The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Git-репозитории проекта PHP выявлены вредоносные изменения

29.03.2021 18:46

Разработчики проекта PHP предупредили о компрометации Git-репозитория проекта и обнаружении двух вредоносных коммитов, добавленных 28 марта в репозиторий php-src от имени Расмуса Лердорфа, основателя PHP, и Никиты Попова, одного из ключевых разработчиков PHP.

Так как нет уверенности в надёжности сервера, на котором был размещён Git-репозиторий, разработчики решили, что поддержание своими силами Git-инфраструктуры создаёт дополнительные риски безопасности и перенесли эталонный репозиторий на платформу GitHub, которую предлагается использовать в качестве первичной. Все изменения отныне следует отправлять на GitHub, а не на git.php.net, в том числе при разработке теперь можно использовать web-интерфейс GitHub.

В первом вредоносном коммите под видом исправления опечатки в файле ext/zlib/zlib.c было внесено изменение, запускающее PHP-код, переданный в HTTP-заголовке User Agent, если содержимое начинается со слова "zerodium". После того как разработчики заметили вредоносное изменение и отменили его, в репозитории появился второй коммит, который отменял действие разработчиков PHP и возвращал вредоносное изменение.

В добавленном коде присутствует строка "REMOVETHIS: sold to zerodium, mid 2017", которая может намекать, что с 2017 года в коде находится другое, качественно закамуфлированное, вредоносное изменение, или неисправленная уязвимость, проданная компании Zerodium, занимающейся скупкой 0-day уязвимостей (компания Zerodium ответила, что не покупала сведения об уязвимости в PHP).

В настоящее время пока нет детальной информации об инциденте, предполагается лишь, что изменения были добавлены в результате взлома сервера git.php.net, а не компрометации отдельных учётных записи разработчиков. Начался анализ репозитория на наличие других вредоносных изменений помимо выявленных проблем. К рецензированию приглашаются все желающие, при обнаружении подозрительных изменений следует отправить информацию на security@php.net.

Что касается перехода на GitHub, то для получения доступа на запись к новому репозиторию участникам разработки необходимо войти в состав организации PHP. Тем, кто не включён в число разработчиков PHP на GitHub, следует связаться с Никитой Поповым по email nikic@php.net. Для добавления обязательным требованием является включение двухфакторной аутентификации. После получения надлежащих прав для смены репозитория достаточно выполнить команду "git remote set-url origin git@github.com:php/php-src.git". Дополнительно рассматривается вопрос о переходе к обязательному заверению коммитов цифровой подписью разработчика. Также предлагается запретить прямое добавление изменений, не прошедших предварительного рецензирования.

Дополнение: Из-за проведения аудита формирование новых релизов заморожено на две недели.

  1. Главная ссылка к новости (https://news-web.php.net/php.i...)
  2. OpenNews: Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера
  3. OpenNews: Подтверждён факт взлома инфраструктуры проекта PHP
  4. OpenNews: Проект PHP сообщил о взломе и утечке базы паролей с Wiki-сервера
  5. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  6. OpenNews: Взлом сборочного сервера и компрометация репозиториев сообщества Libretro, развивающего RetroArch
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54858-php
Ключевые слова: php, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (140) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 18:53, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –29 +/
    >перенесли эталонный репозиторий на платформу GitHub

    Микрософт: Нет, разумеется мы не имеем никакого отношения к этому публично нами осуждаемому взлому, в результате которого ещё один очень важный инфраструктурный проект перешел на полностью контролируемый нами GitHub.

     
     
  • 2.5, Аноним (5), 19:04, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • –16 +/
     
     
  • 3.10, Аноним (10), 19:12, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • +12 +/
     
     
  • 4.14, Аноним (5), 19:16, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • –11 +/
     
     
  • 5.19, Аноним (10), 19:34, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • +6 +/
     
     
  • 6.54, Аноним (-), 20:51, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 7.55, Аноним (10), 21:16, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 8.61, пох. (?), 22:10, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.79, Аноним (10), 02:15, 30/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 10.93, пох. (?), 08:01, 30/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 9.136, Михрютка (ok), 18:27, 30/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 10.144, пох. (?), 23:21, 30/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.16, Lex (??), 19:30, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
  • 3.20, vitalif (ok), 19:38, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 4.109, Аноним (-), 10:41, 30/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.24, YetAnotherOnanym (ok), 19:43, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • +5 +/
     
     
  • 4.33, Аноним (10), 19:56, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 5.43, YetAnotherOnanym (ok), 20:15, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 6.85, Аноним (10), 03:02, 30/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.91, Аноним (91), 07:46, 30/03/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 4.110, Аноним (-), 10:44, 30/03/2021 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 3.62, Аноним (62), 22:15, 29/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.101, Аноним (101), 09:02, 30/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.7, Аноним (7), 19:07, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    не шиза ли у вас часом, товарищ
     
  • 2.32, Аноним (32), 19:54, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > на полностью контролируемый нами GitHub

    Что конкретно Microsoft там контролирует? Говна вместо мозгов положили при рождении? Или это Open Source головного мозга?

    Перенести проект с GitHub на свой хостинг - делов на полчаса при хорошем канале.

    // b.

     
     
  • 3.111, Аноним (-), 10:45, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да вообще миррор с него сильно быстрее сделался так то.
     
  • 2.75, Аноним (75), 01:25, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если ломанут GitHub это будет полный коллапс
     
  • 2.106, Неа (?), 09:33, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Шапочку из фольги свою постирай.
     
  • 2.150, username (??), 23:19, 04/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Важный инфраструктурный проект? Ору)
     

     ....большая нить свёрнута, показать (28)

  • 1.2, Аноним (2), 18:53, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    А вот это не очень хорошо. Страны, на которые действуют санкции, теперь не будут иметь доступа к репе.
     
     
  • 2.6, Аноним (6), 19:06, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Страны, на которые действуют санкции, теперь не будут иметь доступа к репе.

    И кто в этом виновать?

     
     
  • 3.8, инстина в последней инстанции (?), 19:08, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Конечно же всякие iPony с фракталами. Один вечный неосилятор всё выпиливает, второй прото проржавел и всё портит и разваливает проекты впихивание ржавых технологий.
     
     
  • 4.95, Аноним (95), 08:14, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ржавые технологии неплохи, что бы вы там не ныли про утечки памяти в редоксе
     
     
  • 5.112, Аноним (-), 10:46, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это пока на синтаксис не посмотришь. Оброс костылями хуже плюсоты.
     
  • 2.9, Аноним (10), 19:10, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Санкции ограничивают продажу услуг, соответственно, относятся только к платным услугам гитхаба. Склонировать репозиторий и предлагать пул-реквесты с бесплатным аккаунтом никто не запрещает.
     
     
  • 3.52, Kuromi (ok), 20:41, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ПОКА не запрещает. Принять нужный закон - не проблема. Могут даже свои.
     
     
  • 4.83, Аноним (10), 02:31, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Принять закон могут какой угодно и где угодно.
    Поэтому надо не забывать о распределенности гита, и не сильно завязываться на специфичные для вендора фичи. В конце концов, если у всех есть локальные копии, всегда можно откатиться на обмен патчами через git send-email. А как одна из копий гит-репозитория гитхаб ничем не хуже других.
     
  • 2.41, Онаним (?), 20:10, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это вдвойне хорошо.
    Что впрочем не отменяет того, что сам факт компрометации инфраструктуры - это очень плохо.
     
  • 2.74, Аноним (74), 01:11, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так это ж отлично
     
  • 2.139, Урри (ok), 21:41, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так это хорошо. Люди всегда должны пожинать последствия своих решений.
     

  • 1.3, Аноним (6), 19:00, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да что вы говорите, как так то?
     
  • 1.4, Аноним (4), 19:04, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > поддержание своими силами Git-инфраструктуры создаёт дополнительные риски безопасности

    Логика ушла и не вернётся.

    Инфраструктура сама себе поддерживает, ага.

     
     
  • 2.63, йо ж (?), 22:25, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Инфраструктура сама себе поддерживает, ага.

    та всё как обычно: на php глобусе принято работать много, долго и тупо, а админы у них настолько суровы что... их нет.

     

  • 1.11, Вован (??), 19:12, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    >Также предлагается запретить прямое добавление изменений, не прошедших предварительного рецензирования.

    Лол. То есть до этого можно было?

     
     
  • 2.13, Аноним (13), 19:15, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Прод тестинг деливери не слышал про такое? Да мейнтенеры даже и не понимают что там меняется от патча поэтому смотрят только по выходу.
     
     
  • 3.72, Аноним (72), 22:52, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Смузи девопсы. Вот так не осилили гит. Перешли в гитхаб, в надежде, что код сам себе ревью сделать и сам себя протестит.
     
  • 2.26, Аноним (10), 19:45, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ключевым разработчикам ядра - конечно.

    Не знаю, как сейчас, но несколько лет назад тех, кто понимает, как работает zend engine, было всего три человека - Дмитрий Стогов, Никита Попов, и китаец с красивым именем Hui. Друг друга они и так ревьюили в своих приватных бранчах.

     
     
  • 3.64, йо ж (?), 22:29, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    итого, "Hui поймёт" - девиз всего их движке. =) думаю, многие согласятся, что подозревали нечто подобное. некоторые - аргументированно и давно.
     
     
  • 4.81, Аноним (10), 02:23, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну как раз эти трое порядок более-менее навели где смогли. Новый код даже читабелен. Но в целом там, да, как в любом проекте с более чем 20-летней историей, черт ногу сломит.
     

  • 1.12, Аноним (13), 19:14, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну конечно у них стоял GitWeb 2.11.0 2016 года. Так это даже не последний патч который был 2.11.4.

    Что характерно это недоразумение еще и написано на С.

     
     
  • 2.21, Аноним (21), 19:39, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    переписывай на руст
     
     
  • 3.28, истина в последней инстанции (?), 19:47, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, и смело закапывай весь проект. Как известно раст не пережил ещё ни один проект.
     
  • 3.57, еманйам (?), 21:27, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    на похапэ
     
  • 2.58, Аноним (-), 21:46, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Интересно сколько минут продержался бы гитеа
     
  • 2.73, Аноним (73), 00:17, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > GitWeb
    > написано на С

    Ты GitWeb с CGit, случаем, не перепутал?

     
     
  • 3.113, Аноним (-), 10:47, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Когда хрустиков такие мелочи смущали? :)
     

  • 1.15, Аноним (15), 19:24, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >PHP
    >обнаружении двух вредоносных коммитов

    Они не ошиблись? Судя по счётчику на гитхабе, там 123393 вредоносных коммитов.

     
     
  • 2.18, Lex (??), 19:32, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Судя по счетчику на опеннете у анонима 38+ тыс вредоносных комментов
     
     
  • 3.27, Аноним (27), 19:47, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это почти на порядок меньше -- лучше выбирать меньшее зло.
     
     
  • 4.66, йо ж (?), 22:30, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да и ноосферу не за$рали^W^W^W на сообщество меньше вреда.
     

  • 1.17, Аноним (17), 19:30, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > В Git-репозитории проекта PHP выявлены вредоносные изменения

    Кто-то закоммитил туда интерпретатор языка PHP. Нанесён колоссальный вред всему IT сообществу. Десятки тысяч детей никогда не смогут нормально программировать после того, как увидели PHP. Бородатые сишники опеннета вместе с двумя анонимусами ЛОРа срочно готовятся к экспедиции в прошлое для того, чтобы не допустить этот инцидент и спасти человечество от страшного будущего.

     
  • 1.22, Аноним (22), 19:42, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Linux-way: нас похакали! Выводим сайты в off-line на целый месяц, проводим тщательный аудит всей инфраструктуры, разворачиваем её заново и выводим в онлайн, сотрудничаем с ФБР и в конце-концов ловим того хакера, от которого получаем ещё больше информации о взломе.

    PHP-way: нас похакали))) А х.з. как это случилось и где дырка))0 Я в админстве не особо силён) Короч го на GitHub я создал, официальная разработка теперь там будет, присоединяйтесь)))0

    Вот поэтому и PHP-помойка.

     
     
  • 2.31, Аноним (10), 19:53, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так Zend давно уже, оказавшись на грани банкротства, продался Perforce и с тех пор вообще никак не участвует в разработке самого PHP, все держится на небольшом сообществе. Инфраструктура как была с тех времен, когда ей занимался Zend, так и осталась, у разработчиков на Си не очень получается заниматься системным администрированием.

    Учитывая ситуацию, вполне понятное решение.

     
  • 2.34, Аноним (32), 19:57, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > проводим тщательный аудит всей инфраструктуры, разворачиваем её заново и выводим в онлайн

    У вас есть на это несколько сотен тысяч баксов, не? Только языком чесать?

    > в конце-концов ловим того хакера, от которого получаем ещё больше информации о взломе.

    БОльшая часть взломов не раскрывается.

    > Короч го на GitHub я создал, официальная разработка теперь там будет, присоединяйтесь)))0

    Единственно правильное решение, когда нет ни ресурсов, ни времени, а работа стоит.

    > Вот поэтому и PHP-помойка.

    Это можно сказать про ваш комментарий и уровень интеллекта.

    // b.

     
     
  • 3.122, Аноним (122), 12:56, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    PHP-головного мозга детектед.
     
  • 3.127, Аноньимъ (ok), 15:12, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Только языком чесать?

    Ты бы и собаке язычком потрепал

     
  • 2.36, Аноним (-), 20:02, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https www opennet ru opennews art shtml num 43915 https www opennet ru openn... большой текст свёрнут, показать
     
  • 2.92, HelloWorld (?), 07:50, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Php норм язык. Вот в Python полный трындец.

    Лучше бы их оба закопать и Perl сверху приложить.

     
     
  • 3.99, анон (?), 08:52, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А перл-то за что?
     
     
  • 4.114, Аноним (-), 10:48, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За компанию?
     
  • 4.128, Аноньимъ (ok), 15:13, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Перл будет охранять нечестивую гробницу.
     
  • 2.103, Lex (??), 09:27, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот поэтому и PHP-помойка.

    "внезапно" оказалось, что программисты( в т.ч сишники ) не очень дружат с администрированием

     
  • 2.121, Аноним (122), 12:55, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну все надо переходить на языки, которые пилят толстые корпарации. C#, Go, Node.js, Oracle Java ждут тебя, мой падаван, любителя корпоративно огороженного софта.
     

  • 1.23, еуые (?), 19:43, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у них просмотра перед коммитом другим разработчиком нет? Если есть, то нужно же всего лишь исключить все коммиты которые прошли "review" оставшиеся и будут "плохими".
     
  • 1.25, Аноним (22), 19:45, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    PHP, Node.js -- два дырявых брата-акробата, которые подрабытывают клоунами смеша достопочтенную IT-публику. Как же хорошо, что OpenNET написан на истинном языке программирования!
     
     
  • 2.29, истина в последней инстанции (?), 19:49, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Раст забыл.
     
  • 2.42, Аноним (42), 20:14, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Неужто на Lisp?
     
     
  • 3.69, Аноним (27), 22:38, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Неужто на Lisp?

    На лиспе хакерньюс, тут какая-то скриптошляпа. Но качество платформы не очень высокое, постоянно то крякозябры из-за koi8r, то код корёжит, то вообще какие-то [an error occurred while processing this directive] -- это не из-за языка, из-за экосистемы языка возможно.

     
     
  • 4.119, Рмшъ (?), 12:48, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по всему, оно тут настолько поддерживаемое, что никогда не будет починена излишняя ширина страницы на телефонах, из-за чего первым делом приходился всё отзумливать, а потом читать, иначе — горизонтальный скрол. Да ещё и кнопки под отправкой поста недостаточной ширины для надписей на них, а капча выходит не сразу, а после попытки отправки.
     
  • 4.129, kissmyass (?), 15:17, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    зато регистрироваться не надо и другие свистоперделки факультативны
     

  • 1.30, Аноним (30), 19:52, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В Git-репозитории проекта PHP выявлены вредоносные изменения

    Это добавление исходников PHP.

     
  • 1.35, Аноним (35), 20:02, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну хоть будем теперь знать, что чуть что можно смело будет пинять на микрософт.
     
     
  • 2.123, Аноним (122), 12:57, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Майки и взломали всем же это ясно.
     
     
  • 3.152, Аноним (-), 10:42, 05/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что за мойки ?
     

  • 1.37, Онаним (?), 20:03, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Воу, воу, воу.
    Короче от сборки свежих версий пока лучше воздержаться.
    Увольте уже девляпсов, возьмите нормальных админов.
     
     
  • 2.45, пох. (?), 20:23, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нормальные за деньги работают, к сожалению.
    А миллиардеры не хотят админить, хотя казалось бы - о еде могут уже и не думать.

    Скажи спасибо, что хоть сами разработчики еще нормальные и смогли вовремя заметить.

     

  • 1.38, YetAnotherOnanym (ok), 20:06, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пц... они расписались в своей неспособности содержать в порядке свои сервера и контролировать работу участников проекта.
     
     
  • 2.40, Онаним (?), 20:09, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К сожалению да.
     
  • 2.89, Аноним (89), 07:08, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто, нельзя было на своих серверах ввести цифровую подпись и предварительное рецензирование коммитов.
     
     
  • 3.97, пох. (?), 08:23, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как будто при взломе сервера кто-то помешает мне закомитить без подписи и реценз... большой текст свёрнут, показать
     
  • 3.104, YetAnotherOnanym (ok), 09:29, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Как будто, нельзя было на своих серверах ввести цифровую подпись и предварительное
    > рецензирование коммитов.

    Не все Линусы.

     

  • 1.39, Ilya Indigo (ok), 20:06, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Так как нет уверенности в надёжности сервера ... перенесли эталонный репозиторий на платформу GitHub.
    И что-то от этого изменилось?
    Вот на GitLab никак нельзя, нужно обязательно на M$ GitHub, где до сих пор нельзя по ключу ED25519 авторизироваться, но зато санкции для Крыма поддерживаются.
     
     
  • 2.46, Gemorroj (ok), 20:32, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    гитлаб такая же говнина. так гитхаб хоть привычный/популярный.
     
     
  • 3.51, Ilya Indigo (ok), 20:39, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > гитлаб такая же говнина

    Что за чушь Вы вбрасываете?
    GitLab ограничивает крымчан?
    GitLab ограничивает использование ED25519 ключей?

    > гитхаб хоть привычный/популярный.

    А, у нас тут хипстер-неасилятор под портретом Ленина нарисовался, тогда понятно, вопросов больше не имею.

     
     
  • 4.59, Аноним (59), 21:47, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Гитлаб дропает продакшн-базу
     
     
  • 5.60, Ilya Indigo (ok), 21:49, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Гитлаб дропает продакшн-базу

    Подробности и пруфы можно, или я должен Вам поверить на слово?

     
     
  • 6.65, Аноним (22), 22:29, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    google://opennet gitlab база данных
     
     
  • 7.68, Ilya Indigo (ok), 22:38, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://www.opennet.ru/opennews/art.shtml?num=45957
    Это? 1 единственный инцидент более чем 3-ёх летней давности?
     
     
  • 8.82, Аноним (10), 02:26, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    3-рех ... текст свёрнут, показать
     
  • 8.134, Михрютка (ok), 17:23, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    дорогой мой, для проекта размером с гитлаб особенно как конторы, торгующей в т ... текст свёрнут, показать
     
  • 4.67, Аноним (22), 22:34, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    GitLab, вообще-то сделан украинцами, у них даже тризуб на страничке "GitLab Hall of Fame" имеется. А когда на Россию и Китай наложили санкции, руководство GitLab'а поставило вопрос о найме сотрудников из этих "неблагонадёжных" стран. И основатель GitLab -- Дмитрий Запорожец не был против блокировки РФ вообще.
     
     
  • 5.71, Ilya Indigo (ok), 22:42, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Не имею ничего против того, что он сделан Украинцами, скорее это огромный плюс!
    Я не знаю и не хочу знать про слухи о том кто там был против или за, но по факту
    1 GitLab полноценно работает в Крыму.
    2 GitLab авторизирует по ключу ED25519.
    3 GitLab можно в любой момент экспортировать и развернуть у себя локально (не проверял).
     
     
  • 6.140, amenshchikov (ok), 22:19, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По факту GitHub и GitLab — две стороны одной медали. Это коммерческие проекты и делается там всё в угоду прибыли. Если завтра удалить все репозитории и аккаунты пользователей с территории России станет выгоднее, чем не удалять их — они будут удалены в одночасье. Собственно, это главное, о чём стоит помнить.
    А в остальном, принимая технические решения о том, где хранить код и где апрувить pull request'ы, нужно уметь трезво взвешивать все риски и выбирать оптимальный вариант.

    Для команды core-разработчиков PHP вариант с GitHub'ом, насколько я знаю, наиболее оптимальный, потому что у них дофига опыта работы с ним в рамках других активностей, а жонглировать несколькими технологиями для решения схожих задач — отличный вариант, но только если вам некуда девать свободное время.

     
     
  • 7.145, Ilya Indigo (ok), 09:21, 31/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ...у них дофига опыта работы с ним...

    Даже не знаю как сказать, чтобы донести мысль правильно и не напороться на срачь.
    Звучит как если бы Вы при сравнении мышей genius и какого-то недавнего бренда, моделей, которые стоят одинаково, но у последних есть боковая прокрутка и возможность переназначить боковые клавиши написали мол: когда бренд молодой он всегда стремиться предоставить что-то новое чтобы иметь возможность конкурировать, но если он станет популярным, то он мало будет отличаться от своего конкурента, и у них ДОФИГА ОПЫТА работы с мышками Genius, по этому они выбрали Genius... и далее бред про жанглирование временем.
    Даже опыт работы с разными видеоплеерами (vlc и mpv/smplayer) отличается гораздо сильнее, чем опыт работы с git-web шкурками, по этому кроме как с мышками разных производителей не знаю с чем и сравнить этот многочисленный и ценный опыт.

     
     
  • 8.146, amenshchikov (ok), 10:05, 31/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно вы меня неправильно поняли Есть core-разработчики PHP Основную часть ... текст свёрнут, показать
     
  • 4.115, Аноним (-), 10:53, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > GitLab ограничивает крымчан?

    Хрен его знает, но юзерам тора они пытаются показать капчу, при том - самозабанив свой же фрейм капчи ... своими же полисями?! Многое говорит о "качестве" кода. В общем не фанатам этого крапа на пхп быковать, вот уж дно-софт.

    А бонусом совершенно отвратительный интерфейс, в котором черт ногу сломит, в отличие от гитхаба и дикие тормоза и жрач оперативки этим кошмариком. Булшит а не софт.

     
  • 2.77, Аноним (75), 01:28, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    После покупки Microsoft GitHub стало более опасней там держать всё если взломают это будет мощно
     
     
  • 3.98, пох. (?), 08:26, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > После покупки Microsoft GitHub стало более опасней там держать всё если взломают
    > это будет мощно

    одно из преимуществ ms - что у них таки наверняка ЕСТЬ бэкап и процедура восстановления. Потому что тот треш что у шитляпа объяснялся очевидным - денег на нормальные бэкапы жадные xoxлы просто зажали. "ну вот мы вам купили за гроши пару свалок в разных местах, ни в одну целиком и на регулярной основе не поместится, ну придумайте что-нибудь". И то же самое с восстановлением - т-по не дали денег на параллельную тестовую инфраструктуру, где его можно было бы кое-как тестировать.

    А у ms деньгов - просто завались.

     
     
  • 4.116, Аноним (-), 10:55, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, ну да, вон в арктический контейнер забэкапались. Ща побегут откапывать его для твоего васянокрапа, а не потомков. Тем более что ты не вон те персонажи и пару лет щит не заметишь вообще, а потом уже и бэкапы хрен найдешь.
     
  • 2.125, Аноним (122), 13:03, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно теперь деньги в фаундейшн просить и микрософта.
     

  • 1.44, Анонимы (?), 20:21, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    nikic@php.net мы тоже скомпрометировали.
     
  • 1.48, Kuromi (ok), 20:36, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Только у меня возникает ощущение, что все эти "странные" взломы как раз для того и происходят, чтобы  разработчики убедившись в своей неспособности поддерживать инфраструктуру перешли на Гитхаб ВНЕЗАПНО принадлежащий компании, которая называла опенсорц вирусной чумой? Я понимаю, конечно, что резервные копии кода есть, но если завтра МС со словом "кек" просто снесет Гитхаб (напрочь) Опенсорц получит урон от которой будет оправляться годами.
     
     
  • 2.70, Аноним (27), 22:42, 29/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Они ведь правда неспособны, кто-то решил напомнить. В данном случае этот кто-то решил сообщить о многолетнем бэкдоре.
     
     
  • 3.100, ms (??), 08:58, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Они ведь правда неспособны, кто-то решил напомнить. В данном случае этот кто-то
    > решил сообщить о многолетнем бэкдоре.

    Но корпорация зла - это все равно мы, смотри не перепутай!

     
  • 3.107, YetAnotherOnanym (ok), 09:34, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > сообщить о многолетнем бэкдоре

    Или заставить поохотиться в тёмной комнате на чёрную кошку,которой там нет. Это очень забавно выглядит со стороны.

     
  • 3.117, Аноним (-), 10:57, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по коду - попытался закосить под невинное изменение, а если не прокатило то на типа-древний-бэкдор. Туповатая социальная инженерия с потугами замести следы.

    Хидер кстати забавный - USER_AGENTT. ЧСХ кто-то сразу заметил "исправление типо" с ... новым типо.

     
  • 2.102, istepan (ok), 09:11, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > завтра МС со словом "кек" просто снесет Гитхаб

    Не снесут из-за юридических обязательств.
    Если это будут делать, то предупредят за несколько дней\недель\месяцев. Успеем скачать... не всё, но самое ценное забрать успеем.

     
     
  • 3.131, Аноним (131), 15:24, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не снесут из-за юридических обязательств.

    вспомните, как парлера вынесли. Щёлк - и нету хостинга, без суда и следствия. Дак что вы там про обязательства говорили?

     
  • 2.124, Аноним (122), 13:00, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пора строить Лепрозорий для опенсорсных проектов. Чтоб нормальных пользователей они не беспокоили.
     
  • 2.141, amenshchikov (ok), 22:41, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не только у вас, но читать такие комменты грустно, потому что создаётся впечатление, что вы любите теории заговоров.

    1. Те, кто интересуется вопросом организации работы с кодом на стороне core-разработчиков PHP, в курсе, что уже далеко не раз поднимались вопросы неудобства собственных инструментов по сравнению с инструментами GitHub'а. В частности, Попов не раз говорил, что GitHub для него удобен, понятен, там есть функциональные возможности, которые пригодились бы сообществу разработчиков PHP, и которых совсем нет в их собственной инфраструктуре. Но они не переходят на GitHub потому что "исторически так сложилось" и потому что, как я понимаю его слова, есть среди core-разработчиков люди, имеющие право вето в инфраструктурных вопросах (по-видимому речь про Лердорфа). Поэтому отъезд на GitHub внезапным точно не назвать.
    2. Если завтра MS решит снести GitHub, то в первую очередь он выстрелит себе в голову, потому что планета сойдёт со своей оси — образно, конечно, выражаясь, но лишь от части. Количество жизненно важных проектов в GitHub'е исчисляется тысячами. Учитывая тенденции последних лет, мне кажется, что каждый двадцатый разработчик под Windows посчитает своим долгом портировать своё приложение на Mac/Linux и никогда больше с MS не иметь ничего общего.
    3. Это git, на секундочку. Любой из разработчиков PHP восстановит репозиторий через 5 минут на другом хостинге. То же касается любого активного проекта. Погибнут только те, где не осталось активных разработчиков, да и там сам код, в большинстве случаев, уцелеет, погибнет только история.

    Поэтому, как мне кажется, всё не так мрачно.

     
     
  • 3.143, Ordu (ok), 22:58, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я никогда не задумывался о таком гипотетическом сценарии, потому что его безбаше... большой текст свёрнут, показать
     
  • 3.148, Kuromi (ok), 14:55, 01/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > — образно, конечно, выражаясь, но лишь от части. Количество жизненно важных
    > проектов в GitHub'е исчисляется тысячами. Учитывая тенденции последних лет, мне кажется,
    > что каждый двадцатый разработчик под Windows посчитает своим долгом портировать своё
    > приложение на Mac/Linux и никогда больше с MS не иметь ничего
    > общего.
    > 3. Это git, на секундочку. Любой из разработчиков PHP восстановит репозиторий через
    > 5 минут на другом хостинге. То же касается любого активного проекта.
    > Погибнут только те, где не осталось активных разработчиков, да и там
    > сам код, в большинстве случаев, уцелеет, погибнет только история.
    > Поэтому, как мне кажется, всё не так мрачно.

    Чисто для проформы - не люблю теорий заговора, да и коммент мой был в игривом духе написан.

    То что Гитхаб удобен я давно заметил. Не зря же даже Мозилла кучу свои субразразработок (все что было с Растом, например, Серво, и прочее) изначально вели на Гитхабе. Да и сейчас там что-то продолжается именно на Гитхабе. И это притом что Багзилла как бы "родной продукт, родная среда".

    "Учитывая тенденции последних лет, мне кажется,  что каждый двадцатый разработчик под Windows посчитает своим долгом портировать своё  приложение на Mac/Linux и никогда больше с MS не иметь ничего  общего."
    Ну, не хочу портить настроение, но мы уже слышали подобное когда МС например хотели подмять под сбя магазины видеоигр и софта того же. Тот же Вальв начал кричать что "Линукс - лучшая платформа для игр" и хоть вода продолжает камень точить прям прорыва пока не видно, а лозунгов поубавилось.

    "Любой из разработчиков PHP восстановит репозиторий через 5 минут на другом хостинге. То же касается любого активного проекта."

    Абсолютно верно, но как вы сами говорите - часть все таки погибнет. Да, мелочь, да полузаброшенная, но имиджовый и прямой урон будет. Микрософту кстати будет прямой убыток, но им не привыкать.

     

  • 1.49, Ыноним (?), 20:37, 29/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Абсолютно было предсказуемо, что они на гитхаб перелезут. Вот ведь в чем штука:

    $ grep -i php scum
        Rasmus Lerdorf (PHP Project Founder)

     
  • 1.76, Аноним (-), 01:27, 30/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ...этими изменениями оказался сам код похапэ.
     
  • 1.78, Аноним (75), 01:28, 30/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    И снова очередной взлом
     
     
  • 2.80, Аноним (131), 02:15, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сложно не взломать, когда пароли вида "ромашка".
     

  • 1.87, mumu (ok), 06:20, 30/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Не до конца понял, поломали все же сервер или у них не было проверки подписи коммитов и просто внесли от чужого имени?
     
     
  • 2.88, Аноним (131), 06:32, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да там вообще проходной двор какой-то, а не сервак.
     
  • 2.90, Аноним (90), 07:31, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не было подписи коммитов и свое чудо git
     

  • 1.118, Skynin (?), 11:59, 30/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да, по логам есть такое:

    'HTTP_USER_AGENT' => '<?php eval(base64_decode(\"Lyo8P3BocCAvKiovCkBlcnJvcl9yZXBvcnRpbmcoMCk7CkBzZXRfdGltZV...

    закрыли своим fast_reject'ом пару недель вроде как

    а вона в чем дело было

     
     
  • 2.137, Аноним (137), 19:13, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты ошибся, там User-Agentt: zerodium[eval]
     

  • 1.120, Аноним (120), 12:55, 30/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Дополнительно рассматривается вопрос о переходе к обязательному заверению коммитов цифровой подписью разработчика. Также предлагается запретить прямое добавление изменений, не прошедших предварительного рецензирования.

    Это хорошая практика для всех проектов. Необходимо еще ключи секретные аппаратно защищать.

     
     
  • 2.126, Аноним (122), 13:03, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Необходимо еще исходный код отправлять в министерство проверки исходного кода.
     
     
  • 3.130, Аноним (131), 15:19, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вот вы смеётесь, а в штатах сахарные мальчики регулярно ходят в конгресс... на собеседование, правильно ли они ведут свои соцсети.
     
     
  • 4.138, Ананимас123 (?), 20:34, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это другое, понимать надо
     
  • 2.142, amenshchikov (ok), 22:51, 30/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Практика с цифровыми подписями хорошая, но нужно помнить, что обязательное заверение коммитов ими — это платная фича на GitHub'е.
    В данном случае никто не преследовал цели сорвать куш (по $4 с носа в месяц для core-разработчиков PHP — много не наберётся), но если массово погнать всех на тариф GitHub Pro, получится прилично.
     

  • 1.133, Аноним (133), 17:17, 30/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    какой ужас
     
  • 1.135, kusb (?), 18:15, 30/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вредоносные регрессии...
     
  • 1.149, Аноним (149), 20:41, 01/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Следующая новость: у Расмуса Лердорфа выявлены вредоносные изменения
     
  • 1.151, Аноним (151), 23:55, 04/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Дополнение Из-за проведения аудита формирование новых релизов заморожено на дв... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру