https://mobile.opennet.me/openforum/vsluhforumID3/116356.html Сообщается (https://archive.li/3Rsqn) об обнаружении следов взлома официального репозитория пакетов PEAR (http://pear.php.net/) (PHP Extension and Application Repository), предлагающего дополнительные функции и классы для языка PHP. В ходе атаки злоумышленникам удалось получить доступ к web-серверу проекта и внести изменения в файл "go-pear.phar", в котором содержится установочный комплект с пакетным менеджером "go-pear". Модификация была осуществлена 6 месяцев назад. <br><br><br>Потенциально могут быть скомпрометированы (https://twitter.com/pear/status/1086634503731404800) системы пользователей PHP, за последние 6 месяцев выполнявших установку пакетного менеджера "go-pear" из phar-архива (как правило, такая установка практикуется пользователями Windows). Для проверки наличия вредоносного кода в установленном файле <br>рекомендуется сравнить хэши имеющегося у пользователя архива "go-pear.phar" с аналогичной версией архива (https://github.com/pear/pearweb_phars/releases), поставляемой через официальный репозиторий на https://mobile.opennet.me/openforum/vsluhforumID3/116356.html#74 Sat, 26 Jan 2019 19:29:15 GMT &gt; А учитывая что под этим "замком" лежит троянский пакет - только дурак <br>&gt; и будет его ломать.<br><br>Я все таки не пойму, зачем ездить на запорожце, если за ту же самкю цену можно ездить на мерине?<br>MD5 дырявый ! Обьясните, может я правда что то не догоняю? Почему не использовать более надежные хэши ?<br><br>MD5 ломается и давно, посмотрите в андерграунде как пацаны делают redistributed calculation network и коллективно ломают MD5 и довольно быстро<br><br>Мне правда не понятна какая-то странная упрямость пользовать дырявое корыто...<br> https://mobile.opennet.me/openforum/vsluhforumID3/116356.html#73 Fri, 25 Jan 2019 06:58:09 GMT &gt; лол-что? вобще-то практически все "отгружают" свой код "мимо дистрибутивов"<br><br>Да и тут речь о том, что существующая система втаскивания в репы похоже себя исчерпывает. есть подозрения, что проблема уже есть, просто дистры с комьюнити помельче чувствуют её раньше.<br><br> https://mobile.opennet.me/openforum/vsluhforumID3/116356.html#72 Fri, 25 Jan 2019 06:55:02 GMT &gt; Это не "модный" тренд, а _неизбежный_ тренд. Софт становится сложнее, обновляется чаще, мейнтейнеры не справляются.<br><br>Ну вот например тыкал в gems, cpan. На сложных приложениях (например gitlsb) gems выдавали циклические зависимости - наблюдал лично. Т.е. мейнтейнеры специфики тоже могут несправляться, увы. и с cpan редко, но натыкался на разные спецэффекты. Ну классика - обновил собссна perl - добро пожаловать, вспоминай где какие cpan-овские окружения стоят, давай чинить.<br><br>&gt; При этом, я не знаю как там в дебиане дела обстоят или в rpm-based дистрах, но в генте, допустим, нет никаких проблем использовать github в качестве площадки для разработки оверлеев, но каких-нибудь инструментов специфичных для оверлеев я не замечал.<br><br>а мне всё же кажется пакетные менеджеры (и портажи, если гента тебе ближе) должны иметь плагины для работы с "полурепами" gem/cpan/compose/etc.<br><br><br><br>&gt; Ещё неплохо было бы, помимо системы тестирования оверлеев, встроить систему типа patreon'а, <br>&gt; чтобы все кому это интересно могли б https://mobile.opennet.me/openforum/vsluhforumID3/116356.html#71 Thu, 24 Jan 2019 23:17:58 GMT Это не "модный" тренд, а _неизбежный_ тренд. Софт становится сложнее, обновляется чаще, мейнтейнеры не справляются. При этом, я не знаю как там в дебиане дела обстоят или в rpm-based дистрах, но в генте, допустим, нет никаких проблем использовать github в качестве площадки для разработки оверлеев, но каких-нибудь инструментов специфичных для оверлеев я не замечал. Например, было бы неплохо иметь инфраструктуру для тестирования оверлеев. Для этого ведь даже не обязательно покупать железо для сборки и тестирования всего софта из всех оверлеев: все вычислительно натужные задачи можно свалить на пользователей или энтузиастов, а централизованно лишь собирать статистику успешных и неуспешных установок и централизованно же раздавать тестовые наборы, для проверки работоспособности установки.<br><br>Ещё неплохо было бы, помимо системы тестирования оверлеев, встроить систему типа patreon'а, чтобы все кому это интересно могли бы оплатить выполняемые работы. Вот тогда были бы шансы, а пока мейнтейнеры продолжают свои попытки https://mobile.opennet.me/openforum/vsluhforumID3/116356.html#70 Wed, 23 Jan 2019 23:05:54 GMT Чувак написал вполне логичный коммент в свете последних событий, а этот, видимо, кроме вордпресса придумать ничего не смог. Пхпшные штуки тянут зависимости с собой, и кроме голого пхп редко надо чтото доустанавливать, это лучшая практика<br> https://mobile.opennet.me/openforum/vsluhforumID3/116356.html#69 Tue, 22 Jan 2019 17:56:20 GMT У меня вообще так друг умер! <br> https://mobile.opennet.me/openforum/vsluhforumID3/116356.html#68 Tue, 22 Jan 2019 15:35:11 GMT &gt; и, тем более, исходниками<br><br>Комментарии же!<br> https://mobile.opennet.me/openforum/vsluhforumID3/116356.html#67 Tue, 22 Jan 2019 14:40:31 GMT например, крючок в деревне не заклинит от того, что дверь разбухла от влаги или перемерзла от холода. Надысь выковыривал знакомой "нормальный замок", а то она могла в свой деревенский дом внезапно не попасть. А собаке открыть зимой дверь он не даст ничем не хуже "нормального замка"<br><br>А учитывая что под этим "замком" лежит троянский пакет - только дурак и будет его ломать.<br><br> https://mobile.opennet.me/openforum/vsluhforumID3/116356.html#66 Tue, 22 Jan 2019 14:37:03 GMT Любому понятно, что ваши товарищи не то пилили.<br>