Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В RubyGems выявлено 724 вредоносных пакета, opennews (??), 22-Апр-20, (0) [смотреть все] Никогда, ни в одном, открытом репозитории не было вредоносных пакетов и вот нате, Аноним (1), 10:26 , 22-Апр-20, (1) +11 // ну, согласись, 700 штук с двух акаунтов - это все же достижение , нах. (?), 11:47 , 22-Апр-20, (14) +8 Для публично открытых на запись репозиториев следовало бы придумать другое наз, gogo (?), 14:13 , 22-Апр-20, (24) +11 // crapository - звучит продвигай идею в палату мер и весов, мы тебя поддержим , Константавр (ok), 15:08 , 22-Апр-20, (28) +12 // Тогда уж coprository , Nxx (ok), 12:16 , 23-Апр-20, (48) Думать что в закрытом ПО нет вредоносного кода - это как закрыть глаза руками и , заминированный тапок (ok), 16:08 , 22-Апр-20, (31) –2 // При чем тут закрытый код Речь про открытые репозитории, неважно, что в них лежи, MadeInRussiaPlus (?), 10:41 , 24-Апр-20, (55) // приношу извининения, тк я не думал, что существуют настолько открытые репозитори, заминированный тапок (ok), 11:22 , 24-Апр-20, (56) Как хорошо, что не использую софт на руби , Аноним (1), 10:32 , 22-Апр-20, (2)   // Рад за коллегу, но , Аноним (3), 10:39 , 22-Апр-20, (3) +6   // 1 Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать 2 Контр, Аноним (1), 10:51 , 22-Апр-20, (8) +4   // оно примерно так и работает фактическимеханизм отличия хороших от плохих в студи, JL2001 (ok), 11:37 , 22-Апр-20, (12)   1 Идентификация пакетов в репозитории строго по подписи OpenPGP ключа 2 Строга, Аноним (21), 12:59 , 22-Апр-20, (21) –1   Да подпись тут -- инструмент, вопрос в доверии к ней и подписавшему Это зада, Michael Shigorin (ok), 14:16 , 22-Апр-20, (25) +2   gpg --check-trustdbДает возможность верифицировать базу публичных ключей Можно в, Аноним (45), 06:19 , 23-Апр-20, (45)   и что же им помешает набрать подписи , JL2001 (ok), 13:07 , 24-Апр-20, (58)   А говнокодомакаки как костылили с использованием левых модулей, так и будут дале, microsoft (?), 19:17 , 22-Апр-20, (34)   Хочется M монопольнои контролировать верификацию пакетов в GNU Linux Сколько б, Аноним (45), 06:30 , 23-Апр-20, (46)   Хорошие разработчики тоже используют инструментарий SDK к примеру и вообще чужо, Аноним (3), 11:56 , 22-Апр-20, (16)   Так ведь НЕ БЫЛИ скомпроментированы существующие пакеты Злоумышленники создали Н, funny.falcon (?), 13:16 , 22-Апр-20, (23) +3   Да на Node js тебе ничего не угрожает , Аноним (9), 10:53 , 22-Апр-20, (9) +7   // И JS тоже нигде не использую, даже dbus polkitd не устанавливаю , Аноним (21), 13:01 , 22-Апр-20, (22) +1   В зависимости подставить можно Если нет - то тут уж у кого глаз острее, КО (?), 10:40 , 22-Апр-20, (4) а сколько их в нпм , Аноним (5), 10:40 , 22-Апр-20, (5) +1 // NPM всего-то в 100 раз больше размером, Аноним (7), 10:48 , 22-Апр-20, (7) +1 // Гусары, молчать , Michael Shigorin (ok), 14:17 , 22-Апр-20, (26) +1 Низабудим про лифтпад 111, Lex (??), 01:18 , 23-Апр-20, (41) +1 И за RubyGems стоит компания Ruby Inc, у которой репа и все с ней связанное - ос, Аноним84701 (ok), 17:47 , 23-Апр-20, (54) +1 Там даже целенаправленный зловредный код может быть опасен , Аноним (9), 10:54 , 22-Апр-20, (10) Если я правильно посмотрел, то в rubygems всего 10620 пакетов 724 от этих 10620, Аноним (7), 10:46 , 22-Апр-20, (6) // Это вы нашли пока только 724Думаешь, у меня было только два акаунта , разработчик (?), 12:03 , 22-Апр-20, (17) +6 репозитории, говорили они, мантейнеры, говорили они, JL2001 (ok), 11:26 , 22-Апр-20, (11) // какие майнтейнеры Там практически анонимная свалка , Константавр (ok), 15:10 , 22-Апр-20, (29) // а кто, используя RubyGems, понимает это большинство считают репозиторием а не с, JL2001 (ok), 13:04 , 24-Апр-20, (57) невнимательный разработчик ох уж эта ваша политкорректность , Аноним (18), 12:16 , 22-Апр-20, (18) –1 // А как правильно Негр , Аноним (30), 15:13 , 22-Апр-20, (30) Не удивительно что в одном из лучших и крупнейших архивах яп выявлены троянчики , robot228 (?), 12:32 , 22-Апр-20, (19) –1 RubyGerms, user (??), 12:51 , 22-Апр-20, (20) Как так-то Как так-то , Аноним (33), 19:04 , 22-Апр-20, (33) Может макаки уже начнут проверять имена пакетов и перестать ныть когда сами вино, microsoft (?), 19:20 , 22-Апр-20, (35) // Как, одной командочкой скачивая пакетик leftpad-makes-everything-good вместе с, Онаним (?), 20:51 , 22-Апр-20, (37) А как ты узнаешь, что тебе нужно, и как оно называется Простые батарейки конечн, Аноним (39), 21:26 , 22-Апр-20, (39) // Не использовать такое уг в проекте Иииии проверять то что подключаеш а не верит, microsoft (?), 21:48 , 22-Апр-20, (40) Количество и частота скачиваний, количество звёзд и issue в т ч исправленных в, Lex (??), 01:23 , 23-Апр-20, (42) // Если бы это ещё работало Обычно ближе у 1 100 скачиваний, но протухло, у 2 10, , Аноним (39), 02:20 , 23-Апр-20, (44) Лучший критерий - время загрузки первой версии , nebularia (ok), 12:20 , 23-Апр-20, (50) Хы осталось дождаться, когда эти исследователи доберутся до hex pm , YetAnotherOnanym (ok), 21:09 , 22-Апр-20, (38) Помнити лифтпад , Аноним (43), 01:49 , 23-Апр-20, (43) +1 Зловещие мертвецы, Аноним (47), 11:14 , 23-Апр-20, (47) Ну частично сами виноваты - надо быть конченым чтобы различать - и _ в названиях, Аноним (52), 16:43 , 23-Апр-20, (52) 1,2,4,5,6,11,18,19,20,33,35,38,43,47,52

Сообщения

[Сортировка по времени | RSS]

2. "В RubyGems выявлено 724 вредоносных пакета"	+/–
Сообщение от Аноним (1), 22-Апр-20, 10:32
Как хорошо, что не использую софт на руби.
Ответить | Правка | Наверх | Cообщить модератору

	3. "В RubyGems выявлено 724 вредоносных пакета"	+6 +/–
	Сообщение от Аноним (3), 22-Апр-20, 10:39
	Рад за коллегу, но > проблема не специфична для RubyGems и касается других популярных репозиториев
	Ответить | Правка | Наверх | Cообщить модератору

	8. "В RubyGems выявлено 724 вредоносных пакета"	+4 +/–
	Сообщение от Аноним (1), 22-Апр-20, 10:51
	1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать! 2. Контролировать каждому и верифицировать OpenPGP ключи хороших разрабов. 3. Тулзы которые грузят что-то с реп должны автоматом проверять подпись OpenPGP.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "В RubyGems выявлено 724 вредоносных пакета"	+/–
	Сообщение от JL2001 (ok), 22-Апр-20, 11:37
	> 1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать! оно примерно так и работает фактически > 2. Контролировать каждому и верифицировать OpenPGP ключи хороших разрабов. механизм отличия хороших от плохих в студию (плохих предлагаю скриптом сразу расстреливать) > 3. Тулзы которые грузят что-то с реп должны автоматом проверять подпись OpenPGP. оно так и работает чаще всего (https всякий)
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Не примерно надо, а точно!"	–1 +/–
	Сообщение от Аноним (21), 22-Апр-20, 12:59
	1. Идентификация пакетов в репозитории строго по подписи OpenPGP ключа. 2. Строгая верификация публичных OpenPGP ключей пользователей: https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4 Скрипт для отстрела левых пакетов в репозитории: Создаем список публичных ключей не прошедших проверку: gpg --check-trustdb Удаляем все пакеты с репозитория без подписи или подписанные ключами не прошедшими проверку. 3. Каждый пользователь репозитория должен у себя поддерживать, периодически проверять, публичные ключи разрабов пакетов и по них верифицировать скачанные с репозитория пакеты.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Не примерно надо, а точно!"	+2 +/–
	Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:16
	Да подпись тут -- инструмент, вопрос в доверии к ней (и подписавшему).  Это задачка на репутацию, а не на криптуху.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Задача именно на криптуху."	+/–
	Сообщение от Аноним (45), 23-Апр-20, 06:19
	gpg --check-trustdb Дает возможность верифицировать базу публичных ключей. Можно в настройках потребовать чтобы каждый публичный ключ имел не 3, а 5 подписей. Эти 2 экаунта, что 700 зловредов запостили точно не собрали бы даже 3 подписей. Репутация здесь больше о корректности работы с ключиками. Если небрежно относится к хранению приватных ключей и подписывать левые публичные ключи, то создаются проблемы. Придется добавлять blacklist с плохими пользователями ключей и не учитывать их подписи при верификации. Если команда длительное время развивает проект и сама его использует, то вероятность внедрения закладок низкая. Когда забежал и сразу пару сот проектов в репу загнал, а публичный ключ его никто не подписал, то это наверняка зловреды и отсутствие подписей публичного ключа значительно притормозил их распространение.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Задача именно на криптуху."	+/–
	Сообщение от JL2001 (ok), 24-Апр-20, 13:07
	> gpg --check-trustdb > Дает возможность верифицировать базу публичных ключей. > Можно в настройках потребовать чтобы каждый публичный ключ имел не 3, а > 5 подписей. > Эти 2 экаунта, что 700 зловредов запостили точно не собрали бы даже > 3 подписей. и что же им помешает набрать подписи???
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Не примерно надо, а точно!"	+/–
	Сообщение от microsoft (?), 22-Апр-20, 19:17
	А говнокодомакаки как костылили с использованием левых модулей, так и будут дале
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	46. "Не примерно надо, а точно!"	+/–
	Сообщение от Аноним (45), 23-Апр-20, 06:30
	Хочется M$ монопольнои контролировать верификацию пакетов в GNU/Linux? Сколько будете со счета списывать за загрузку GNU/Linux? https://www.opennet.ru/openforum/vsluhforumID3/120270.html#190
	Ответить | Правка | Наверх | Cообщить модератору

	16. "В RubyGems выявлено 724 вредоносных пакета"	+/–
	Сообщение от Аноним (3), 22-Апр-20, 11:56
	Хорошие разработчики тоже используют инструментарий. SDK к примеру и вообще чужой код, в том числе открытый. Но https://www.computerra.ru/261789/kak-prilozheniya-shpionyat-.../ И как нам, хорошим, быть?
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	23. "В RubyGems выявлено 724 вредоносных пакета"	+3 +/–
	Сообщение от funny.falcon (?), 22-Апр-20, 13:16
	Так ведь НЕ БЫЛИ скомпроментированы существующие пакеты. Злоумышленники создали НОВЫЕ пакеты от СВОЕГО имени. Просто имена подобрали подходящие на существующие: если кто-то опечатается, или в поиске выберет не тот, то попадётся.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	9. "В RubyGems выявлено 724 вредоносных пакета"	+7 +/–
	Сообщение от Аноним (9), 22-Апр-20, 10:53
	Да на Node.js тебе ничего не угрожает.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	22. "В RubyGems выявлено 724 вредоносных пакета"	+1 +/–
	Сообщение от Аноним (21), 22-Апр-20, 13:01
	И JS тоже нигде не использую, даже dbus & polkitd не устанавливаю.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема