The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Google предложил SLSA для защиты от вредоносных изменений в процессе разработки

17.06.2021 15:04

Компания Google представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), в котором обобщён имеющийся опыт по защите инфраструктуры разработки от атак, осуществляемых на стадии написания кода, тестирования, сборки и распространения продукта.

Процессы разработки становятся всё более сложными и зависящими от сторонних инструментариев, что создаёт благоприятные условия для продвижения атак, связанных не с выявлением и эксплуатацией уязвимостей в конечном продукте, а с компрометацией самого процесса разработки (атаки "supply chain", как правило нацеленные на внедрение вредоносных изменений в процессе написания кода, подмену распространяемых компонентов и зависимостей).

Фреймворк учитывает 8 видов атак, связанных с угрозами внесения вредоносных изменений на этапе разработки кода, сборки, тестирования и распространения продукта.

  • A. Включение в исходный код изменений, содержащих бэкдоры или скрытые ошибки, приводящие к уязвимостям.

    Пример атаки: "Hypocrite Commits" - попытка продвижения в ядро Linux патчей с уязвимостями.

    Предлагаемый метод защиты: независимое рецензирование каждого изменения двумя разработчиками.

  • B. Компрометация платформы управления исходным кодом.

    Пример атаки: внедрение вредоносных коммитов с бэкдором в Git-репозиторий проекта PHP после утечки паролей разработчиков.

    Предлагаемый метод защиты: Повышение защиты платформы управления кодом (в случае PHP атака была совершена через мало кем используемый HTTPS-интерфейс, допускавший отправку изменений при входе по паролю без проверки SSH-ключа, при том, что для хэширования паролей применялся ненадёжный MD5).

  • C. Внесение изменений на этапе передачи кода в систему сборки или непрерывной интеграции (собирается код, не соответствующий коду из репозитория).

    Пример атаки: внедрение бэкдора в Webmin путем внесения изменений в сборочную инфраструктуру, приведших к использованию файлов с кодом, отличающихся от файлов в репозитории.

    Предлагаемый метод защиты: Проверка целостности и идентификация источника поступления кода на сборочном сервере.

  • D. Компрометация сборочной платформы.

    Пример атаки: атака SolarWinds, в ходе которой на этапе сборки было обеспечено внедрение бэкдора в продукт SolarWinds Orion.

    Предлагаемый метод защиты: внедрение расширенных мер обеспечения безопасности сборочной платформы.

  • E. Продвижение вредоносного кода через некачественные зависимости.

    Пример атаки: внедрение бэкдора в популярную библиотеку event-stream, через добавление безобидной зависимости с последующим включением в одном из обновлений этой зависимости вредоносного кода (вредоносное изменение не было отражено в git-репозитории, а присутствовало только в готовом NPM-пакете).

    Предлагаемый метод защиты: рекурсивное применение требований SLSA ко всем зависимостям (в случае event-stream проверка бы выявила сборку кода, не соответствующего содержимому основного Git-репозитория).

  • F. Загрузка артефактов, не созданных в системе CI/CD.

    Пример атаки: добавление вредоносного кода в скрипт CodeCov, позволявшего злоумышленникам извлекать информацию, хранимую в окружениях систем непрерывной интеграции клиентов.

    Предлагаемый метод защиты: контроль за источником и целостностью артефактов (в случае с CodeCov могло быть выявлено, что отдаваемый с сайта codecov.io скрипт Bash Uploader не соответствует коду из репозитория проекта).

  • G. Компрометация репозитория пакетов.

    Пример атаки: исследователям удалось развернуть зеркала некоторых популярных репозиториев пакетов с целью распространения через них вредоносных пакетов.

    Предлагаемый метод защиты: Проверка, что распространяемые артефакты собраны из заявленных исходных текстов.

  • H. Введение в замешательство пользователя для установки не того пакета.

    Пример атаки: использование тайпсквоттинга (NPM, RubyGems, PyPI) для размещения в репозиториях пакетов, похожих по написанию на популярные приложения (например, coffe-script вместо coffee-script).

Для блокирования отмеченных угроз SLSA предлагает набор рекомендаций, а также инструментов для автоматизации создания метаданных для аудита. SLSA обобщает типовые методы атак и вводит понятие уровней защиты. Каждый уровень предъявляет определённые требования к инфраструктуре, позволяющие гарантировать целостность артефактов, используемых при разработке. Чем выше поддерживаемый уровень SLSA, тем больше средств защиты внедрено и тем лучше инфраструктура защищена от типовых атак.

  • SLSA 1 - требует, чтобы сборочный процесс был полностью автоматизирован и генерировал метаданные ("provenance") о том, как артефакты собраны, включая сведения об исходных текстах, зависимостях и процессе сборки (для GitHub Actions предложен пример генератора метаданных для аудита). SLSA 1 не включает элементы защиты от внесения вредоносных изменений, а лишь простейшим образом идентифицирует код и предоставляет метаданные для управления уязвимостями и анализа рисков.
  • SLSA 2 - расширяет первый уровень требованием использования системы управления версиями и сборочных сервисов, генерирующих аутентифицированные метаданные. Применение SLSA 2 позволяет отследить происхождение кода и предотвращает внесение несанкционированных изменений в код, в случае применения заслуживающих доверия сборочных сервисов.
  • SLSA 3 - подтверждает, что исходные тексты и сборочная платформа соответствуют требованиям стандартов, гарантирующих возможность проведения аудита кода и обеспечение целостности предоставленных метаданных. Предполагается, что аудиторы могут сертифицировать платформы на предмет соответствия требованиям стандартов.
  • SLSA 4 - наивысший уровень, дополняющий предыдущие уровни следующими требованиями:
    • Обязательное рецензирование всех изменений двумя разными разработчиками.
    • Все шаги сборки, код и зависимости должны быть полностью декларированы, все зависимости должны быть отдельно извлечены и проверены, а процесс сборки должен выполняться без доступа к сети.
    • Применение процесса повторяемой сборки - возможность повторить процесс сборки своими силами и убедиться, что исполняемый файл собран из предоставленных исходных текстов.


  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Уязвимость в пакетном менеджере Composer, допускающая компрометацию PHP-репозитория Packagist
  3. OpenNews: Red Hat и Google представили Sigstore, сервис для криптографической верификации кода
  4. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
  5. OpenNews: Атаковавшие SolarWinds смогли получить доступ к коду Microsoft
  6. OpenNews: Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55345-supplychain
Ключевые слова: supplychain, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (78) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, хацкер (??), 17:47, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    вода, вода, вода...
     
     
  • 2.23, Dzen Python (ok), 21:02, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну что поделаешь, если сегодня сначала кодить учатся, а потом, если повезет, и теорию почитают. Даже очень легкие к чтению классические труды вроде Макконела, в котором это, между прочим, даже со смехехеёчками есть.

    Накопилась критическая масса просто. У гугла идет санпросвет: "мойте руки, перед и зад", "После сортира - с мылом" или "Не еште с пола".

     
     
  • 3.39, Аноним (39), 01:30, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Правильно делают что начинают с практики, а не с сотен многотомников по теории... вот что желание кодить действительно отобьет
     
     
  • 4.47, Аноним (47), 07:43, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Вот бы и инженеры так работали, которые самолеты проектируют.
     
     
  • 5.78, slk (??), 10:35, 19/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они так и работают. С детства авиамоделизм, потом эксперементальные работы и если всё это желание не отбило, то уже институт и дальше.
     
  • 4.58, Тупинйух (?), 08:53, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Вот бы доктора так лечили тупина.
     
  • 4.75, псевдонимус (?), 03:53, 19/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Очень хорошо если у таких людей теория отобьёт желание кодить.
     
  • 4.87, And (??), 14:12, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильно делают что начинают с практики, а не с сотен многотомников по теории... вот что желание кодить действительно отобьет

    Но новость о другом. Не о начале с практики, а о разборе синяков от граблей в процессе практики. Начинали бы с сотен томов, не было бы синяков и разбора полётов.

    Наблюдаю этих желающих кодить за деньги - мрак и ужас от них.

    Практика и учёба должны быть сбалансированы, должна быть или книга или учитель. А не косяки Незнайки на голом энтузиазме.

     
  • 3.56, n00by (ok), 08:47, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну что поделаешь, если сегодня сначала кодить учатся, а потом, если повезет,
    > и теорию почитают.

    У Вас криокамера сломалась. Сегодня вообще не учатся. Нашли где-то патчик и в продакшен (именно так автономные разработчики Rosa Tresh добавили переполнение стека в rpm5, а потом не могли его исправить).

     

  • 1.2, Qwerty (??), 17:58, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Нет, не нужно. Это что-то новое и непонятное, тут такого не надо.
     
  • 1.3, Annoynymous (ok), 18:25, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Сейчас опеннетовские эксперты пояснят, что это хипстерское говно от корпораций, а значит не нужно.

    Google их, конечно же, проигнорирует, он вообще не в курсе об их существовании, а они будут сидеть, нахохлившись, и всё больше понимать, что мир свернул куда-то не туда, не смотря на все их предостережения.

    Как обычно, в общем.

     
     
  • 2.6, Псевдоним (??), 18:41, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нужно, мб внедрю на работе эти рекомендации
     
  • 2.17, Sw00p aka Jerom (?), 20:16, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Google их, конечно же, проигнорирует, он вообще не в курсе об их существовании

    он же и вас проигнорировал, как адвоката выделенного на средства государства :)

     
  • 2.29, Аноним (29), 23:48, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Предлагаемый метод защиты: независимое рецензирование каждого изменения двумя разработчиками.

    Ой всё! Без гугла мы не могли догадаться, что надо код проверять... Даёшь ещё больше бессмысленных бумажек богу бюрократии!

     
  • 2.36, Аноним (36), 00:50, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    опеннет раньше и фаерволы считал за параноидальные действия.
     
     
  • 3.42, СеменСеменыч777 (?), 04:28, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    если следовать https://en.wikipedia.org/wiki/Zero_trust_security_model
    то фаерволлы не нужны. потому что нет никакой "нашей сети",
    которой можно было бы "доверять".

    кроме того, фаерволлы снижают сетевую производительность.
    надеюсь, с этим спорить никто не будет.

     
     
  • 4.46, X86 (ok), 06:58, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У меня есть локальная сеть и я ей доверяю)
     
     
  • 5.57, ыы (?), 08:51, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот я - нет. И даже домашний вайфай у меня только транспорт для внутренней VPN сети. От чего мелкие девайсы несколько страдают - во первых настраивать каждое новое устройство надо- иначе оно не получит доступ никуда, во вторых нагрузка несколько вырастает, и те ресурсы которые  коробочка потратила бы на распаковку MKV- она тратит на распаковку пакетиков...
    Такой вот дивный новый мир...
     
     
  • 6.65, СеменСеменыч777 (?), 10:44, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > даже домашний вайфай

    что значит "даже" ? WiFi с т.з. доступа к медиа всегда был помойкой.

     
  • 6.76, СеменСеменыч777 (?), 08:36, 19/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    кстати !
    "внутренняя VPN сеть" - та же самая "моя локальная сеть, которой я доверяю".
    пруф ми вронг.
     
  • 2.60, Иксперд (?), 09:32, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На бумаге хорошо, но этож гугл - зонды и прочее, вы ж понимаете...
     
  • 2.69, Аноним (69), 13:30, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это необходимо и это уже все было.

    Корпорашки увлекшись геноцидом это потеряли.

    Мы просто перестали обновляется 5-10 лет назад.

    Теперь гуголь спохватившись в попыхах пытается что-то восстановить.

     

  • 1.4, Аноним (4), 18:33, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Конечно же, сейчас многие напишут, что это очередная поделка корпов, однако это просто объединение решений для давно мучающих проблем, что само по себе неплохо. Не панацея конечно, но уже что-то.

    Спасибо тому, кто писал новость, на каждую проблему он нашел соответствующую новость на opennet, интересно почитать

     
     
  • 2.22, Dzen Python (ok), 20:38, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Решение это для выпускников-троечников, стянувших половину своего диплома из интернетов, а остальную забивших методом Потолоцкого. И энтузиастов, выучившихся методом копипейста со стековерфлоу.

    Это разжевывается на парах в любом не помойном вузе, а потом не пропускается при автоматической сдаче кода и ревью преподом.

    Не понимаю, почему правила сборочной гигиены вызывают такое удивление. Хотя, судя по ковиднику, *простой народ* даже руки не всегда моет, что тут говорить про чуть более продвинутые правила?

     
     
  • 3.24, Псевдоним (??), 22:05, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как человек учившийся НЕ в помойном(для россии) вузе заявляю что ничерта там не учат, особенно сборочной гигиене.
    Насколько знаю этому не учат и в бауманке (топовом вузе страны, недалеко от моего).
    И я не уверен что этому учат в зарубежных вузах за немногочисленными исключениями.
    Более того я и сам с 2 дипломами по 2 разным  направлениям, одна из которых разработка по, и почти 10летним стажем работы не написал бы лучше, не то что студент троешник.
    Так что ваша спесь просто зашкаливает.
     
     
  • 4.30, Аноним (29), 23:54, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как человек учившийся НЕ в помойном(для россии) вузе заявляю что ничерта там не учат, особенно сборочной гигиене.

    Просто в НЕ помойный вуз берут людей, которые хотя бы что-то из себя представляют и объяснять подобные вещи не считают необходимым. Про помоечные вузы тезис в силе.

     
     
  • 5.33, fidoman (ok), 00:16, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Когда не разжёвывают азы - взял кувалду и вперёд - ты же умный, что тебя учить - это и есть помойка.
    А когда уровень очень хороший - эти азы настолько на запчасти разбирают, что со стороны посмотришь, так вообще и не поймёшь, о чём речь.
     
  • 4.72, Аноним (69), 14:04, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Учился не в РФ Поступив у ВУЗ уже чуть кодил и выигрывал олимпиады включая прог... большой текст свёрнут, показать
     
  • 3.27, ыы (?), 22:38, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А вот без понтов - назовите пожалуйста год, учебное заведение, специальность, курс и предмет где вы это все видели?
     
     
  • 4.41, Dzen Python (ok), 02:07, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вот только что тебе это даст?
     
     
  • 5.48, Аноним (48), 08:09, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И тебя вылечат
     
  • 4.70, Аноним (70), 13:35, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Просто работает кто-то типа PhD, поэтому всё по полочкам разложено изначально, очень много разных красивых картинок и умных слов.

    По факту пока получился пшик. В генте всё это было сделано ещё 15 лет назад. Схемы конечно красивые, но дойдёт ли дело до чего-то более серьёзного, чем проверка хешей загруженных файлов и генерация логов сборки - непонятно. Пока что гугл на этой стадии ;) Даже анализировать логи сборки не собирается, "это не предмет SLSA1, реализуется на других уровнях".

    Вот когда в 2006-м ковырялся с гентой в своём родном ВУЗе в свободное время (потому что был интернет и можно было скачивать исходники нахаляву) всю эту ALSA-1 наблюдал вживую. И до сих пор наблюдаю ;)

     
     
  • 5.71, ыы (?), 13:53, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Точно так же, народ когдато реагировал на ITIL. А потом привыкли, и не стесняются говорить что применяют именно его а не "тут достаточно исходя из общих соображений". То что этот фреймворк (непонятно почему это фреймворк? обычная методичка...) в общем на уровне курсовой- это не важно.
    Его удобно использовать, и при необходимости сослаться на него. И не писать самому собственный стандарт по ISO:20000.
     
  • 3.31, yet another anonymous (?), 00:01, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Несмотря на некотрую резкозть в #22, он, по сути, прав: толстые компании сначала всеми возможными способами пропихивают переусложнённые и наидырявейшие workflow, а потом лечат это следующим уровнем  (пере)усложнения. При этом (сравнительно) простые и надёжные действия остаются для массового современного специалиста неизвестными --- их весьма тщательно маскируют. В т.ч. и в образовательном процессе, давая заучивание паттернов действий, а не суть вещей.
     
     
  • 4.55, ыы (?), 08:45, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    По сути в #22 делаются провокационные необоснованные заявления. Подтвердить свои слова - автор отказался. Это - по сути. Все остальное - плод воображения и фобий.
     
     
  • 5.63, Dzen Python (ok), 10:32, 18/06/2021 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 6.67, ыы (?), 13:06, 18/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (14)

  • 1.5, Аноним (5), 18:37, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >> Предлагаемый метод защиты: рекурсивное применение требований SLSA ко всем зависимостям (в случае event-stream проверка бы выявила сборку кода, не соответствующего содержимому основного Git-репозитория).

    То есть если убрать мешуру и термины, читайте исходники вашего проекта и всех зависимостей, и будет у вас безопасность. Проблема в том, что это тяжелая (если вообще выполнимая) задача, подверженная помимо прочего человеческой ошибке (невнимательно прочитал название переменной, перебирая гигабайты кода).

     
     
  • 2.7, Псевдоним (??), 18:48, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Тут польза не в том что они скапитанили, а в том как они это сделали - структурированно, разобрав атаки и предложив решение. Мне бы на это понадобилось несколько рабочих дней при том что про некоторые типы атак я бы обязательно забыл (ибо не безопасник), ещё несколько дней чтобы нагуглить решения и лучшие практики и ещё пару дней чтобы подготовить решение. Ещё как минимум неделю я бы это отлаживал и писал документацию. И в итоге все равно бы сделал хуже.
     
     
  • 3.14, Аноним (14), 20:06, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Тут польза не в том что они скапитанили, а в том как они это сделали - структурированно, разобрав атаки и предложив решение

    "За все хорошее - проиы всего плохого" (L)

    *ня это все, выйдет еще один аналог Spice как в Automotive
    Корпо-Бюро пляски - потом очередное поколение "инфо-цыган" пойдет нести светоч XP, Agile и т.д.

     
     
  • 4.15, Аноним (14), 20:06, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "За все хорошее - против всего плохого" (L)
     
  • 2.77, Аноним (77), 09:25, 19/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сначала надо:

    1. Начать подписывать код PGP ключами (пример: https://www.altlinux.org/Работа_с_ключами_разработчика).

    2. Обеспечить надежное хранение закрытых PGP ключей разработчиков (например: https://www.gentoo.org/news/2019/04/16/nitrokey.html)

    3. Обеспечить обмен публичными ключами PGP с сертификацией паспортных данных и E-mail (https://www.opennet.ru/docs/RUS/gph/ch03s02.html)

    4. Обеспечить работу серверов ключей (https://www.opennet.ru/opennews/art.shtml?num=51006) в данном случае к серверам прикасался не надо, надо профиксить только gnupg.

    5. Сначала верифицировать скачанные исходники по PGP подписи, а потом уже читать исходники, компелять бинарники.

     

  • 1.8, Онаним (?), 18:50, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ахах, Provenance - Dependencies complete вынесено аж на 3 степень )))
    Хотя это вообще базовая вещь, без которой и 1 бессмысленна.
     
  • 1.9, acroobat (??), 18:57, 17/06/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     
  • 1.11, Аноним (11), 19:13, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чую на этом опен-сорс проекты смогут подзаработать. Что есть хорошо.
     
  • 1.12, Аноним (12), 19:16, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чушь. Когда в ядре была пачка варнингов всем было пофиг. А потом начали все быстро исправлять потому что уязвимостей много обнаружили. Без ручной проверки разработчиками вся эта программулина ничего не даст. Эти хипстеры правда думают что свободных разработчиков заботят их рельсы? Написал Васян модуль к альсе, и ему пофиг вообще что там думают об этом корпы. Не захотят принять изменения - не примут. Васе пофиг.
     
     
  • 2.25, Псевдоним (??), 22:09, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это по-другому работает. Захотел Вася безопасности, посмотрел на сабж, а не наоборот.
     

  • 1.13, Dzen Python (ok), 19:47, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень много бла-бла-бла к простейшиим правилам деплоя:
    - читай пулл-реквесты даже через нехочу
    - собирай срез из гита проверенным инструментом
    - используй лишь проверенные сторонние либы

    Современным потребителям условного смуззи на условных гироскутерах с условным вейпом должен сам гугл разжевать то, что в университетских учебниках (нормальных, а не в Павловской) и лекциях талдычится ЕМНИП года с 89го как азы?

    Ждем гайдлайнов от гугла "Итак, ты получил неподписанный экзешник. Что делать, кого позвать?" или "Как написать скрипт для операционной системы и ничего в ней не поломать. Читать вывод --help не стыдно!"

     
     
  • 2.18, Sw00p aka Jerom (?), 20:20, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >используй лишь проверенные сторонние либы

    угудайте сколько зависимостей у пакета gitlab-ce в бсд?

     
  • 2.19, Аноним (19), 20:31, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Читать вывод --help не стыдно!"

    Вот именно сюда и можно вредоноса всандалить. Читать хельп параллельно с strace и в виртуалке ты точно не будешь. А даже если и будешь, то засмеют.

     
  • 2.28, ыы (?), 23:40, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Очень много бла-бла-бла к простейшиим правилам деплоя:
    >- читай пулл-реквесты даже через нехочу
    >- собирай срез из гита проверенным инструментом
    >- используй лишь проверенные сторонние либы

    Для тех кто в танке:
    Чтение пулл-реквеста одним человеком- с хочу или нехочу- может оказаться недостаточно. Ну разве что вы гений-супермен с бородой...

    Сборки среза из гит проверенным инструментом может оказаться недостаточно- поскольку файлы могут подменить "на лету"

    Использование лишь проверенных сторонних либ может оказаться недостаточно- проверенная либа может быть скомпрометирована через секунду после того как проверили в очередной раз.

    Ваши "простейшие правила деплоя"  малость устарели...

     
     
  • 3.32, yet another anonymous (?), 00:15, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ... Ну разве что вы гений-супермен с бородой...

    Это когда как. В смысле --- я иногда её (бороду) срезаю. Но умище-то...

    > Сборки среза из гит проверенным инструментом может оказаться недостаточно- поскольку файлы могут подменить "на лету"

    При соблюдении определённых принципов --- это нереально (в смысле подпихнуть вам херню, так, чтобы это не было замечено). Без -- вполне. Но тут уж выбирайте --- вы бородатый олдскульный пердун в растянутом свитере или высокоэффективный хипстерный смузихлёб.

     
     
  • 4.52, ыы (?), 08:35, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так вот и напишите свои принципы, аккуратно в виде чеклиста, или даже в виде программы. умойте гугл :)

    А уж мы то... проведем рецензирование :)

     
  • 3.54, Ананоним (?), 08:41, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Разработал суперпупергарантирующий способ загрузки в память проверенного файла? Молодец. Теперь знай, что содержимое ячеек памяти после чтения злоумышленник можно изменить. Решил что злоумышленников рядом нет? Ты ошибся, всемогущий Intel ME не дремлет!
     

  • 1.16, Аноним (16), 20:15, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Иногда кажется, что мои статьи всё же читают и обращают на них пристальное внимание:

    https://itvision.altervista.org/linux-myths-series-linux-doesnt-need-an-antivi

    И это не 1й раз, лол.

     
     
  • 2.20, Dzen Python (ok), 20:32, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > вай линукс сакс

    Не, не оче. Шел бы ты обратно.

     
  • 2.21, Аноним (19), 20:32, 17/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Иногда кажется, что мои статьи всё же читают и обращают на них пристальное внимание:

    Самоуспокоение наверное. Что-то из разряда эффекта плацебо.

    > https://itvision.altervista.org/linux-myths-series-linux-doesnt-need-an-antivi

    Ниочём. Просто вообще ниочём.

     

  • 1.26, ыы (?), 22:25, 17/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Обязательное рецензирование всех изменений двумя разными разработчиками.

    Обязательное рецензирование всех изменений десятью разными разработчиками из которых минимум 50% просмотрели то что рецензируют.

     
     
  • 2.34, Аноним (34), 00:16, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только, что делать если этих самых разработчиков не хватает, и вообще меньше десяти :)...
     
     
  • 3.51, ыы (?), 08:33, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы не пройдете аттестацию очевидно... И с вами просто не будут работать...
     
  • 3.59, n00by (ok), 09:19, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Просто трындите повсюду, что делаете самый лучший продукт для дома, соберите вокруг сообщество, привлеките его к тестированию. Если кто-то заикнётся про необходимость ревью -- пресекайте на корню, тупо затравите, даже втроём можно справиться. Через два года переименуйте Rosa Tresh в Rosa Enterprise Desktop x4,  и можно продавать.
     
     
  • 4.61, ыы (?), 09:47, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Над скромным мальчиком понявшим суть вещей - посмеялись... Но те кто в теме- сделали правильные выводы... и по сути получилось две пользы в одном- они получают деньги, а вы- продлеваете себе жизнь.. ведь смех- это здоровье :)
    Главное не забывать между приступами схема чегонить кушать...
     
     
  • 5.66, n00by (ok), 10:50, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Одно не ясно в этой игре с нелулевой суммой: от чего же их так бомбит, когда лох какой-то Васян?) И почему кое-кого из них вдруг "кинули на деньги" (ц) https://www.opennet.ru/openforum/vsluhforumID3/124359.html#204

    Впрочем, кого гнетёт чужое горе? У нас появилось ещё несколько этих минут на прослушивание оды Неумолимому Хроносу https://youtu.be/QnSZhAvQd_8

     

  • 1.35, Аноним (35), 00:16, 18/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, лет через 10 гугл будет этим пользоваться? Или придётся новые схемки рисовать и внедрять какой-нибудь пятиуровневый SLSB?
     
     
  • 2.50, ыы (?), 08:32, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он натаскает на это нейросеть, и встроит  в средства разработки. вы даже знать не будете...
     
  • 2.79, anonymous (??), 13:21, 19/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет предела совершенству.
     

  • 1.37, Аноним (37), 01:15, 18/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кому нужна секурность тот сам иследует код, сам накатывает патчи и сам всё компилит, а не какие-то там майнтайнеры и умные среды автоматизированной сборки.
     
     
  • 2.49, ыы (?), 08:30, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И наслаждается "хелло ворлд".
    Потому что ничего сложнее этой инновационной фразы он осмыслить не в состоянии. Потому что как только он затеит чтото более сложное- весь набор озвученных проблем всплывет во весь рост...
     

  • 1.38, Аноним (39), 01:27, 18/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пацаны из Миннесоты ржут во весь голос
     
     
  • 2.40, Dzen Python (ok), 02:04, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пацаны из Миннесоты уже перестали плакать после скандала?
     
     
  • 3.53, ыы (?), 08:40, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А они плакали?
    Они поставили в листике галочку, и перешли к следующему пункту...
     
     
  • 4.64, Dzen Python (ok), 10:35, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Следующий пункт - яростно оправдываться перед сообществом, помахивая залитым на почти на депозитфайлс пдфником?
     

  • 1.62, Аноним (62), 10:04, 18/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Свидетели секты какугугла расправили крылья и начали ими хлопать, говоря, как же хорошо жить с переусложнением всего и вся, выпасая рабов-программистов на поводках и внедряя "лучшие практики", валящие людей неоправданной сложностью.

    Про проблемы начали вспоминать, про каких-то хипстеров оборот завернули, не вылезая из гитлаба... а время покажет, что безопасности и качества у гугла и какугугла как нет, так и не будет, а циферка в словах

    >Only two remote holes in the default install, in a heck of a long time!

    если и изменится, то незначительно.

     
     
  • 2.68, ыы (?), 13:17, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Готовьтесь к тому, что каждую строчку вы будете подписывать усиленной цифровой подписью, и нести личную уголовную ответственность за коммиты...

    Вот тогда и поговорим о свидетелях секты какугугл :)

     
     
  • 3.73, Dzen Python (ok), 20:29, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Подпись пойдет контуровским ключом через криптопро по ГОСТ 2012.
    Каждый коммит должен пройти ревью в ФСБ и у экспертов опеннета.
    Каждый билд должен быть отослан в Комиссию по Регулирования ХОЕ МОЕ АБЫРВАЛГ ФСТЭК.
    Каждый пользователь может получить девкит только в специальном органе при Президенте РФ на одноразовом носителе под роспись о гостайне.
    Каждый программист обязан сдать квалификационный экзамен  на право программирования ЭВМ и потом каждые пять лет его продлять.
    Каждого, кого уличат в использовании иностранных несекурных РАСТа или ЦЭ++ - принудительно клеймить иноагентами и переучивать на православные безопасные 1С, OneScript и АЛГОЛ.
    ...
    Зато секурно!
     
     
  • 4.74, ыы (?), 22:19, 18/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    под роспись о гостайне - вряд ли... поскольку это не гостайна. Можете вздохнуть свободнее...
     
  • 2.80, anonymous (??), 13:23, 19/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А что не так к Google с безопасностью?
     

  • 1.86, Аноним (86), 11:28, 21/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Достаточно устного приказа Лица, Принимающего Решения В случае применения фрейм... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру