-24, 14:00
	Была бы ещё куча ошибок связанных с памятью
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	85. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (85), 26-Дек-24, 19:47
	И что бы произошло от ошибок с памятью? Самые большие утечки происходят через самые примитивные ошибки типа неправильных путей.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
Сообщение от Аноним (2), 26-Дек-24, 09:28
> ограничения загрузки файлов в каталог .git в web-редакторе какие курсы ? > использовать последовательности вида "/../" они не знают, как это делать.
Ответить | Правка | Наверх | Cообщить модератору

3. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
Сообщение от Аноним (3), 26-Дек-24, 09:34
Не думал, что gitea - это форк гогов
Ответить | Правка | Наверх | Cообщить модератору

	8. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+5 +/–
	Сообщение от AKR (ok), 26-Дек-24, 09:52
	Они прямо это пишут: https://github.com/go-gitea/gitea > This project has been forked from Gogs since November of 2016, but a lot has changed. А Forgejo это уже форк Gitea, тоже так и пишут: https://forgejo.org/2024-02-forking-forward/ > Since its inception, Forgejo (a self-hosted git forge, like GitHub) has been a soft fork of Gitea.
	Ответить | Правка | Наверх | Cообщить модератору

6. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+14 +/–
Сообщение от Аноним (6), 26-Дек-24, 09:47
Пять уязвимостей в платформе совместной разработки Gogs, позволяющих _совместно_ выполнить код на сервере
Ответить | Правка | Наверх | Cообщить модератору

	31. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (10), 26-Дек-24, 13:14
	Где же ещё им быть как не там. И заметь ни одной ошибки в памяти.
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (76), 26-Дек-24, 18:11
	В github эти уязвимости назаваются gh actions.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

11. Скрыто модератором	+/–
Сообщение от Аноним (11), 26-Дек-24, 10:10
Не понятно откуда там уязвимости, этот софт же написан на языке с автоматическим управлением памятью.
Ответить | Правка | Наверх | Cообщить модератору

	20. Скрыто модератором	+1 +/–
	Сообщение от Аноним (3), 26-Дек-24, 11:35
	Это не случайные уязвимости, а специально подготовленные. Вдруг ты разместишь там исходники цифрового рубля.
	Ответить | Правка | Наверх | Cообщить модератору

16. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
Сообщение от User (??), 26-Дек-24, 11:13
Ну... Зато не github и не gitlab, да! Опять же, язык идеологически более правильный... А пользоваться этим всё равно никто и не планировал).
Ответить | Правка | Наверх | Cообщить модератору

	18. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от Аноним (18), 26-Дек-24, 11:24
	Им и не пользуются, пользуются его форками, в которых этой уязвимости как раз и нет.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от нах. (?), 26-Дек-24, 12:05
	но ета ниточна. Поэтому до 9 января поживете без вебморды.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (10), 26-Дек-24, 13:13
	Все должно быть в консоли.
	Ответить | Правка | Наверх | Cообщить модератору

	122. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от нах. (?), 27-Дек-24, 09:54
	в какой еще сонсоли? Все было и есть прямо в visual studio. Ну или для нищ36родов vscode. И пуллы, и ребейзы, и "стоя на колленях умоляю принять пулреквест". Но вот настраивать какие-нибудь ciшные тряхомудии без вемборды может оказаться... затруднительно. Да и нехрен по пьяной лавочке.
	Ответить | Правка | Наверх | Cообщить модератору

	146. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от Аноним (-), 27-Дек-24, 13:55
	> в какой еще сонсоли? Все было и есть прямо в visual studio. > Ну или для нищ36родов vscode. > И пуллы, и ребейзы, и "стоя на колленях умоляю принять пулреквест". Это должно быть - у таких как ты. > Но вот настраивать какие-нибудь ciшные тряхомудии без вемборды > может оказаться... затруднительно. Да и нехрен по пьяной лавочке. Да кто б сомневался что фанаты виндочки и CI смогут так же - как и все остальное.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–2 +/–
	Сообщение от chdlb (?), 26-Дек-24, 13:32
	ну гитхаб и вправду дрянь хотя бы потому что это мелкософт но в целом срач на гитлаб выглядит смешно после таких провалов )))
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	35. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от myster (ok), 26-Дек-24, 14:14
	У GitLab были уязвимости по серьезнее. До сих пор бот-неты в сети используют незапатченные GitLab машины для DDOS и прочих грязных дел. Потому что админы не обновляют вовремя его, да и потому что развернут он нативно в Linux, а не в виде контейнеров. Контейнеры тяжелее взломать, если грамотно настроено, даже если сам GitLab взломан, взломщику труднее  выбраться из песочницы, чтобы установить на сервер и прописать в crontab всякую дрянь. Что касается GitHub'a, то его self-hosted версия это просто монстр по количеству компонентов и процессов даже по-сравнению с монстрообразным GitLab. Учитывая это GitHub ломануть ещё легче, чем GitLab. Его просто редко используют публично, в основном он закрыт за внутренним VPN компаний, в отличие от GitLab.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+3 +/–
	Сообщение от Аноним (136), 26-Дек-24, 14:31
	>  Контейнеры тяжелее взломать, Вызывающе неверная информация. В контейнерах обычно давно протухшее с кучей известных проблем. > если грамотно настроено, Так кто же эти занимается? > даже если сам GitLab взломан, взломщику труднее  выбраться из песочницы, А зачем? Все данные доступны. Ботсеть сделать не проблема. Зачем выбираться? > чтобы установить на сервер и прописать в crontab всякую дрянь. Смысла нет этим заниматься.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от myster (ok), 26-Дек-24, 15:03
	> Вызывающе неверная информация. В контейнерах обычно давно протухшее с кучей известных проблем. Если в компании придерживаются практики регулярных обновлений, то оно такое же протухшее, как и операционной системе. И то и то либо регулярно обновляют. Либо и то и то, никто не обновляет. >> если грамотно настроено, > Так кто же эти занимается? странный вопрос, те кто ответственен. >> даже если сам GitLab взломан, взломщику труднее  выбраться из песочницы, > А зачем? Все данные доступны. Ботсеть сделать не проблема. Зачем выбираться? Львинная доля взломщиков используют готовые скрипты-эксплойты, которые ожидают, что там нативная система, в итоге скрипт выдаст ошибку, в большинстве случаев, злоумышленники перейдут к следующему серверу из огромного списка и не будут пристально лезть в твой, просто времени на это нет. >> чтобы установить на сервер и прописать в crontab всякую дрянь. > Смысла нет этим заниматься. Опять же, они не занимаются, часто это всё автоматизировано.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от User (??), 26-Дек-24, 15:37
	> Контейнеры тяжелее взломать, если грамотно настроено, даже если сам GitLab взломан, > взломщику труднее выбраться из песочницы, чтобы установить на сервер и прописать в > crontab всякую дрянь. Ну, как по мне - считать, что контейнер сам по себе добавляет сколько-нибудь значимый security boost таки наивно. Минимизация attack surface вполне компенсируется новыми векторами атак на контейнеризованную инфраструктуру. Да, её можно-и-нужно защищать, но это, в целом нифига не проще защиты классической серверной инфры.
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	51. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от myster (ok), 26-Дек-24, 16:03
	> Минимизация attack surface вполне компенсируется новыми векторами атак на контейнеризованную инфраструктуру. Таких векторов гораздо меньше и всегда будет меньше, т.к. взломщику особо негде разгуляться в песочнице, по-сравнению с нативной системой.
	Ответить | Правка | Наверх | Cообщить модератору

	105. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от User (??), 27-Дек-24, 07:07
	>> Минимизация attack surface вполне компенсируется новыми векторами атак на контейнеризованную инфраструктуру. > Таких векторов гораздо меньше и всегда будет меньше, т.к. взломщику особо негде > разгуляться в песочнице, по-сравнению с нативной системой. Ну вот у тебя появились целые классы атак _на оркестратор_, для которых вылезать-из-контейнера в общем-то и не надо - легче стало?
	Ответить | Правка | Наверх | Cообщить модератору

	133. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от myster (ok), 27-Дек-24, 12:46
	> Ну вот у тебя появились целые классы атак _на оркестратор_, для которых > вылезать-из-контейнера в общем-то и не надо - легче стало? они все в основном требует открытый порт API оркестратора наружу, не стоит так делать. И всё познаётся в сравнении. Голый сервис на PHP или незапатченный Apache гораздо большую представляют опасность, когда они бегут нативно в системе, нежели когда контейнеризированы по лучшим практикам, включая: 1. не использовать привелигированные аккаунты 2. контейнер не должен содержать никаких бинарных файлов, кроме 1-го микросервиса, чтобы даже shell доступ нельзя было получить.
	Ответить | Правка | Наверх | Cообщить модератору

	142. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от User (??), 27-Дек-24, 13:11
	>> Ну вот у тебя появились целые классы атак _на оркестратор_, для которых >> вылезать-из-контейнера в общем-то и не надо - легче стало? > они все в основном требует открытый порт API оркестратора наружу, не стоит > так делать. Ээээ... я вообще не про то, а про всякие secret leak, privelege escalation в оркестраторе, перехват трафика и вот это вот все, что - если не делать чертову уйму разновсяческих приседаний прекрасно делается изнутри контейнера... > И всё познаётся в сравнении. Голый сервис на PHP или незапатченный Apache > гораздо большую представляют опасность, когда они бегут нативно в системе, нежели > когда контейнеризированы по лучшим практикам, включая: > 1. не использовать привелигированные аккаунты > 2. контейнер не должен содержать никаких бинарных файлов, кроме 1-го микросервиса, чтобы > даже shell доступ нельзя было получить. Да-да, вот если k8s у тебя на immutable-нодах, да все контейнеры в нем из distroless-образов собраны, да security policy прибабаханы, да service mesh развернут, да network policy понарулены да 100500 приседашек сделаны - можно спать спокойно - но это не точно ).
	Ответить | Правка | Наверх | Cообщить модератору

	144. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от myster (ok), 27-Дек-24, 13:21
	> я вообще не про то, а про всякие secret leak, privelege escalation в оркестраторе, перехват трафика и вот это вот все, что - если не делать чертову уйму разновсяческих приседаний прекрасно делается изнутри контейнера... Ну а давай представим, что сервис не в контейнере бежит и еще ими рулит root процесс, как часто бывает.  В контейнере ты должен делать эти приседания (и далеко не факт, что получится, спектр для атак гораздо уже), а там просто стоя, не приседая, всё ломается, поскольку это не контейнеризированный сервис - не изолированный, с полным FHS доступом к системным библиотекам.  Как бы ты его AppArmour и SELinux не заворачивал, всё равно утечки будут. И  secret leak и privelege escalation в нативном сервисе и перехват трафика и всё что хочешь - ведь тебе палки в колёса никто не ставит, а вот контейнеризация ставит и серьёзные, если её грамотно использовать.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от chdlb (?), 26-Дек-24, 19:37
	и причем тут твои говноконтейнеры? пихай в виртуалки, там есть аппаратная поддержка, отдай весь физический сервер под задачу, что угодно... но к чему это все? пофлудить захотелось???? а по теме, CVE 10 из 10, полный контроль над приложением и системой, которая хранит твои данные (единственно ценное там), куда уже страшнее? мне абсолютно все равно что будет с сервером и станет ли он ботнетом на день или два, если я теряю единственное ценное что на нем есть, собственно CVS c данными
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	91. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от myster (ok), 26-Дек-24, 22:30
	контейнеры изолируют, ускоряют развертывание и облегчают администрирование любых сервисов. Сегодня виртуалки и так стандарт везде, а nested виртуализацию включать дорогое удовольствие. Да и виртуалках виде YAML конфига так хорошо не опишешь развертывание сервиса, нет четкого стандарта, как для Docker Compose или Kubernetes. Подходов, конечно, много но они слишком костыльные все. Руками нативно на Linux сегодня уже мало кто разворачивает сервисы, как в старые-добрые 90-е. Люди экономят время, благодаря YAML конфигам, которые версионируются в Git. Так можно обеспечить повторяемость конфигурации и беспроблемную передачу дел одного инженера другому. А контейнеры тут при том, что это один из официальных способов развёртывания GitLab и многих других современных сервисов. Иногда встречается, что разработчики сервиса контейнерофобы и такого способа развернуть их сервис принципиально нет и они сами об этом пишут. Это тоже не проблема, всегда можно самостоятельно контейнеризировать любой сервис.
	Ответить | Правка | Наверх | Cообщить модератору

	132. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (136), 27-Дек-24, 12:35
	Тебя же спрашивают зачем? Безопасности это не добавит. Ибо все твои данные, которые нужно прятать доступны в контейнере.
	Ответить | Правка | Наверх | Cообщить модератору

	140. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от myster (ok), 27-Дек-24, 13:05
	> Тебя же спрашивают зачем? Безопасности это не добавит. Ибо все твои данные, добавит, т.к. усложнит работу злоумышленникам, это и есть усиление безопасности > которые нужно прятать доступны в контейнере. Ну а данные не в контейнере, изучи на досуге, как микросервисы работают и как в них защищают доступ к данным. Чтобы их извлечь, по сравнению с нативным сервисом, ещё тот квест преодолеть взломщику надо будет, большинство сдадутся на первых этапах.
	Ответить | Правка | Наверх | Cообщить модератору

	115. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от qrKot (?), 27-Дек-24, 08:32
	>> Что касается GitHub'a, то его self-hosted версия это просто монстр Кхм... И где же вы, любезнейший, self-hosted версию гитхаба нашли? Ссылочкой не поделитесь?
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	121. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Анон из села Кукуево (?), 27-Дек-24, 09:44
	>>> Что касается GitHub'a, то его self-hosted версия это просто монстр > Кхм... И где же вы, любезнейший, self-hosted версию гитхаба нашли? Ссылочкой не > поделитесь? https://docs.github.com/en/enterprise-server@3.15/admin... Да вот же он!
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от User (??), 26-Дек-24, 14:14
	> ну гитхаб и вправду дрянь хотя бы потому что это мелкософт > но в целом срач на гитлаб выглядит смешно после таких провалов ))) Что меня не перестает удивлять, так это то, насколько посетителям сего ресурса ПОФИГ на то, что продукт\технология\система на самом деле _делает_. Гуй к пакетному менеджеру на QT (да еще без QML!) - ваааау! Круууууто! А что "круто" на фоне паршивого synaptic'а? То, что не ЭЛЕКТРОН! Ъ. Что не так с гитхабом? Так майкрософт же ж! А вот gogs - КРУУУУУТО!!! Что "круто"-то? Да то, что не microsoft!!! 2Ъ.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	39. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (136), 26-Дек-24, 14:35
	> Что меня не перестает удивлять, так это то, насколько посетителям сего ресурса ПОФИГ на то, что продукт\технология\система на самом деле _делает_. Гуй к пакетному менеджеру на QT (да еще без QML!) - ваааау! Круууууто! Круто это будет, когда он по функциональности обойдет консоль. А то что без QML - так это удовлетворительно. Вот на QML - неудовлетворительно. > А что "круто" на фоне паршивого synaptic'а? То, что не ЭЛЕКТРОН! Ъ. Ну вот видишь, ты все понимаешь. > Что не так с гитхабом? Так майкрософт же ж! А вот gogs - КРУУУУУТО!!! Что "круто"-то? Да то, что не microsoft!!! 2Ъ. Ну вот видишь, ты все понимаешь.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от User (??), 26-Дек-24, 15:30
	> Ну вот видишь, ты все понимаешь. Угу. По этому и пишу: "А пользоваться этим всё равно никто и не планировал", ибо если бы планировали - то критерии выбора были бы чуть-чуть, самую капельку, малость - другими. А в режиме "на пообсудить" и "какую машину хочешь? КРАСНУЮ!" сойдет.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (-), 26-Дек-24, 16:16
	> А в режиме "на пообсудить" и "какую машину хочешь? КРАСНУЮ!" сойдет. Гражданин Форд уже пытался доказывать всем, что автомобиль Форд может быть любого цвета, при условии что он черный. И где Форд теперь? Ах, вот прям с тех пор - выше второго места более и не поднимался никогда? При том что конвейер придумал именно он, имея все карты на руках дать остальному глобусу мастеркласс? ООк! Отличный пример! Видите, желающие красных машин - победили тех кто пытался им продавать исключительно черный катафалк.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от User (??), 26-Дек-24, 16:37
	>> А в режиме "на пообсудить" и "какую машину хочешь? КРАСНУЮ!" сойдет. Как можно сделать выводы совершенно космического масштаба на основании городских легенд, а?) Ознакомьтесь, что ли, с историей "модели Т" хотя бы на офсайте форда - узнаете много интересного)))
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (64), 26-Дек-24, 16:45
	> Как можно сделать выводы совершенно космического масштаба на основании городских легенд, а?) > Ознакомьтесь, что ли, с историей "модели Т" хотя бы на офсайте форда > - узнаете много интересного))) Можно ознакомиться с ремейком истории - в более новом формате. Воооон те господа делали ставки на ДВС и гибриды. Особенно япы. И ... чего?! Ах, оказывается, в результате рубка пошла вообще между Tesla, BYD и тому подобными именами которые еще цать лет назад никто и не слышал?! Ну вот так то - спрос игнорить. Рынок штука забавная. А если есть спрос - будет и предложение. С лично моей стороны - есть нехилый спрос чтобы с гитхабом дел не иметь. Так же как я не буду покупать черное авто если хочу - другой цвет.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от User (??), 26-Дек-24, 17:00
	Ну, в общем традиционно-анонимское (разве что ботинок не достаёт) "и не выиграл, а проиграл и не в преферанс, а на бильярде, и не Иванов, а Рабинович и не десять тысяч, а сто рублей - а в остальном Да-да, все верно." В ГЛАВНОМ аноним конечно прав.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от Аноним (-), 26-Дек-24, 18:10
	> Ну, в общем традиционно-анонимское (разве что ботинок не достаёт) "и не выиграл, > а проиграл и не в преферанс, а на бильярде, и не > Иванов, а Рабинович и не десять тысяч, а сто рублей - > а в остальном Да-да, все верно." В ГЛАВНОМ аноним конечно прав. Тем не менее, многие опенсорсные проекты на виду с гитхаба свалили. А как там жабогадюкинг между несколькими корпами будет проходить - только им и интересно. Максимум что так можно получить - очередной курбюратор апача и прочие кодплексы. Куда все это и идет. Да у гуглы есть 30+ страниц репов там. Но у них есть и свои сервисы для себя на случай кидалова, а большей частью этого добра никто кроме гугла и не пользуется. Так что это во многом чисто номинальный ритуал у них.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Анон из села Кукуево (?), 26-Дек-24, 17:52
	Ну у меня на одном из проектов используется gitea Нет, выбор был не "потому что не мс", конечно же Заказчик сказал, что код должен быть наподконтрольных серверах Выбор был между гитлабом и гитеа(гогс не рассматривался и тогда, а дело было лет 5 назад) Гитлаб слишком тяжелый для задач которые стояли, потому были выбраны gitea+drone Все чудесно работает и жрать не просит Так что про "никто и не планировал" это, конечно, глупость Используются, как минимум, форки гогса Конечно же не местными фриками у которых "если написано на языке который создали меньше 30 лет назад, то это плохо", а теми кому реально нужно работать
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	77. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (-), 26-Дек-24, 18:16
	> Гитлаб слишком тяжелый для задач которые стояли, потому были выбраны gitea+drone > Все чудесно работает и жрать не просит Гитлаб ужасная штука, с кучами критикал вулнов. На паре проектов где это вкатили - даунтаймы и прерывания сервиса просто задолбали. Ибо - постоянно _КРИТИЧНЫЕ_ CVEхи затыкать надо, раза по 2-3 за месяц прет.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Анон из села Кукуево (?), 26-Дек-24, 18:44
	Ну вот я и считаю, что выбор gitea+drone был оптимальным Нет запар со всей тяжестью и всеми уязвимостями гитлаба, все просто работает(ну ладно, есть один разраб который ворчит постоянно, что дескать интерфейс не такой, когда зачем-то лезет в веб-интерфейс, но он скорее просто любит ворчать)
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (-), 27-Дек-24, 03:54
	> Ну вот я и считаю, что выбор gitea+drone был оптимальным > Нет запар со всей тяжестью и всеми уязвимостями гитлаба, все просто работает(ну > ладно, есть один разраб который ворчит постоянно, что дескать интерфейс не > такой, когда зачем-то лезет в веб-интерфейс, но он скорее просто любит > ворчать) У gitea-образных интерфейс как раз - такой, калька с гитхаба более-менее, без JS как правило раотает, как минимум показ верхушки репы, и вообще. Т.е. как раз правильно что центрировано - вокруг сорца, а не всякой левой групвари и прочего нафигнужно.
	Ответить | Правка | Наверх | Cообщить модератору

	119. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Анон из села Кукуево (?), 27-Дек-24, 09:37
	Конкретно этот разраб на днях бухтел про управление юзерами и дескать он не понимает то как перевели дефолтные роли в рос.локализации. На что ему было отвечено "ну переключи на английскую" Так-то да, интерфейс изрядно похож, но отдельные мелочи отличаются и у некоторых это вызывает ворчание
	Ответить | Правка | Наверх | Cообщить модератору

	147. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (147), 27-Дек-24, 14:15
	> Конкретно этот разраб на днях бухтел про управление юзерами и дескать он > не понимает то как перевели дефолтные роли в рос.локализации. На что > ему было отвечено "ну переключи на английскую" Ну вот никаких рос локализаций я даже чисто теоретически нигде не видел - так что вот тут я без понятия. Не очень понимаю зачем разработчикам вообще локализация, они ж на инглише программы пишут? Исключение разве что 1Сники какие :) > Так-то да, интерфейс изрядно похож, но отдельные мелочи отличаются и у некоторых > это вызывает ворчание Ну как бы в гитлабе - отличается вообще совсем все, он дико тормозной, может почтенно грузить проц даже если ничерта не делает, открытие оного в вкладке - это сразу минус гиг оперативы. В общем лагучая тормозная хрень. А пока там до сорца докопаешься... ух...
	Ответить | Правка | Наверх | Cообщить модератору

	106. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от User (??), 27-Дек-24, 07:14
	> Ну у меня на одном из проектов используется gitea > Нет, выбор был не "потому что не мс", конечно же > Заказчик сказал, что код должен быть наподконтрольных серверах > Выбор был между гитлабом и гитеа(гогс не рассматривался и тогда, а дело > было лет 5 назад) > Гитлаб слишком тяжелый для задач которые стояли, потому были выбраны gitea+drone > Все чудесно работает и жрать не просит Ну, у меня и не на одном, если что. Когда у заказчике НИЧЕГО нет - проще притащить СКВ в периметр проекта, чем обходиться без неё, а через безопасников в наши опенсорсно-импортозамещенные времена gitea протащить проще, чем gitlab. > Так что про "никто и не планировал" это, конечно, глупость > Используются, как минимум, форки гогса > Конечно же не местными фриками у которых "если написано на языке который > создали меньше 30 лет назад, то это плохо", а теми кому > реально нужно работать Уточняю, "никто из ОБСУЖДАЮЩИХ (В описанном вами стиле) не планировал" - так лучше? )))
	Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

	120. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Анон из села Кукуево (?), 27-Дек-24, 09:42
	> Ну, у меня и не на одном, если что. Когда у заказчике > НИЧЕГО нет - проще притащить СКВ в периметр проекта, чем обходиться > без неё, а через безопасников в наши опенсорсно-импортозамещенные времена gitea протащить > проще, чем gitlab. Странные безопасники. gitlab даже для "импортозамещения" используют, московский городской "аналог гитхаба" на нем делали два года назад(при чем на какой-то альфе свежей к тому моменту, а не на стабильном релизе хотя бы) А про "не на одном" ну у меня на остальных просто спокойно используют gitlab/github, никто не видит проблем, а вот тут заказчик уперся рогом тогда, ну так мне пофиг с чем проект будет работать. > Уточняю, "никто из ОБСУЖДАЮЩИХ (В описанном вами стиле) не планировал" - так > лучше? ))) Да, так лучше :-)
	Ответить | Правка | Наверх | Cообщить модератору

	130. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от User (??), 27-Дек-24, 11:58
	>> Ну, у меня и не на одном, если что. Когда у заказчике >> НИЧЕГО нет - проще притащить СКВ в периметр проекта, чем обходиться >> без неё, а через безопасников в наши опенсорсно-импортозамещенные времена gitea протащить >> проще, чем gitlab. > Странные безопасники. gitlab даже для "импортозамещения" используют, московский городской > "аналог гитхаба" на нем делали два года назад(при чем на какой-то > альфе свежей к тому моменту, а не на стабильном релизе хотя > бы) Ээээ... будут они разбираться, ща. Два запроса в google: "gitlab санкции" и "gitea санкции" - и вот уже победитель очевиден ))). > А про "не на одном" ну у меня на остальных просто спокойно > используют gitlab/github, никто не видит проблем, а вот тут заказчик уперся > рогом тогда, ну так мне пофиг с чем проект будет работать. Ну, у меня промавтоматизация и КИИ во все поля - так что практически без вариантов. Или у заказчика есть свое self-hosted или ну... вот...
	Ответить | Правка | Наверх | Cообщить модератору

	131. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Анон из села Кукуево (?), 27-Дек-24, 12:34
	> Ээээ... будут они разбираться, ща. Да вот как раз, если вдруг прям хочется именно гитлаб, то в пример собянинский «аналог гитхаба» тыкаешь и говоришь «Вы что против решений людей которым доверяет САМ Собянин?» Но и правда я не могу придумать причин которые бы заставили протаскивать именно гитлаб. Вообще у меня был опыт селф-хостед гитлаба, годах так в 2014-2016 и он у меня в принципе очень плохие воспоминания оставил, настолько, что если бы не было gitea и других, то я бы скорее сказал «Давайте будем без вебни, привыкнете» > Ну, у меня промавтоматизация и КИИ во все поля - так что практически без вариантов. Не, ну есть же селф-хостед Github Enterprise :-D Сурово, что твой трындец и нафиг не нужно, но есть В целом понимаю Я вообще будучи старой школы считаю, что все что можно селф-хостед без ущерба для функциональности и без добавления лишней работы, то нужно делать селф-хостед
	Ответить | Правка | Наверх | Cообщить модератору

	138. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 27-Дек-24, 13:02
	> Но и правда я не могу придумать причин которые бы заставили протаскивать именно гитлаб. ci/ct, code review - не, не слышал. Уровень местного эксперта вполне отражен в его нике. > Давайте будем без вебни, привыкнете да, code review будем в виде распечатки со стола на стол перебрасывать и ручкой в нем чиркать. Дай угадаю - ты к разработке имел и имеешь ровно нулевое отношение. Даже к подвальной, потому что даже там обычно более одного раба.
	Ответить | Правка | Наверх | Cообщить модератору

	145. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от User (??), 27-Дек-24, 13:24
	>> Но и правда я не могу придумать причин которые бы заставили протаскивать именно гитлаб. > ci/ct, code review - не, не слышал. Ну, касательно ci\cd - не все так однозначно :). Кто-то вот и с gitlab'ом jenkins использует, кто - какой-нибудь drone к gitea прикручивает, год назад вот нативный gitea actions завезли. Если тебе (Как мне обычно) голый CD для кубика нужен - то и вовсе...
	Ответить | Правка | Наверх | Cообщить модератору

	152. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 27-Дек-24, 14:33
	>>> Но и правда я не могу придумать причин которые бы заставили протаскивать именно гитлаб. > Ну, касательно ci\cd - не все так однозначно :). Кто-то вот и см выше - на что я отвечал. Да, кто-то еще может использовать миллион 3d-party костылей, там, тут и вот тут. Может даже и по делу, и результат с меньшими усилиями (но скорее все же - "работает-не-трогай", при том что уже и работает-то с ... нюансами) Но не понимать причин, по которым люди просто ставят гитлаб и не возятся со всем этим полудохлым уже зоопарком, может только человек, не имевший и не имеющий к разработке софта ни малейшего отношения. Ну или подвальный, мастер-самоучка без мотора, с гитом в командной строке, конечно. (т.е. те же лыжи)
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от Аноним (-), 26-Дек-24, 15:50
	> Что меня не перестает удивлять, так это то, насколько посетителям сего ресурса ПОФИГ > на то, что продукт\технология\система на самом деле _делает_. Кроме того ЧТО программа делает еще важно КАК. Есть например apt и есть например dnf. Послежний постоянно тормозит, редгадам аж пришлось вбить суперкостыль: вместо своих "концептуальных" XML которые со временем стали огромными, выгружать pre-parsed SQLite базы, и заодно - жрет в РАЗЫ больше оперативы. Что нагибает микро-виртуалки, VPSки и проч. > Гуй к пакетному менеджеру на QT (да еще без QML!) - ваааау! Круууууто! А что > "круто" на фоне паршивого synaptic'а? То, что не ЭЛЕКТРОН! Синаптик порой очень подбешивал вот именно технологическими косяками. В какой-то момент концептуалам приспичило сделать depends от zenity, чтоли. Так круто сделано - что тащило АЖ гномовский вебкит, или как там его. И двигло гномжыэса! Итого - почти сотня мегов лишних даунлоадов. На ровном месте. Постоянно обновляемых - ибо вулны. И чтобы пару раз в год меня спросить в диаложке Yes/No - оно мне двигло браузера и жыэса истошно перекачивало пару раз в месяц, патча вулны. Чем за#$%ло, скажем прямо. В какой-то момент до господ это таки - дошло, но - very Gnomeish, very GTKish. Там и более тупые баги есть. В т.ч. проистекающие из заскоков GTK. Так что как пользователь дебиана я б хотел чтоб та штука на Qt - ворочала бы и deb. И да, по именно фичам - synaptic так то совсем неплох. Но вот GTK это его весьма ощутимый минус. А из-за метаний гномеров врядли те баги кто-то починит. Или влепят при починке 1 новых пять. Это то что девы апликух получают при метаниях тулкита.
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	50. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от Аноним (-), 26-Дек-24, 16:00
	>> ну гитхаб и вправду дрянь хотя бы потому что это мелкософт > Что не так с гитхабом? Так майкрософт же ж! А вот gogs > - КРУУУУУТО!!! Что "круто"-то? Да то, что не microsoft!!! Вот лично я любил гитхаб - за удобный, неинтрузивный UI. Центрирован вокруг сорца, работал даже без JS. Простой, легкий, все по делу. Пришел майкрософт и... 1) Донвевсил высококонцептуальных капч. 2) Вы сменили браузер, докажите что не верблюд?! 3) И номерок телефона тоже - гоните, дааа? 4) А вот вы тут 2FA решили вам напихать добровольно-принудительно. 5) "unobtrusive ui" - UI стал жестоко грузить проц за просто факт открытия репы. Кто его знает что они там "улучшили". 6) Без жыэса более не работает. Вроде частично отыграли назад - но добавили глюков. В общем - майкрософт в своем репертуаре, все что они прибирают к рукам подыхает и превращается в г@#но. Не, я в принципе не буду юзать сервис который пытается делать мне, ихвините, гопстоп - и все ломает.
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	55. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от нах. (?), 26-Дек-24, 16:14
	> Пришел майкрософт и... поломанный (с js! но недостаточно правильным js!) palemoon случился за ДВА ГОДА до прихода "проклятой microsoft" продолжай фантазировать, безголовый фанатик. > В общем - майкрософт в своем репертуаре, все что они прибирают к рукам подыхает количество реп (в том числе корпоративных) перенесенных уже после покупки - как бы намекает на немного странное "подыхание" Но ты в принципе не будешь пользоваться сервисом который тебе нафиг не нужен, потому что ты не умеешь в групповую и тем более открытую разработку (что твой хеловрот и не нужен никому - это вторично, там полно ненужных с сотнями чьих-то issues и даже патчей).
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (-), 26-Дек-24, 16:30
	>> Пришел майкрософт и... > поломанный (с js! но недостаточно правильным js!) palemoon случился за ДВА ГОДА > до прихода "проклятой microsoft" Я не знаю о чем это. Работать без JS морда гитхаба перестала ПОСЛЕ покупки майками, когда они стали содержимое "landing" паги репы XHR-ом таскать. А без этого лысая пустая болванка только была. Бонусом - видимо бэк у них не выдержал динамическую генерацию на ВОТ ЭТО ВСЕ - и оно стало постоянно блевать единорогами. Надо же какая неожиданность, если бэк дергать чтобы лэндинг васянской репы с домашкой показат, на каждого студака который туда забрел - ему и правда вскоре поплохеет. Почему-то. Одно дело - в статику закешировать эту домашку и она там целый год меняться не будет, и другое - постоянно бэк со всей механикой раскочегаривать. Видимо, нанятым по объявлению индусам это не рассказали. > продолжай фантазировать, безголовый фанатик. Как самокритично вышло! Снимаю шляпу. > количество реп (в том числе корпоративных) перенесенных уже после покупки - как > бы намекает на немного странное "подыхание" У них получится отличный инкубатор апача, в который комитят только наймиты, "потому что манагер приказал". Правда нахрен такой опенсорс надо - я не понимаю. Ибо бенефитов с него - ровно ноль. > нужен, потому что ты не умеешь в групповую и тем более > открытую разработку (что твой хеловрот и не нужен никому - Ух, да, навернув за вчера 10 комитов в 3 разные проекта - я почувствовал свою ненужность на все сто. Посмотрим что такие как ты "опенсорсники" смогут. Пока, вот, смогли - зав@нять себя до рекламирования виндочки. Не, такой опенсорс как у тебя даром не упал если это все в результате работает - вот так. Так что слушать вот именно тебя в таких вопросах - ну вот не. Глядя на твою участь.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от нах. (?), 26-Дек-24, 17:17
	то что ты вообще что-то там видел на морде - не означает ни разу что оно - работало. Ни посмотреть логи, ни даже выбрать ветку без js было нельзя уже давным-давно. Ну а история с паленой луной зафиксирована в первоисточнике и не нуждается в уточнениях (в смысле опоздавшие родиться и изучающие историю гитхаба по викивракии идут лесом). Причем откатили вредное изменение только после демонстрации что в списке _поддерживаемых_ официально браузеров все еще есть - IE. И в нем, разумеется, тоже не работало. (Тут, правда, мс пришел, порядок навел.) > У них получится отличный инкубатор апача, в который комитят только наймиты, "потому что > манагер приказал". (просто смотрим в список пакетов в любой системе. Там обычно есть первоисточник. Пожимаем плечами...) > Ух, да, навернув за вчера 10 комитов в 3 разные проекта три хеловрота тебя и твоих воображаемых друзей. Извини, после предыдущего перла - очевидно что и это - именно так и есть. Маня-мирок ты построил очень успешно. И более ничего.
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (-), 27-Дек-24, 04:05
	> то что ты вообще что-то там видел на морде - не означает > ни разу что оно - работало. Оглавление проекта - показывало, достаточно чтобы понять надо оно мне или нет. Ибо 95% - мусор. Но даже там можно нарыть жемчужину. > Ни посмотреть логи, ни даже выбрать ветку без js было нельзя уже давным-давно. Если мне проект нужен, я таки git clone делаю. Ты же не думал что я буду в тормозной веб штукенции ковырять логи заместо "git log"? > Ну а история с паленой луной зафиксирована в первоисточнике и не нуждается в уточнениях Я не багтрекер паленой луны и не имею к этому всему никакого отношения. Что ты ко мне с этим всем пристал, и что за идея фикс на этот раз? Моя претензия ортогональна паленым лунам и вообще. > (просто смотрим в список пакетов в любой системе. Там обычно есть первоисточник. > Пожимаем плечами...) А таки - из того что на виду довольно часто стало попадаться "...readonly mirror, dont post pull requests, blah-doh" :) > три хеловрота тебя и твоих воображаемых друзей. По себе других не судят. > Извини, после предыдущего перла - очевидно что и это - именно так и есть. > Маня-мирок ты построил очень успешно. И более ничего. Мы все создаем вокруг себя те или иные пузыри. И предпочитаем жить в том окружении которое нам нравится. А суммарный эффект от этого - и создает будущее. И со своей стороны я сделаю все, чтобы интересные мне проекты - гитхабом не пользовались. Ну или не получат моих комитов и проч. Большая ли это потеря? А не мои проблемы. На этом глобусе больше проектов и работ чем я могу своротить. Поэтому я разборчив кому и почему я вообще работы выполняю. Такой вот я нехороший. И если кто думает что сможет меня заставить грызть кактус - пусть попробует. Это даже за деньги не получится, ибо работ - много. А бесплатно и вообще без шансов.
	Ответить | Правка | Наверх | Cообщить модератору

	107. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от User (??), 27-Дек-24, 07:23
	Воу. Прям про что анонима не спроси - чудеса широт и глубины высот открываются. Заходит речь о продуктовой разработке и управлении проектами? Мнение вот оно, а по факту выясняется, что не то, что "не работал" - а и "не видел, как работают" даже. Идет речь об убунте? Вот вам перепевы в исполнении Рэбе Новича - но сам икспердт её оказывается лет 15 не трогал. Github? Воу. Тоже дальше оглавления не заходил, выясняется - иначе б про "номер телефона" не рассказывал. Для оценки-качества-OSS-проекта ГУРУ оглавления достаточно. Оценить качество "шапочки из фольги-и-двух-контрацептивов-для-защиты-от-ВНЕЗАПНОЙ-интрузии" - "без-жыес-телефона-регистрации-смс-и-сысыель-зато-в-виртуалке-тысячи-их!" не могу, бо не компетентен - но подозреваю уже, что и там лажа...
	Ответить | Правка | Наверх | Cообщить модератору

	151. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (-), 27-Дек-24, 14:32
	> Воу. Прям про что анонима не спроси - чудеса широт и глубины > высот открываются. > Заходит речь о продуктовой разработке и управлении проектами? Мнение вот оно, а > по факту выясняется, что не то, что "не работал" - а > и "не видел, как работают" даже. Не, ребят, это вы свое ЧСВ строить не умеете. И считаете себя - пупами земли. А реально - третьесортные корпоративные наймиты. У вас поди даже СВОИХ проектов - ноль. И вы это все рассказываете тому кто отпахал в намного более крутых мегакорпах чем вам обоим снилось, туда не берут унылых типов типа вас и похов, вас там еще HR отсеет, не то что тима (там лиды очень разборчивы кого и почему хотят в тиму). Только вот то что я там отпахал - не обязывает меня считать это - top notch. Все познается в сравнении, как это делать правильно мне вообще - господа из майнлайна линуха мастеркласс дали. И на этом фоне корпы были лишь бледной пародией на то чем это реально может быть. > Идет речь об убунте? Вот вам перепевы в исполнении Рэбе Новича - > но сам икспердт её оказывается лет 15 не трогал. Я ее таки немного трогаю до сих пор - но именно немного, а как именно мой десктоп оно уже таки да, этак версии 3 дебиана как не оно уже. Ибо задолбало. Но сапопикал это сапопикал, характерные тупняки никуда не денутся. > Github? Воу. Тоже дальше оглавления не заходил, выясняется - иначе б про > "номер телефона" не рассказывал. Для оценки-качества-OSS-проекта ГУРУ оглавления достаточно. У меня там были аккаунты. И я там комитил. Просто в какой-то момент меня рэкет "вы сменили браузер" в паре с непотребной капчей достал, и все пришло к тому что я вообще забыл кренделя на вход. А восстановить через их суперкапчу вообще не получилось - ну я и забил. Кому надо - я комитов и без этой супершляпы накидаю. Да и вообще - проектов много, а я один. Приходится приоретизировать кому и почему я что-то фигачу. И если все только через гитзаб - ну значит суперпрожекту кто-то другой комиты насыпает. > бо не компетентен - но подозреваю уже, что и там лажа... Надо же - он хоть где-то это признал. Хотя реально - по всей площади. А так я по вам вижу что вы как максимум представиьтель околосовковой шараги какой-нибудь. Имеющей мало общего с нормальными мегакорпами, которые я в отличие от вас - таки видел, и именно поэтому я и знаю что вы - не оттуда. Печальный отработанный материалец туда - вообще не берут.
	Ответить | Правка | Наверх | Cообщить модератору

	110. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от нах. (?), 27-Дек-24, 07:58
	> Оглавление проекта - показывало уровень владения темой - эксперт (известно, откуда). Оглавление... (я даже не буду спрашивать, какие еще в гите оглавления могут быть и каким надо быть "продвинутым" пользователем чтоб такое ляпнуть) Оглавления он ходил смотреть в репо проектов! зачем вот ты себя так старательно зака..шь? Еще пару лет назад я считал тебя малоадекватным но все же квалифицированным хотя бы в узких областях фриком. Но ты так старательно доказал делом, что ничего не смыслишь ровно ни в какой технической области вообще... > А таки - из того что на виду довольно часто стало попадаться во-первых из предложенного источника - скорее всего вообще ноль попадется, кроме ведра, где очень особый случай. Во-вторых это происходит потому что слона едят по частям, и люди, в муках и с мясом вырвающие куски своей инфраструктурки чтобы хоть как-то успевать за техдолгами, не могут взять вот так и перенести вообще все и целиком безвозвратно (пехепе не будем, это совсем дрянной пример - во-первых уже нечего было терять, во-вторых, там было аж три уцелевших разработчика, и то один уже давно ни на каком инструменте не играет, я про тех у кого эта своя инфра сложная, на многочисленную команду, и еще работала) Но через некоторое время умные из них (понятно не все) обнаруживают что нет, никто не читает их ридми до строчки где написано что ваши ценные проблемы и тем более патчи подсовывать под дверь в даунтауне, третья подворотня после помойки с крысами направо, прихватите фонарь чтоб мы могли сверить ваш паспорт с личностью. А вот кнопку форк отключить никак не получается, и коллекции патчей начали жить отдельно от поделки. Десять лет назад я потратил пятнадцать минут на заведение левого мэйла чтобы сообщить таки о не совсем (совсем вообще-то не) безобидной проблеме в nginx, положенным образом через положенную вебборду, сейчас я просто пожму плечами и пройду мимо подобного проекта - не хотят простых способов для общения - значит вообще не нужно оно им.
	Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

	134. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (136), 27-Дек-24, 12:47
	> не хотят простых способов для общения - значит вообще не нужно оно им. Тут проблема возникает, что у популярных проектов этих сообщений слишком много. Их разгребать некому. И как понять какое по делу, а какое написано для резюме. Последних, как минимум, на два порядка больше. И как раз те кто для резюме на сторонние сайты не идут. Ибо тогда в резюме не на что ссылаться будет.
	Ответить | Правка | Наверх | Cообщить модератору

	153. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 27-Дек-24, 14:38
	> раз те кто для резюме на сторонние сайты не идут. Ибо > тогда в резюме не на что ссылаться будет. пишешь тот же мэйл что в резюме, и идешь себе спокойненько - и ссылаешься. Если что дельное наприсылал да еще и приняли к сведению. А на незакрытые по причине бесконечного количества и полной бессмысленности issues в резюме ссылаться как-то по-моему довольно бесполезно. При этом разгребать их в шитхабе пожалуй все же попроще чем в порежьтепомельчеперепошлите.
	Ответить | Правка | Наверх | Cообщить модератору

	155. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (-), 27-Дек-24, 15:01
	> уровень владения темой - эксперт (известно, откуда). Оглавление... (я даже не буду > спрашивать, какие еще в гите оглавления могут быть и каким надо > быть "продвинутым" пользователем чтоб такое ляпнуть) Оглавления он ходил смотреть в > репо проектов! Да, представляешь, первым делом я смотрю - описание проекта, на чем написан, билдсистему, если стало интересно - ридми, наконец. Какая неожиданность. И это все как раз - в дефолтовом view показывающем сорец. Нужда там врубать в вебфаере JS для этой пакости и ждать пока бэк с XHR раздуплиться для меня был очень серьезный регресс юзабалити. Да, это - начальная быстрая классификация. Если мне не нраяится яп или билдсистема проекта - остальное при этом вообще не важно, я ухожу искать другой и забываю об этом навсегда. Ну а кто сорец с гита качает чтоб его не билдануть потом, а может и не пропатчить? Ну для меня это и критерий. Майкрософт сий кейс здоровр нагнул. > областях фриком. Но ты так старательно доказал делом, что ничего не > смыслишь ровно ни в какой технической области вообще... Зато можно я поделюсь наблюдением? Ты наконец нашел себе отличное сообщество в лице User. Это именно то сообщество которое ты заслужваешь. Господа, вы нашли друг друга! Серьезно. Вы такие одинаковые в своем бытие мерзкими слизнями на корпоративных ботинках, с чсв как у почти бога :) > во-первых из предложенного источника - скорее всего вообще ноль попадется, кроме ведра, > где очень особый случай. Как угодно но я уже видел эн инстансов {гитлаб, forgejo, gitea}. Не, гогса не видел, только всякие штуки гда написано что мол - форк, но не оно. Да и gitea форкануть норовят. Реально - сейчас это forgejo как раз весьма мощно распостраняется. Видимо корпоратское иго довольно много кого задолбало. Вы ж понимаете что нормальные люди инструменты пользуют - для упрощения работ и повышения эффективности, а не для того чтобы кто-то постоянно что-то прищемлял тисками, а? Вот в этом смысле - гитлаб как софт с неких пор стал очень назойлив. Скажем у них случилась какая-то обсессия по токенам и они что-то там навертели, сломав куче проектов CI и много чего еще во имя луны. Да, и кстати откуда б я это все узнал? :). И на примере вот такого софта - народ уже не особо рвется юзать что-нибудь еще corp-controlled 1 корпой внаглую - во избежание таких вот "подарков". Неудобно, пнимаете ли, если тут вот пачка экстренных CVE а после их фикса CI разваливается. Это то что корп за гитлабом смог из себя реально изобразить :\ и в этом месте есть нехилый спрос на что-то лучше чем ЭТО! Вон то forgejo по моему уже даже федора в оборот взяла или собирается. А с гитлабом они дел иметь они не хотят - и правильно делают, как по мне. > Во-вторых это происходит потому что слона едят по частям, и люди, в > муках и с мясом вырвающие куски своей инфраструктурки чтобы хоть как-то > успевать за техдолгами, не могут взять вот так и перенести вообще > все и целиком безвозвратно Это проблемы некоторых штучных мастодонтов с замшелым легаси. А те кто более-менее на ты с гитом - обычно не испытывают проблем резко метнуться вон туда. Ибо основа их воркфлоу это гит. А это так, красивости и улушчения поверх. А вовсе и не центр вселенной. Покусанные свином это так и не поняли. > не играет, я про тех у кого эта своя инфра сложная, > на многочисленную команду, и еще работала) Сложная инфра что угодно может подразумевать. Ну там MS TFS какой-нибудь вообще. Только вот примером как надо делать этот ужастик считать уж точно не стоит. Приметом жуткого легаси и как НЕ надо проекты делать - ну окей, может быть. Это то что майкрософт вообще мог вот именно - сам по себе. > ваши ценные проблемы и тем более патчи подсовывать под дверь в даунтауне Если кто даже ридми прочитать не может - патчи от него брать и тем более не стоит. Зачем нужны патчи от совсем б@бyинов? Чтоб сломать проект? Чинить его за такими - это очень сильно отдельный квест. > отключить никак не получается, и коллекции патчей начали жить отдельно от поделки. Если кто не могет патчи вовремя ворочать - они однажды на форк нарвутся, если это что-то нужное. Но его сделают уж точно не те кто даже ридми прочесть не смог, куда этим такое? Если они даже и нажмут кнопочку форк - они свой форк завоняют со скоростью света. > nginx, положенным образом через положенную вебборду, сейчас я просто пожму плечами > и пройду мимо подобного проекта - не хотят простых способов для > общения - значит вообще не нужно оно им. Для меня гитхаб не является "простым способом общения" и более того - является наглым, интрузивным сервисом. Меня вообще ревьюером звали в пару проектов (если у тебя есть мозг, это должно навести на мысли, не?). Я объяснил что пока у них гитхаб - это не опция для обсужления. У меня и так высокий load avg, и отношаться с мерзким майкрософтовским сервисом - в мое время - чисто за интерес - ну - вот - нет. Да и за деньги тоже не буду. Я не портовая мадам чтобы расклячиваться под всякую мерзость. А вы там с User на двоих - нашли друг друга, у вас просто единение душ :). Ну а мне опенсорс нужен вовсе не для того чтобы целовать чьи-то ботинки.
	Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

	89. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от InuYasha (??), 26-Дек-24, 22:28
	А что у тебя так подгорело-то? Купил акций Микрософта? Анон всё по делу сказал же. Про слом UI и поддержку браузеров я могу часами рассказывать. Превратили ГХ в ад. Странно что никто (кроме this) не видел что к тому шло.
	Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

	111. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 27-Дек-24, 08:03
	> Про слом UI и поддержку браузеров я могу часами рассказывать. у тебя часы давно стоят (а у того деревенского сумасшедшнго вообще песочные, и песка нет). Я привел пример, который легко проверить, если хотя бы интернетом пользоваться не разучился, потому что там есть даты. Про слом уя и поддержку (нет) браузеров отличных от единственноверного за два года до продажи. Ты тоже на шитхап заходишь посмотреть "оглавления", хотелось бы уточнить? А то если бы ты пользовался им для работы - ты бы ничего уже не мог рассказать кроме как раз историй семилетней давности. Угадаешь, почему?
	Ответить | Правка | Наверх | Cообщить модератору

	135. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (136), 27-Дек-24, 12:50
	> Ты тоже на шитхап заходишь посмотреть "оглавления", хотелось бы уточнить? > А то если бы ты пользовался им для работы - ты бы ничего уже не мог рассказать кроме как раз историй семилетней давности. Угадаешь, почему? Дай я угадаю. Он от туда свалил, а работа на него не завязана
	Ответить | Правка | Наверх | Cообщить модератору

	141. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 27-Дек-24, 13:06
	но ценное мнение безусловно имеет. Как и ты. Я тебе уже предложил пробежать по списку пакетов в твоем же дистрибутиве и выбрать оттуда первоисточники. А потом посмотреть сколько их осталось вне гитхапа и удивиться. Собственно, это еще и уровень вашего участия в шва6одном (ass in free beer или как там оно) софте вашего же повседневного использования. При этом не забывая гордиться, что шва60дный.
	Ответить | Правка | Наверх | Cообщить модератору

	148. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (136), 27-Дек-24, 14:18
	Так потому и ценное, что свалил. Тех кто плачет, но кактус ест - слушать то зачем? А тех кто простое есть - тем более. Ну и насчет пакетов. Вопрос не ко мне, но где оно лежит? Вот пример описание пакета: https://packages.debian.org/stable/database/basex Так где его исходники?
	Ответить | Правка | Наверх | Cообщить модератору

	149. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 27-Дек-24, 14:24
	надо же - дебианом он пользоваться тоже не умеет, и ищет исходники в вебе. (кто бы мог заранее предположить... не, я не думал, что даже настолько все плохо... )
	Ответить | Правка | Наверх | Cообщить модератору

	154. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (136), 27-Дек-24, 14:49
	Так ты покажешь? Или нет?
	Ответить | Правка | Наверх | Cообщить модератору

	156. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 27-Дек-24, 15:17
	man dpkg-query тебе показать, или вот - что? (забавно что этот же недоучка всерьез нам тут заливал про метафизические отличия dnf от apt - по факту не пользуясь никогда в жизни ни тем, ни другим. Флэшки небось dd копирует, даже не чешась поменять uuid - зачем, ворота ведь в одном экземпляре, второй л-х заказчик будет хорошо если через лет пять) ок, показываю: dpkg-query -f '${Homepage}\n' -W И смотрим - сколько там вообще сразу ведет куда-то на гитшмяк и гитляп, сколько осилили целую одностраничку со ссылкой "скачать" туда же ровно, а сколько там суперуникумов с fuckgeo или как там его (дай угадать - ноль) А была бы у тебя нормальная операционка а не этот недоделок давно покойного плохого инженера - ты бы мог бы у rpm прямо сразу спросить ссылки откуда оно вообще конкретный архив с исходниками взяло (для apt-cache мне такой фокус неизвестен)
	Ответить | Правка | Наверх | Cообщить модератору

	157. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (-), 27-Дек-24, 15:27
	> Так ты покажешь? Или нет? Да он тоже эксперт мирового класса. По чесу ЧСВ, козырянию экспертизой в Linux 2010 года максимум, и плачем по какому-то EXT2, чтоли, который нам не дадут (какая трагедия!) с "супер"-технологиями, перед которыми все якобы-должны падать ниц. В общем коннозаводчик с секретной породой рысаков, обнаруживший что какой-то м...к на букву Ф уже придумал конвейер, так что его табуны рысаков теперь - куда?!
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+2 +/–
	Сообщение от Анон из села Кукуево (?), 26-Дек-24, 18:46
	> 3) И номерок телефона тоже - гоните, дааа? Может хватит постоянно повторять это вранье? github ввел обязательную двухфакторку и для нее используется TOTP или хардварный ключ, никаких телефонов он никогда не спрашивал. Про телефон это вранье тупых клоунов которые не знают реальности, вранье повторяемое этими клоунами везде, а когда их тыкаешь рылом они начинают кудахтать и кукарекать
	Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

	101. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от Аноним (-), 27-Дек-24, 04:09
	>> 3) И номерок телефона тоже - гоните, дааа? > Может хватит постоянно повторять это вранье? Мыльник подтвердить - вымогали. А в энных случаях - и телефон вроде уже таки - могут затребовать. > github ввел обязательную двухфакторку и для нее используется TOTP или хардварный ключ, Вот пусть индусы майкрософта и авторизуются на этой лабуде со своим TOTP, хардварными ключами, и еще кан-кан на камеру станцуют для биометрической авторизации. А мне сервис пытающийся внаглую навязывать требования - просто не требуется, спасибо. Git прекрасен тем что он - распределенный. И я этим умею пользоваться.
	Ответить | Правка | Наверх | Cообщить модератору

	118. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от Анон из села Кукуево (?), 27-Дек-24, 09:35
	> А в энных случаях - и телефон вроде уже таки - могут затребовать. Нет. Никогда телефон github не требует. Предлагает как один из 5 вариантов, но никогда не требует > Вот пусть индусы майкрософта и авторизуются на этой лабуде со своим TOTP, хардварными ключами, и еще кан-кан на камеру станцуют для биометрической авторизации. И опять ты выдумываешь камеры и прочую чушь. Это - твои выдумки и только А TOTP имеет RFC, имеет реализации на чем угодно, вплоть до голого bash и является нормальным 2fa. Ты же ничего не умеешь, только повторять приседания которые заучил 25 лет назад. Не способен использовать что-то новое и еще этим гордишься, как безумный дед заявлявший, что не пользуется компьютером потому что "интернет придумали в ЦРУ, что бы уничтожить россию и так он и развивается"
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от chdlb (?), 26-Дек-24, 19:40
	>> ну гитхаб и вправду дрянь хотя бы потому что это мелкософт >> но в целом срач на гитлаб выглядит смешно после таких провалов ))) > Что меня не перестает удивлять, так это то, насколько посетителям сего ресурса > ПОФИГ на то, что продукт\технология\система на самом деле _делает_. Гуй к > пакетному менеджеру на QT (да еще без QML!) - ваааау! Круууууто! > А что "круто" на фоне паршивого synaptic'а? То, что не ЭЛЕКТРОН! > Ъ. > Что не так с гитхабом? Так майкрософт же ж! А вот gogs > - КРУУУУУТО!!! Что "круто"-то? Да то, что не microsoft!!! > 2Ъ. погоди ты сравниваешь два сорта дерьма, а я то тут причем?
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	108. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от User (??), 27-Дек-24, 07:29
	>[оверквотинг удален] >>> но в целом срач на гитлаб выглядит смешно после таких провалов ))) >> Что меня не перестает удивлять, так это то, насколько посетителям сего ресурса >> ПОФИГ на то, что продукт\технология\система на самом деле _делает_. Гуй к >> пакетному менеджеру на QT (да еще без QML!) - ваааау! Круууууто! >> А что "круто" на фоне паршивого synaptic'а? То, что не ЭЛЕКТРОН! >> Ъ. >> Что не так с гитхабом? Так майкрософт же ж! А вот gogs >> - КРУУУУУТО!!! Что "круто"-то? Да то, что не microsoft!!! >> 2Ъ. > погоди ты сравниваешь два сорта дерьма, а я то тут причем? Ну походи по базару, поищи что лучше - впрочем, все равно ж не пойдешь, оно тебе не надь, ты ж "нипричём"...
	Ответить | Правка | Наверх | Cообщить модератору

	150. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (136), 27-Дек-24, 14:26
	> Ну походи по базару, поищи что лучше Вот с этого и надо было начинать: "Да - куча известных проблем". "Да - у всего, чего касается копрорация туманное будущее". "Но жить - то, как - то надо". "А живем мы сейчас, а не в будущем". Ну и так далее.
	Ответить | Правка | Наверх | Cообщить модератору

	97. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от 12yoexpert (ok), 27-Дек-24, 00:57
	> ну гитхаб и вправду дрянь хотя бы потому что это мелкософт гитлаб это тоже майкрософт. официально нет, но львиная доля серверов арендуется у мс, т.е. платишь ты по итогу им то чувство, когда хомячкам дали выбор: оставаться на мс или валить на мс, а они повелись без задней мысли
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

43. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
Сообщение от Аноним (-), 26-Дек-24, 15:23
> Судя по предварительной проверке, уязвимости не затрагивают платформы Forgejo и Gitea Тот неловкий момент когда community driven копии - лучше corp-controlled оригинала ушедшего в коммерцию...
Ответить | Правка | Наверх | Cообщить модератору

	47. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от Аноним (46), 26-Дек-24, 15:49
	В том то и дело что форки это никакое не комьюнити за ними и стоят корпы.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–3 +/–
	Сообщение от Аноним (-), 26-Дек-24, 16:09
	> В том то и дело что форки это никакое не комьюнити за ними и стоят корпы. Вот конкретно gogs ударился в коммерцию, в нездоровых величинах - и наломал в процессе дров с левыми рестрикциями и неудобствами для ALL. Наглый неудобный апстрим с кучей заскоков и ограничений - никому не надо. Особенно в опенсорце. И горе тому кто забудет этот простой факт.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 26-Дек-24, 16:16
	> В том то и дело что форки это никакое не комьюнити за > ними и стоят корпы. один форк. (второй - бред городского сумасшедшего, используемый им одним и еще вроде бы каким-то немецким грантопильным подрывным проектом - но возможно те все еще не смогли его установить... да не больно им и надо) Причем весьма назойливо подсовывающий платную подписку. А что в нем нет увизгвимостей - это потому что копаться особо и некому было.
	Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

	61. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–2 +/–
	Сообщение от Аноним (-), 26-Дек-24, 16:35
	> один форк. (второй - бред городского сумасшедшего, используемый им одним и еще > вроде бы каким-то немецким грантопильным подрывным проектом - но возможно те > все еще не смогли его установить... да не больно им и надо) Gogs в чистом виде - никто вроде уже и не использует на виду. Засчет скотской политики проекта. Опенсорс используют вовсе не для залета на выкрутку рук в стиле гопстопа, и если у разработчиков gogs нет common sense - тем жуже для них.
	Ответить | Правка | Наверх | Cообщить модератору

	71. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 26-Дек-24, 17:24
	> Gogs в чистом виде - никто вроде уже и не использует на угу, компания-то уже разорилась (нет) "на виду" уже практически все, кроме совсем уж альтернативно одаренных, используют гитляп и шитхап. Практика php наглядно показала почему по-другому с современными разработчиками не получается. А внутри может быть и gogs, и что угодно - но тебе об этом не сообщают, чтоб не травмировать зря.
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (-), 26-Дек-24, 19:05
	>> Gogs в чистом виде - никто вроде уже и не использует на > угу, компания-то уже разорилась (нет) Да какое мне дело до какой-то компании? Я смотрю какая приблуда указана у тех или иных проектов - ну и вот там именно gogs - где? А то что полтора замшелых корпоративных мастодонта не дают помереть этой штуке - окей, круто, только это никто кроме них не видит. И если завтра эта компания помрет, вместе с мастодонтами - кто > "на виду" уже практически все, кроме совсем уж альтернативно одаренных, используют > , гитляп и шитхап. Гитхляп в режиме gitlab.com - стал мало чем лучше, ибо ничуть не менее наглый и назойливый. А в качестве self hosted он народ уже утомил пачками критичных CVE, требующих неиллюзорного экстренного майнтенанса этой шляпы. > А внутри может быть и gogs, и что угодно - но тебе > об этом не сообщают, чтоб не травмировать зря. Как угодно но forgejo и тому подобные вещи как раз - и сообщают, и я в курсе что это именно оно, и используется - как раз уже довольно много где. Как менее бастардизированый варант, ога. На это есть некий спрос - будет и предложение. И денег насыпят, если надо.
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от Аноним (85), 26-Дек-24, 19:56
	Вариантов то нет. Может ещё голый .git через торренты передавать?
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+1 +/–
	Сообщение от нах. (?), 26-Дек-24, 20:09
	ну он тут примерно таким и хвастался. Что вполне достаточно говорит о полной никому не нужности его прожектов. Какие-то полтора дремучих фрика (каждый с пяти разных виртуалов) без конца доделывают свой хеловрот из десятка строчек. Гитхабом он, разумеется, никогда не пользовался, потому что для этого надо как-то пересекаться с неальтернативной реальностью, поэтому и бредни о якобы золотых временах без js и каких-то телефонах. Чувака просто надо игнорировать. Все что он несет - безнадежная чушь.
	Ответить | Правка | Наверх | Cообщить модератору

	103. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от Аноним (-), 27-Дек-24, 04:25
	> ну он тут примерно таким и хвастался. > Что вполне достаточно говорит о полной никому не нужности его прожектов. Какие-то > полтора дремучих фрика (каждый с пяти разных виртуалов) без конца доделывают > свой хеловрот из десятка строчек. По вот именно этой технологии - забавные такие хеловроты делаются. А таки - при желании гитом можно и - вот - совсем без веба ворочать. > Гитхабом он, разумеется, никогда не пользовался, И опять этот эксперт не угадал. Не, все было проще. Меня гитхаб постепенно достал и стал выпадать из использования. Наступил момент когда я просто забыл на него кренделя, и при попытке ресетнуть пасс - обнаружил что рюхнуть капчу стало почти mission impossible. Ну я на это и забил окончательно. Как оказалось - не зря забил: вскоре подогнали JS во все поля, жуткий жор проца за сам факт открытия гитхаба, и прочие 2FA и прочую "благодать" про которую я имею сказать "хорошо что все это - не у меня". Зачем мне такой сервис - фиг знает. > потому что для этого надо как-то пересекаться с неальтернативной реальностью, > поэтому и бредни о якобы золотых временах без js и каких-то телефонах. Мне кажется что у вот именно тебя - вообще нет вот лично твоих проектов. И комитишь ты только куда работодатель прикажет. А по жизни тебе вообще нахрен надо - и гит ты не любишь. > Чувака просто надо игнорировать. Все что он несет - безнадежная чушь. У нас просто сильно разные предпочтения. Ты себе ищешь очередных хозяев. А я - чтоб и денег срубить и покайфовать, и без всяких умников указывающих мне что делать, им я расскажу - куда идти. И чсх так можно было. Лобызание корпоративных ботинок не является единственной опцией на этом глобусе, как бы ты ни пытался доказать мне что я тоже должен это делать. Де факто такие как ты - вообще не опенсорсники. Это то что называется - "латентный проприетарщик". И поверь, таких как ты - за километр видно. Нормальным людям с такими как ты работать просто зап@дло.
	Ответить | Правка | Наверх | Cообщить модератору

	102. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	–1 +/–
	Сообщение от Аноним (-), 27-Дек-24, 04:16
	> Вариантов то нет. Может ещё голый .git через торренты передавать? Что - вариантов нет? Вон то forgejo новомодное - я уже довольно много где видел. В отличие от чистого gogs, который я без понятия где водится. Видимо - у полутора корпов унутрях, за счет чего еще и не помер. Или может бабки инвесторов какие. А в диком виде - ну вот хз. Notabug и codeberg это не юзают, из относительно попсовых, там как раз - форки. Тех кто ставил именно gogs локально - я тоже не знаю. Gitea, forgejo и проч - ну, да, видел. А вот именно gogs - я вообще не знаю где и у кого водится в диком виде.
	Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

66. Скрыто модератором	–1 +/–
Сообщение от Аноним (-), 26-Дек-24, 16:48
А почему все молчат, что сабж на языке Go написан?
Ответить | Правка | Наверх | Cообщить модератору

	70. Скрыто модератором	–1 +/–
	Сообщение от Аноним (72), 26-Дек-24, 17:17
	А чего же тогда небезопасно? Или мусорщик не способен помочь в безопасность? Или, всё же, как и в случае с C, иногда мозги нужно включать?
	Ответить | Правка | Наверх | Cообщить модератору

	123. Скрыто модератором	+/–
	Сообщение от нах. (?), 27-Дек-24, 10:00
	> А чего же тогда небезопасно? Или мусорщик не способен помочь в безопасность? дружище, ты уже почти взрослый и тебе пора узнать страшную правду - сборщик мусора не отвозит на свалку мусорный код (чтобы там и прикопать, вместе с разработчиком), к сожалению. Просто экономит время разработки, автоматизируя управление памятью. Таких роботов, как ты хочешь, пока не существует, и до победы анкапа вряд ли появятся.
	Ответить | Правка | Наверх | Cообщить модератору

104. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
Сообщение от Аноним (104), 27-Дек-24, 06:04
Ну ничего, главное исправили. Все равно Gogs лучше Gitea.
Ответить | Правка | Наверх | Cообщить модератору

	112. "Пять уязвимостей в платформе совместной разработки Gogs, поз..."	+/–
	Сообщение от нах. (?), 27-Дек-24, 08:07
	оба хуже. И как вообще ты умудряешься разбираться в сортах? btw - как там у гогсов с поддержкой lfs и git gc? (то что гитея мучала-мучала, лет пять самое малое, но все же почти осилила [ето неточна!])
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема