The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей

17.10.2023 08:04

Компания Sonatype, специализирующаяся на защите от атак, манипулирующих подменой программных компонентов и зависимостей (supply chain), опубликовала результаты исследования (PDF, 62 стр.) проблем с зависимостями и сопровождением открытых проектов на языках Java, JavaScript, Python и .NET, представленных в репозиториях Maven Central, NPM, PyPl и Nuget. За год отмечено увеличение числа проектов в отслеживаемых открытых экосистемах в среднем на 29%. Число загрузок пакетов из рассматриваемых репозиториев в 2023 году выросло на 33%, но для сравнения в 2021 году число загрузок увеличилось на 73%.

Существенно выросла вредоносная активность в репозиториях - с начала года выявлено 245 тысяч вредоносных пакетов и в два раза увеличилось число зафиксированных атак, нацеленных на подмену зависимостей.

Многие проекты продолжают использовать уязвимые версии, например, 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостями, устранёнными в 2021 году. В репозитории Maven Central около 12% всех загрузок приходятся на компоненты, содержащие известные уязвимости. В среднем для всех репозиториев доля загрузок старых версий пакетов, относящихся к категориям рискованных (например, с неисправленными уязвимостями) составляет 20% (в 80% случаев загружается актуальная версия). В 96% случаев загрузки компонентов с уязвимостями можно было избежать, выбрав версии, в которых проблема уже устранена.

Значительную проблему в поддержании безопасности также составляет качество сопровождения проектов. В экосистемах для языков Java и JavaScript с этим большие проблемы - за последний год было прекращено сопровождение каждого пятого проекта (18.6%), представленного в Maven Central и NPM, и сопровождаемого в предыдущем году. Из 1.176 миллиона проанализированных проектов, присутствующих в репозиториях Maven, NPM, PyPl и Nuget, только 11% (118 тысяч) продолжают активно сопровождаться.

В ходе исследования также был проведён опрос 621 профессионального разработчика из различных компаний. 67% опрошенных полагают, что их приложения не используют уязвимые библиотеки, 10% за последние 12 месяцев сталкивались с инцидентами с безопасностью, вызванными уязвимостями в открытом ПО, а 20% затрудняются ответить. 28% компаний определяют наличие уязвимых компонентов в течение 1 дня после раскрытия данных об уязвимости, 39% - от 1 до 7 дней, а 29% - более недели.

  1. Главная ссылка к новости (https://blog.sonatype.com/intr...)
  2. OpenNews: Более 50% компаний из списка Fortune 500 используют уязвимое открытое ПО
  3. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
  4. OpenNews: Инициатива Alpha-Omega, нацеленная на повышение безопасности 10 тысяч открытых проектов
  5. OpenNews: Выявлена подстановка вредоносной зависимости в ночные сборки PyTorch
  6. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
Лицензия: CC BY 3.0
Наводку на новость прислал Artem S. Tashkinov
Короткая ссылка: https://opennet.ru/59936-opensource
Ключевые слова: opensource
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (150) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:06, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Потому что любая зависимость это плохо, а старая, закоренелая зависимость это в двойне плохо. Избавляйтесь от зависимостей пацаны.
     
     
  • 2.24, Аноним (24), 10:15, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Переизобретайте strsplit() пацаны.
     
     
  • 3.31, Аноним (31), 11:12, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Может использовать Маркировку? Если серьезные проекты всеже проверяют зависимости ручками, то они бы и могли делать пометки для используемой либы типа рекомендованая или нет.
    Арч например старые пакеты может выкинуть в АУР из основных реп. Как было с sulphid. Своего рода маркер, думается после этого кол-во установок оного уменьшилось всеже.
     
     
  • 4.43, voiceofreason (?), 12:08, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Приличные проекты с собой таскают нужные библиотеки нужных версий в исходниках, или подтягивают эти сорцы при попытке собрать. Хочешь зависимость поновее - не вопрос, но это не поддерживается и не проверяется, всё сам ручками.
     
     
  • 5.49, Аноним (49), 12:23, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    АгА, а потом в таскаемых библиотеках нужных версий найдётся уязвимость, а те и дальше продолжат их таскать.
     
     
  • 6.51, Аноним (24), 12:36, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Риски нужно взвешивать правильно. Библиотека уязвима? ОК. Если к ней имеет доступ кто-то недоверенный, срочно обновляем. А если нет — ну и бох с ней. Например: в webp выявлена уязвимость. Означает ли это, что срочно надо пересобирать корпоративное приложение на электроне? Нет. Почему? Потому что корпоративное приложение на электроне webp не показывает, и один пользователь другому пользователю этот webp не подсунет: нет такой возможности.
     
     
  • 7.107, User (??), 21:10, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот это, в общем-то, нуждается в доказательствах. Подчас - весьма и весьма нетривиальных. Ей-ей, пересборка проще будет.
     
     
  • 8.163, Аноним (163), 09:40, 19/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно, пересборка проще Доказывать, что новая версия не вызовет проблем, не н... текст свёрнут, показать
     
     
  • 9.164, User (??), 09:51, 19/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тесты - автоматизированы в пайплайне, semver в наличии, чейнджлог версии с фиксо... текст свёрнут, показать
     
     
  • 10.168, Аноним (163), 06:38, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тест не является доказательством корректности ... текст свёрнут, показать
     
     
  • 11.169, User (??), 07:00, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Оттож И даже группа тестов , включая и ручные функциональные и интеграционные ... текст свёрнут, показать
     
     
  • 12.170, Аноним (163), 13:22, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тянет на теорему Эскобара ... текст свёрнут, показать
     
     
  • 13.171, User (??), 13:30, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не, ну можешь и дальше ничего не делать - инцидент ИБ он то ли будет, то ли не... текст свёрнут, показать
     
     
  • 14.172, Аноним (163), 13:54, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почему ты так озадачился мной и моим увольнением Я всего лишь намекал, что выбо... текст свёрнут, показать
     
     
  • 15.173, User (??), 15:10, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Эм Ну, я н-ннадеюсь, что я тебя не нанимал - и не мне тебя увольнять, всего лиш... текст свёрнут, показать
     
  • 6.60, _kp (ok), 13:16, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А когда устраняли одну проблему не добавляя две новых?
    Иначе параноидальные обновления давно бы прекратились. :)
     
  • 5.93, Деаноним (?), 18:45, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что за чушь.
    Таскать библиотеку другого проекта в своём проекте это моветон.
    Не должно быть в проекте ничего лишнего. Разве что какой-нибудь гит сабмодуль.
    Скачиванием либ при попытке билда занимаются компании которым начхать на всех (вроде гугла). Опционально это не является чем-то плохим, но добровольно-принудительно это варварство. Не делайте так.
     
     
  • 6.148, Аноним (-), 14:34, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    я слышал о, почившем на волне очередного хайпа, гениальном конструкторе, который затерялся где-то в вечности, изобретая очередное колесо
     
  • 3.33, Аноним (31), 11:14, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Добавлю к предидущему.
    А уже после очищать репы от мусора
     
  • 3.34, Аноним (31), 11:19, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А может и не нужно этого. Нормальный прогер не заинтересован каки всякие использовать
     
  • 3.39, Аноним (39), 11:46, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В PHP 8 какая-то бяка поменяла аргументы местами в функции join. Пришлось изобретать strjoin.
     
     
  • 4.41, Аноним (24), 11:54, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    пыхерам в целом страдать не привыкать
     
  • 4.73, Аноним (73), 14:06, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно поподробнее?

    Сам похапешник и всю жизнь первым аргументом передавал разделитель, вторым - массив, который нужно соединить. После вашего сообщения удивился, зная любовь похапешников к сохранению обратной совместимости (из-за которой до сих пор приходится волочить трёхзвенныхе операторы сравнения === и !=== ).

    join всегда был алиасом к implode. Смотрим документацию по implode.

    php4 ( https://php-legacy-docs.zend.com/manual/php4/en/function.implode ): string implode (string $glue, array $pieces)
    php8 ( https://www.php.net/manual/en/function.implode.php ): implode(string $separator, array $array): string

     
     
  • 5.75, Аноним (24), 14:15, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    что нужно курить, чтоб назвать джойн имплодом?
     
     
  • 6.79, Аноньимъ (ok), 14:26, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там же в доках написано - $glue

    И название implode как бы референс к сжимаемущемуся кульку.

     
     
  • 7.82, Аноним (24), 14:53, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://www.merriam-webster.com/dictionary/implode

    где ты здесь видишь "сжимающийся кулек"? и причем тут... клей? (может авторы вдохновлялись клей-моментом?)

     
     
  • 8.84, Аноньимъ (ok), 15:17, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Выше же написано php4 https php-legacy-docs zend com manual php4 en functio... текст свёрнут, показать
     
  • 8.101, Аноним (73), 19:38, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тут Плюс, сделано как антоним слову explode - название функции, наоборот,... текст свёрнут, показать
     
  • 6.109, Аноним (109), 21:13, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > что нужно курить, чтоб назвать джойн имплодом?

    Английский?

     
     
  • 7.149, Аноним (-), 14:35, 18/10/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 4.96, Аноним (96), 18:56, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Из документации к PHP 4:

    implode() can, for historical reasons, accept its parameters in either order.

    То есть, ещё 20 лет назад в документации был задокументирован порядок аргументов "разделитель, массив" и было примечание, что обратный порядок аргументов тоже работает по историческим причинам (но официально не поддерживается).

    Через 20 лет костыль выпилили. И тут кто-то проснулся.

     
  • 3.54, Вы забыли заполнить поле Name (?), 12:49, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Переизобретайте strsplit() пацаны.

    Для современного кодера написать strsplit это проблема? Понимаю, вместо этого нужно подключить Модуль strsplit, который притянет модули abstract-split, split-by-str, split-by-re, better-re и пойти пить смузи. Данное решение несомненно более надежное и решит проблему с уязвимостями (нет).

     
     
  • 4.57, Аноним (24), 13:04, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Для современного кодера написать strsplit это проблема?

    Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux https://www.opennet.ru/opennews/art.shtml?num=59867

    > современного

    Уязвимости в библиотеках X.Org, две из которых присутствуют с 1988 года https://www.opennet.ru/opennews/art.shtml?num=59906

     
     
  • 5.85, Вы забыли заполнить поле Name (?), 15:24, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Для современного кодера написать strsplit это проблема?
    > Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux
    > https://www.opennet.ru/opennews/art.shtml?num=59867

    А тесты на тамошний strsplit есть? Или как обычно компилится значит работает?

    >> современного
    > Уязвимости в библиотеках X.Org, две из которых присутствуют с 1988 года https://www.opennet.ru/opennews/art.shtml?num=59906

    А причем тут strsplit? Мозг совсем высох? Ну ты ставь модули на каждый чих, не забывай.

     
     
  • 6.100, Аноним (24), 19:36, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Настоящий сишник не пишет тесты Он уверен в своих силах Он не какой-то там npm... большой текст свёрнут, показать
     
     
  • 7.125, Тот_ещё_аноним (ok), 01:33, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> современный кодер гораздо лучше... чем ДИД, который из прошлого продолжает нам гадить
    >> который не умеет ничего, кроме npm install leftpad

    Вот бесполезный кусок того самого

    Полезней тот, кто может поправить кривой RFC и потом либы под него
    Признаюсь, я не могу(

     
     
  • 8.143, Анонин (?), 12:08, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это шутка такая Поправить RFC Да в 100 раз легче протолкнуть новый, чем испра... текст свёрнут, показать
     
  • 2.52, AntonAlekseevich (ok), 12:46, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хочешь/требуют быстро сделать. Будешь пользоваться зависимостями. Не работает на новой используй те что есть. (И далее пофиг...)
     
  • 2.62, YetAnotherOnanym (ok), 13:22, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > любая зависимость это плохо

    Гений. Просто гений.

     
     
  • 3.74, НяшМяш (ok), 14:14, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Зависимость от еды, воды и воздуха это плохо. Ну вы поняли.
     
     
  • 4.86, Вы забыли заполнить поле Name (?), 15:25, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Зависимость от еды, воды и воздуха это плохо. Ну вы поняли.

    А зависимость от опеннета?

     
  • 2.122, Аноним. (?), 23:21, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пошел TLS переписывать.
     

     ....большая нить свёрнута, показать (41)

  • 1.6, Tron is Whistling (?), 09:41, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хламокодинг с притаскиванием всех библиотек в тушку - это нонсенс.
    Библиотеки должны подключаться снаружи и иметь хотя бы более-менее стабильный API/ABI - берите пример с C.
     
     
  • 2.7, Tron is Whistling (?), 09:42, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    (да, м@какинг уже не пройдёт - это чуть сложнее npm install, но зато библиотеки могут обновляться отдельно от проекта)
     
     
  • 3.11, Аноним (11), 09:48, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И хоба! Ты начинаешь зависеть от долбанутых мейнтейнеров.
    Вот когда они соизволят обновить уязвимую либу, вот тогда и уязвимость исправится.
     
     
  • 4.12, Tron is Whistling (?), 09:50, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но в npm-то том же ты конечно же не зависишь, все уязвимости сами исправляются.
    (это уже не говоря про число брошенных лефтпадов)
     
     
  • 5.15, Аноним (11), 09:55, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В npm, как только есть фикс от разрабов, всё уже зависит от тебя - обновляй и сабмить.
    А тут разрабы фикс выкатили, а мейнтенеры деба еще зад чешут (хотя арч и убунта уже выкатили изменение).
    Получается часть юзеров (в теории) могут получить фикс, а остальные - без шансов.
    Плюс это нужно чтобы пользователь пошел в свой пакетник и обновился. Ты это никак не контролируешь.
    А в своей аппе - сам вывел окошко с обновлялкой, можно даже алерт.
     
     
  • 6.18, Tron is Whistling (?), 09:56, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще из хламореп стоило бы выпиливать все уязвимые версии сразу после обнаружения проблемы.
    То, что у кого-то это в поделку не затянется - проблемы подельщика.
     
     
  • 7.19, Tron is Whistling (?), 09:56, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    (заодно популярность лефтпадного хламокодинга сразу поубавится)
     
  • 7.67, YetAnotherOnanym (ok), 13:57, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот, кстати, бешено плюсую. Нерадивые разрабы и беспечные потребители должны иногда получать щелбан по башке.
     
  • 7.134, penetrator (?), 04:03, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а что делать с уже установленными?

    вообще-то это главная проблема, потому что то кто когда то будет установлено не отражает текущую картину уязвимостей

     
     
  • 8.139, Tron is Whistling (?), 09:17, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да ничего, проблемы установивших ... текст свёрнут, показать
     
  • 6.21, Tron is Whistling (?), 10:03, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проблема именно в том - ниже правильно отметили - что никто тебе фикс не выкатит.
    А из репы этот брошенный хлам никто не выпилит - иначе у толп васянов поломается их хлам.
    Вот это и есть основная беда хламореп от хламокодинга.

    Если выпиливать - стимул поддерживать появится мгновенно, но весь хламокодинг посыпется, как карточный домик, потому что от хламоподобия хламобиблиотек за пару лет останется в лучшем случае 10% поддерживаемых. И это, надо сказать, хорошо, но не случится.

     
     
  • 7.25, Аноним (11), 10:17, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А из репы этот брошенный хлам никто не выпилит

    Угу, а брошенную либу мейнтейнеры прям побежали выпиливать из реп?))

    Про аппы вообще молчу - вот в деб стэйбл лежит заведомо уязвимый squid (5.7-2), дырявый по самое немогу, причем годами (даже новость про это была https://www.opennet.ru/opennews/art.shtml?num=59915)
    И что? Его выпилили из репы? Нет!

    PS: что-то тебя конкретно клинит на "хламо"-чем-то... Может тебе таблеточки попить?

     
     
  • 8.55, Аноним (55), 12:49, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если бы это был не сквид, наверняка бы выбросили ... текст свёрнут, показать
     
  • 8.138, Аноним (138), 09:11, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если на неисправности есть готовые патчи - мейнтейнеры реп дистрибутивов их докл... текст свёрнут, показать
     
     
  • 9.140, Tron is Whistling (?), 09:19, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да Именно в этом и заключается отличие дистровых и прочих монореп от хламовнико... текст свёрнут, показать
     
  • 5.17, Аноним (11), 09:55, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если лефтпад брошен, то тебе и в виде либы фикс не прилетит
     
  • 4.29, test (??), 11:00, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще то на мантейнеров молиться нужно. Разрабам начихать на окружение, они пилят свою либу, вносят новые фичи, а тут хлоп баг, они это баг коммитят и выпускают НОВУЮ версию.  А вот эти самые фичи новой версии ломают окружение ... а ему начихать. И так же ему плевать что новые фичи лепят новые дыры ...

    А мантейнер тот все наоборот, вышла новая версия, он из нее выбирает патчи дыр, накладывает на текущую либу и ничего не сломано и дыра закрыта.

    P.S. Справедливости ради могу заметить, что есть разрабы подтерживающие старые ветки, на предмет дыр, но таких мало и только на крупных проектах.

     
     
  • 5.38, фнон (?), 11:42, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > но таких мало и только на крупных проектах.

    Например в каких?
    Вон внизу скидывали ссылку на дырявые либы в Дебиане.
    не уверенНе уверен, что у остальных будет получше (может разве что RHEL, но не уверен)

     
     
  • 6.165, test (??), 09:55, 19/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    К примеру Python, выпустили ветку 3.12.0, так же вышла сразу 3.11.х, 3.10.x и т.д. некоторое время тащут старые версии ...
     
     
  • 7.174, Аноним (174), 18:18, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так фанатов же собирают - интеграций что ли насмотрелся
     
  • 2.76, Kuromi (ok), 14:20, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только Мозилла именно вот этим занимается уже десятилетия. Все внешние либы тащутся с собой.
     
  • 2.98, лютый арчешкольник... (?), 19:24, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Библиотеки должны подключаться снаружи и иметь хотя бы более-менее стабильный API/ABI

    си это боль для мазомазо.... а то что ты написал, в жабе и так присутствует. даже если в fatJar всё собираешь, очень легко управлять зависимостями, менять/убирать итд а с тестами сразу видно всё ли работает

     
     
  • 3.142, Tron is Whistling (?), 09:26, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Java-дистрибуция - это один из самых первых отличных примеров того, как делать не надо. Когда все сторонние библиотеки фиксированных версий тащатся вместе с проектом.
     
  • 2.156, Neon (??), 17:08, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А потом ваша прекрасная либа-1.2.3.1234 не подходит, требуется либа1.2.3.1234-костыль-2.5
     
     
  • 3.157, Tron is Whistling (?), 17:40, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не подходит - апдейть до подходящей.
     

  • 1.9, Аноним (11), 09:45, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > прекращено сопровождение каждого пятого проекта
    > только 11% продолжают активно сопровождаться

    Вполне перекликается с новостями про проблемы сопровождающих ядра, проблемы с LTS и тд.
    Люди внезапно заметили появившиеся проблемы и осознали, что тратить свое время на бесплатные проекты... не рационально.

     
     
  • 2.13, Tron is Whistling (?), 09:51, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Проблема в том, что хламокодинг позволяет каждому желающему васяну выкатить наколенную поделку, которую другой васян затянет к себе в свою наколенную поделку. То, что первый васян через неделю поделку бросит - никого не волнует.
     
     
  • 3.16, фнон (?), 09:55, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу, а что скажешь про овнокод в ядре линуха? или дровах?
    Там тоже васяны?
    Наверное в этом и идея опенсорса?
     
     
  • 4.20, Tron is Whistling (?), 09:57, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И много хлама из хламорепозитариев ядро внутрь затягивает?
    Ах да, туда же растишку добавили. К счастью, выключенную.
     
     
  • 5.22, фнон (?), 10:10, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А разве ядро это не просто свалка уязвимого кода?
    https://www.opennet.ru/opennews/art.shtml?num=59852
     
     
  • 6.47, Аноним (47), 12:21, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так разрабы этот код сами туда положили, а не кто-то левый забил на свой проект или передал его кому-то или решил заработать и тебе залетел майнер, вместе с трояном для ботнета.
     
     
  • 7.56, анонимусс (?), 13:01, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А разве репозиторий, емейл разраба, или его гит аккаунт нельзя перекупить/взломать/украсть ?

    Вот пример реальной пробелмы которая была в ядре https://lwn.net/Articles/57135/
    И это то что заметили, а ведь другие могли не заметить.

     
  • 7.59, анонимусс (?), 13:15, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в догонку - взлом гитхаба Сanonical
    https://github.com/cncf/tag-security/blob/main/supply-chain-security/compromis

    взлом fosshub, пострадали Classic Shell и Audacity
    https://github.com/cncf/tag-security/blob/main/supply-chain-security/compromis

    взлом log4j - https://github.com/cncf/tag-security/blob/main/supply-chain-security/compromis
    получили дырку в апаче и других
    https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.h

    взломали заброшенный пакет в АРЧе
    https://github.com/cncf/tag-security/blob/main/supply-chain-security/compromis

    дальше мне лениво перечислять)

     
  • 7.111, User (??), 21:28, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, мы поняли - это ДРУГОЕ. Лет через 20 дiдовскую сортировку пузырьком выпилят - но ты туда не смотри, там селедку заворачивали.
     
     
  • 8.123, анонимусс (?), 00:06, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты на пузирок не наезжай Отличная сортировка при мелких массивах Делает просто... текст свёрнут, показать
     
  • 4.150, AKTEON (?), 15:26, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно. Я всегда удивлялся, что на macos стоит  микроядро, а в linux монолит. Хотя казалось бы , оттестировать несколько десятков возможных аппаратных конфигураций  mac легко и должен быть монолит из соображений производительности, а для десятков миллионов возможных для  linux - поневоле приходится использовать микроядерную архитектуру. Но люди - по натуре своей - извращенцы и сделали строго наоборот, так что говнокод в гиперраспухшем ядре - неизбежен. Разве что AI когда-нибудь перепишет.
     
  • 3.32, Аноним (32), 11:13, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А это проблема? Как предлагаешь решать её, массовыми расстрелами?
     
     
  • 4.48, Аноним (47), 12:23, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Создать СССР и в интернет пускать по карточкам. А программный код можно брать только из центрального репозитория министерства электронной промышленности СССР.
     
     
  • 5.50, Аноним (49), 12:30, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По партбилетам и комсомольским билетам. В инет позволяется ходить только идейнонадёжным.
     
     
  • 6.130, ПГМ (?), 03:29, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Юмор зачетный
     
  • 5.63, Аноним (63), 13:33, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто сейчас не так, только под властью капитала. Акк пппое, адрес, порт на оборудовании, договор с провом -- всё это колокольчик, повешеный буржуинами на шею коровам. Паситесь!
     
  • 3.87, Менеджер Антона Алексеевича (?), 16:37, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почему у тебя вызывает такую бурную реакцию то, чем какие-то абстрактные васяны занимаются друг с другом? Ну-ка покажи на этой кукле, в какие места тебе васяны хламокодили.

    Опенсорс вообще-то именно про использование чужих наработок, чтобы не пилить свой велосипед каждый раз. Права и обязанности в лицензии прописаны, а дальше никто никому ничего не должен. Ни один васян пилить либу, ни второй её использовать. Поэтому все жалобы про наколенные поделки можешь отправлять в спортлото. Не нравится — перепиши как нравится, заодно посмотрим какой ты молодец. А пока что ты только ноешь на опеннете про то, как тебя васяны обидели.

     
     
  • 4.141, Tron is Whistling (?), 09:21, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вообще да, примерно так и делаем - ни в одном проекте нет ни одного автоматического стягивания чего-либо откуда-либо. Поэтому все эти проблемы васянов меня не волнуют - можно хоть так оставить и ничего с этим не делать вообще, пусть наслаждаются.
     
     
  • 5.154, Менеджер Антона Алексеевича (?), 16:44, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > ни в одном проекте нет ни одного автоматического стягивания чего-либо откуда-либо

    И все исходники всех либ тщательно вычитываются, да? Охотно верю!

    > все эти проблемы васянов меня не волнуют

    Так не волнуют, что захламил комментариями тред. Не даром ты мой любимый персонаж опеннета, после пох.а.

     

  • 1.10, Аноним (10), 09:46, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Даешь единый blob, содержащий абсолютно всё!
     
     
  • 2.14, Tron is Whistling (?), 09:52, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Наоборот. Библиотеки без всяких репозитариев. Прежде чем делать проект - основательно думаешь и выбираешь, на что завязываться, а не тянешь в рот любой свежак с хламорепозитария.

    Впрочем, в серьёзных проектах так дело уже и обстоит, проблема по сути выеденного яйца не стоит и касается только однодневок от хламокодинга.

     
     
  • 3.23, Аноним (23), 10:13, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Где rapid application development, там и куча зависимостей-однодневок. Зачем переизобретать велосипед? Интересно пилить свою идею, пока не взлетит. Если не взлетело то и ладно, не сильно то и хотелось. Если таки взлетело то зачем перепиливать - и так ведь работает. Так и получается в конце большой карточный домик.
     
     
  • 4.27, фнон (?), 10:43, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как-будто раньше было не так В линуксе куча уязвимых либ, добавленных 20 лет на... большой текст свёрнут, показать
     
  • 4.72, YetAnotherOnanym (ok), 14:06, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > rapid application development

    Очередной Аноним, который печатает со скоростью 400 знаков в минуту.

     
  • 3.104, Аноним (104), 20:45, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Прежде чем делать проект - основательно думаешь и выбираешь

    А потом пишешь с первого раза без ошибок идеальный код, который никогда не надо будет править. Ох уж эти опеннетные фантазии! Ох уж жти опеннетные фантазёры. А в реале без итераций и фидбека пишут только хеллоу ворлд. Пока ты думал, соседний стартап выпустил 300 версий, разобрался что нужно пользакам и вышел в кэш. Или не вышел. Но у них продукт был, а ты лишь основательно подумал.

     
     
  • 4.116, Tron is Whistling (?), 22:46, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Каждый брошенный лефтпад вышел в кеш, инфа 146%
     
     
  • 5.175, Аноним (174), 18:20, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    огород копать доходнее?))
     
     
  • 6.179, Tron is Whistling (?), 21:50, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > огород копать доходнее?))

    Не пробовал, но пользы точно больше.

     

  • 1.26, Аноним (26), 10:36, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостями,

    А нафига они предоставляются для скачивания? 404 отдавать. Кому ну очень нужно и в git сбегают.

     
     
  • 2.28, Аноним (11), 10:57, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость.
     
     
  • 3.45, Аноним (45), 12:14, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для сборки таких заброшенных апп можно сделать ключ вроде --allow-archived-dependencies.
     
     
  • 4.81, Ruslan22 (?), 14:42, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тогда такой ключ будет по умолчанию во всех проектах.
     
     
  • 5.105, Аноним (105), 20:46, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И просто поднимут свой отдельный репо сами. И в нём будут все.
     
  • 3.117, Tron is Whistling (?), 22:47, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость.

    И это ОЧЕНЬ хорошо.
    Нет мейнтейнера - давай, до свидания.

     
  • 2.35, Аноним (11), 11:28, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А этот забагованый кусок, почему не выпилили из репы? https://packages.debian.org/stable/web/squid
    "Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены"

    По той же причине - начнут не собираться другие либы или прикладной софт.
    Хотя приостанавливать использование "до фикса всех известных критических проблем" имхо было бы адекватным решением.
    Но на такое никто не пойдет.
    Потому что есть нехилый шанс, что они никогда их не починят "Разработчики Squid были уведомлены о проблемах ещё два с половиной года назад, но так и не завершили работу по их устранению."

     
     
  • 3.36, pic (?), 11:39, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Действенное решение - брать на испуг - выбрасывать из репозитория вместе с соответствующими по зависимостям пакеты.

    Если эти не исправят, то другие в таком крупном дистрибутиве оперативно выпустят патчи с выкорчёвыванием зависимости от этой либы, либо их софта там не будет до следующего релиза.

    Есть второй вариант - к едрене фене - вытаскивать эти либы в отдельную репу с тем софтом и объявлять, что эта репа, скажем, non-official-critical.

     
     
  • 4.37, pic (?), 11:41, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дополнение:

    и Debian к этой халатности не имеет отношения - без претензий.
    Совсем уже обнаглели, и мейнтейнеры, и разработчики.

     
  • 4.42, анонимусс (?), 12:04, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > выбрасывать из репозитория вместе с соответствующими по зависимостям пакеты

    Классное решение, но что делать если репа после этого не соберется?
    Как заменять либы, которым полных аналогов нет - тоже не ясно.

    Это опенсорс - тут никаких рычаго воздействия на разраба нету, да и обязательств у него тоже никаких нет.

    Вот так и живем (с)

     
     
  • 5.68, pic (?), 14:02, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Debian и так их выбрасывал пачками. Другое дело, что в последнее время этот процесс сильно растянулся.
     
     
  • 6.176, Аноним (174), 18:21, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    есть время разбрасывать камни, есть время камни собирать
     
  • 5.69, pic (?), 14:03, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому предложенный мой второй вариант более актуален, чем пытаться разрешать ад зависимостей старыми версиями.
     
  • 4.88, Менеджер Антона Алексеевича (?), 16:54, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну выброси какой-нибудь OpenSSL или glibc. И патчи для выкорчёвывания этих зависимостей не забудь оперативно выпустить.

    Опеннетчиков через одного хлебом не корми, дай только что-нибудь повыкидывать и позапрещать.

     
     
  • 5.119, pic (?), 23:12, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну выброси какой-нибудь OpenSSL или glibc. И патчи для выкорчёвывания этих зависимостей
    > не забудь оперативно выпустить.
    > Опеннетчиков через одного хлебом не корми, дай только что-нибудь повыкидывать и позапрещать.

    А что сразу не ядро выкинуть? Юношеский максимализм.
    А Debian выкидывал такое тухлое и раньше, непонятно почему они сейчас стали так тормозить.

     
     
  • 6.153, Менеджер Антона Алексеевича (?), 16:40, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А что сразу не ядро выкинуть?

    Отличная мысль, но немного рановато: GNU/Hurd ещё не совсем готов.

    > Юношеский максимализм.

    А «брать на испуг» и «выбрасывать из репозитория» — это не юношеский максимализм? Или это другое и надо понимать?

    > А Debian выкидывал такое тухлое и раньше, непонятно почему они сейчас стали так тормозить.

    Да как раз вполне понятно почему. Но если ты считаешь, что надо иначе — добро пожаловать в список рассылки Дебиана. По опыту могу сказать, что если идея ценная, то её с радостью примут. Удачи!

     
  • 4.112, User (??), 21:32, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи ногами проголосуют, ага.
     
     
  • 5.121, pic (?), 23:16, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи
    > ногами проголосуют, ага.

    Пользователям никто ничего не должен, это opensource. Либо Вы клепаете как есть, вместе с дырами и не несёте ответственность, либо адекватно реагируете на такое, если у Вас профессиональный продакшн, и Вам предъявят.

     
     
  • 6.137, User (??), 07:52, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи
    >> ногами проголосуют, ага.
    > Пользователям никто ничего не должен, это opensource. Либо Вы клепаете как есть,
    > вместе с дырами и не несёте ответственность, либо адекватно реагируете на
    > такое, если у Вас профессиональный продакшн, и Вам предъявят.

    Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто примерно все и нихрена не работает интересует примерно "никого", openBSD у нас уже есть, делать еще одну в парадигме "только хуже" - спасибо, нинада.

     
     
  • 7.147, pic (?), 14:09, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем
    > устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто
    > примерно все и нихрена не работает интересует примерно "никого", openBSD у
    > нас уже есть, делать еще одну в парадигме "только хуже" -
    > спасибо, нинада.

    С этой точки зрения Debian непригоден для продакшена, даже после форка.

     
     
  • 8.151, User (??), 15:45, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Наличие отсутствие дыр, критических ошибок и т д на готовность к production у в... текст свёрнут, показать
     

  • 1.40, Аноним (47), 11:53, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Компания сама атакует, а потом сама клепает отчёт. Безотходное производство.
     
     
  • 2.44, анонимусс (?), 12:10, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Атакует кого?
    Кодеров которые забили на свои проекты?
    Тех кто использует старые либы без проверки насколько они дырявые?

    То что сама фирма специализуется на пентестах, не значит, что отчет не правдивый.

     
     
  • 3.46, Аноним (47), 12:18, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Да. Я думаю там точность 100% я к тому что они хорошо устроились.
     
     
  • 4.53, анонимусс (?), 12:47, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Уууууу! Заговор!!!1111
    Это точно не ленивые разрабы, которые багованные либы не обновляют, а все корпорация зла виновата!
    Небось еще и мейнтейнерам доплачивает в конвертах, чтобы побольше CVE в код добавили.
     

  • 1.58, Аноним (58), 13:13, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не понять мне шизофренков, "программирующих" на скриптах
     
     
  • 2.64, Аноним (-), 13:41, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    так это же мировая история, все великие достижения строились по такому принципу, оглянись это везде вокруг - есть люди просто исполняющие своё дело и руководители/провидцы, которые организовывали/использовали эти людские ресурсы. без тех или тех ничего бы не получилось, равно как и фейлы отдельных - упоротость диктаторов, либо предательство/некомпетентность исполнителей приводили к краху. также и этой сфере, по аналогии, как и везде. ты же сам себе дом не строил, условно, живёшь там и творишь иное, и страданёшь если он развалится из-за плохого качества строительства/отсутствия ДУКа проводящего капремонт. разделение труда уж скок веков на пользу раотает, со своими нюансами.
     
     
  • 3.71, Аноним (71), 14:06, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    в продолжение не всегда же есть виновные, если при строительстве были ошибки в ... большой текст свёрнут, показать
     
     
  • 4.77, Аноним (-), 14:20, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну ведь объективно же, линус с командой так бегут вперёд, что, возможно, не замечают или не хотят как фундамент может треснуть. 6.6.6 пройдут, а до 7.7.7 могут и не дожить, в привычном понимании. коллективное письмо давайте писать, лол
     
  • 3.126, Аноним (-), 02:22, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    во я орнул, если честно, за предъяву как веб-манки, которая не в состоянии распи... большой текст свёрнут, показать
     
     
  • 4.127, Аноним (-), 02:26, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну хз, не пробовал я ещё в поле сидеть по крайней нужде, от волков оглядываясь, размышляя что та ведьма, скорее всего, сама те ягоды отравила, чтоб попиариться, лол

    а линус, ко всему прочему, гит же сделал, который похлеще самого линукса разошёлся. дай там кто-нить свыше, что ещё что-то по контролю сабжа придумает, если должным образом внимание его привлечёт, авось и поделки майков/эплов подтянутся тоже, если у них там свои должным образом ещё не отработаны, принцип-то один я думаю

     
  • 2.89, Аноним (89), 16:57, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зато мне очень легко понять представителей интеллектуального большинства, которым не хватает мозгов и уверенности, чтобы писать программы на динамических языках. Без ритуальных перепроверок по 10 раз и попыток сконстролить проверку типов. С которыми все становится медленно и громоздко.
    Кодогенерация ИИ понятно лучше будет работать на статических. Для людей (не квадратноголовых, понятное дело) динамические удобнее.
     
     
  • 3.92, Аноним (92), 17:53, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А эти твои динамические языки на чем написаны?
     
  • 3.114, Аноним (114), 22:09, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Писал и пишу и на тех, и на тех языках. Ну, под каждую задачу найдётся своё.

    > чтобы писать программы на динамических языках

    С нестрогой типизацией? Если да, то ну вот донесите, пожалуйста, в чём прикол, кроме вороха трудноуловимых проблем в _рантайме_?

     

  • 1.61, Аноним (61), 13:17, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >>Компания Sonatype, специализирующаяся на защите от атак, манипулирующих подменой программных компонентов и зависимостей (supply chain)

    Себя не попиаришь, никто тебя и не заметит. А тут фигню выкатил и такой важный :-))). Всё это фигня собачья.  Данные в 99% утекают из-за недовальных админов, подкупленных админов, субподрядчиков рукопопых и т.п. человеческих факторофф. инфа соточка. А это всё бухтение для освоение "безопасных" бюджетов.

     
     
  • 2.80, Аноньимъ (ok), 14:38, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да нет давно никаких админов.
    Докер контейнер с докерхаба в дефолте прямо в жоблако, или в кубернутес какой если ты сурьёзный.
     
     
  • 3.90, Аноним (90), 17:05, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он имел ввиду девляпсов которые это все админят. А подкуп оных явление довольно частое, особенно в этой стране.
     
     
  • 4.115, Аноньимъ (ok), 22:34, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В большой оутсорс конторе это должно быть легче чем легко конечно.

    Вспоминается, в нулевых, просили нас сделать аудит сервера, где всякая телефония тоже весела, было подозрение что админ пишет и сливает переговоры конкурентам.

    Но потом у них проблема похоже исчезла, видимо решилось всё само собой.

     
  • 4.120, хрю (?), 23:15, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это обычное явление в любой стране. Самый треш по разгильдяйству, покупке тонн ненужного софта и пускания кого попало на свои сервера, который я видел, был в амерском подразделении bp.
     
     
  • 5.124, Аноним (90), 00:17, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но торгуют персональными данными почему-то только у нас.

    Недавно вот зарегался в программе лояльности крупного сетевого маркетплейса, так на второй день попёрли тонны смс начиная от кaзино, заканчивая пpoститyтками и крипто-скамом.

     
     
  • 6.159, Серб (ok), 17:43, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Но торгуют персональными данными почему-то только у нас.

    С чего ты так решил?

    Из-за того, что не можешь оплатить суммы которые просят за информацию забугорных корпораций?

     
     
  • 7.177, Аноним (174), 18:23, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    языка не знает..)))
     
  • 2.91, Аноним (90), 17:10, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +1
    Хакеры которые корчуют код давно остались в прошлом, все современные «взломы» это подкуп, саботаж или социальная инженерия. Достаточно зайти в даркнет, там тебе и дубликат симки на любой номер сделают, и паспорт любой страны выдадут с официальным оформлением и прогоном по всем базам.
     
     
  • 3.118, Tron is Whistling (?), 22:52, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И швабру с бутылкой шампанского - на выбор - в подарок.
     
  • 3.128, Аноним (-), 03:02, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    как туда зайти-то? лампочку выключил, тёмную тему поставил - сижу жду дальнейших указаний
     

  • 1.66, Golangdev (?), 13:46, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Многие проекты продолжают использовать уязвимые версии, например, 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостями

    а господа торговцы безопасностью не потрудятся также сообщить, сколько из этих "23%" реально можно взломать, используя "Log4j" ?

    я к тому, что наличие "уявзимой" библиотеки не равно возможности её использовать.

     
     
  • 2.131, Аноним (-), 03:29, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну слушай, инфа же _официальная, а значит и описание уязвимости, как и статистика использования, получена, наверняка, из открытых источников. хочешь парсер по этим данным запусти, хочешь зависимости конкретных проектов изучи, смотря в чём _необходимость появится, остальное - дело техники, как говорится

    а так да, сишка дырявая, но не факт что всё дырявое на ней. и постоянно выявляемые уязвимости лишь подтверждают это. что не всё дырявое на ней. пока точно не всё хД

     
  • 2.135, Аноним (109), 05:13, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не мешай пиариться и продавать сейфы для солонок.
     
     
  • 3.145, ыы (?), 12:24, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если солонка при попытке посолить- взрывается - то такие солонки нужно держать не просто в сейфе, а и сейф такой где нибудь подальше..от людей.
     
  • 2.146, ыы (?), 12:26, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    эта уязвимость хорошо описана. проверьтесь дял началу у себя...
     

  • 1.103, Аноним (105), 20:43, 17/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему же, говоря о уязвимостях, никогда не вспоминают, что в обновлении
    - иногда больше нет прежней функциональности,
    - иногда приходят проблемы для нужного функционала.

    Обновления безопасности иногда ломают нужный функционал. И тогда обновление - зло.

    Зачем неуязвимый софт, если софт не делает нужного.

     
     
  • 2.113, Аноним (113), 22:06, 17/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кто ничего не делает - тот ошибок не совершает. Отсюда вывод: нихрена делать не надо.
     
  • 2.132, Аноним (-), 03:32, 18/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.158, Tron is Whistling (?), 17:41, 18/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что вся функциональность - пшик, если твой локалхост внезапно превращается в майнер для любого васи из 10Б.
     

  • 1.144, InuYasha (??), 12:21, 18/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хотел пожаловаться что в опрос не позвали...

    > Java, JavaScript, Python и .NET,

    Смех сквозь слёзы. Просто сяду почитать, чем страдает этот гадюшник.

     
     
  • 2.167, Аноним (167), 16:45, 19/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    99% коммерческого ПО под это тоже подпадает, кстати. А думал, там всюду паскаль? Паскаль остался в 90х, с тех пор на нём только легаси тех лет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру