https://opennet.dev/openforum/vsluhforumID3/124558.html Компания Google представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), в котором обобщён имеющийся опыт по защите инфраструктуры разработки от атак, осуществляемых на стадии написания кода, тестирования, сборки и распространения продукта...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55345<br> https://opennet.dev/openforum/vsluhforumID3/124558.html#87 Sat, 26 Jun 2021 11:12:25 GMT &gt; Правильно делают что начинают с практики, а не с сотен многотомников по теории... вот что желание кодить действительно отобьет<br><br>Но новость о другом. Не о начале с практики, а о разборе синяков от граблей в процессе практики. Начинали бы с сотен томов, не было бы синяков и разбора полётов.<br><br>Наблюдаю этих желающих кодить за деньги - мрак и ужас от них.<br><br>Практика и учёба должны быть сбалансированы, должна быть или книга или учитель. А не косяки Незнайки на голом энтузиазме.<br> https://opennet.dev/openforum/vsluhforumID3/124558.html#86 Mon, 21 Jun 2021 08:28:52 GMT &gt;A. Включение в исходный код изменений, содержащих бэкдоры или скрытые ошибки, приводящие к уязвимостям.<br>&gt;Пример атаки: "Hypocrite Commits" - попытка продвижения в ядро Linux патчей с уязвимостями.<br>&gt;Предлагаемый метод защиты: независимое рецензирование каждого изменения двумя разработчиками.<br><br>Достаточно устного приказа Лица, Принимающего Решения. В случае применения фреймворка - в том числе двум другим разработчикам приказа сказать "ОК". После этого всё остальное бессмысленно.<br><br>&gt;E. Продвижение вредоносного кода через некачественные зависимости.<br>&gt;Предлагаемый метод защиты: рекурсивное применение требований SLSA ко всем зависимостям (в случае event-stream проверка бы выявила сборку кода, не соответствующего содержимому основного Git-репозитория).<br><br>Перевод на русский: "форкнуть и переписать всю софтварную экосистему под свои требования и использовать только свой софт. Чужие зависимости - не использовать". Нереально.<br> https://opennet.dev/openforum/vsluhforumID3/124558.html#80 Sat, 19 Jun 2021 10:23:58 GMT А что не так к Google с безопасностью?<br> https://opennet.dev/openforum/vsluhforumID3/124558.html#79 Sat, 19 Jun 2021 10:21:35 GMT Нет предела совершенству.<br> https://opennet.dev/openforum/vsluhforumID3/124558.html#78 Sat, 19 Jun 2021 07:35:17 GMT Они так и работают. С детства авиамоделизм, потом эксперементальные работы и если всё это желание не отбило, то уже институт и дальше.<br> https://opennet.dev/openforum/vsluhforumID3/124558.html#77 Sat, 19 Jun 2021 06:25:03 GMT Сначала надо:<br><br>1. Начать подписывать код PGP ключами (пример: https://www.altlinux.org/Работа_с_ключами_разработчика).<br><br>2. Обеспечить надежное хранение закрытых PGP ключей разработчиков (например: https://www.gentoo.org/news/2019/04/16/nitrokey.html)<br><br>3. Обеспечить обмен публичными ключами PGP с сертификацией паспортных данных и E-mail (https://www.opennet.ru/docs/RUS/gph/ch03s02.html)<br><br>4. Обеспечить работу серверов ключей (https://www.opennet.ru/opennews/art.shtml?num=51006) в данном случае к серверам прикасался не надо, надо профиксить только gnupg.<br><br>5. Сначала верифицировать скачанные исходники по PGP подписи, а потом уже читать исходники, компелять бинарники.<br> https://opennet.dev/openforum/vsluhforumID3/124558.html#76 Sat, 19 Jun 2021 05:36:41 GMT кстати !<br>"внутренняя VPN сеть" - та же самая "моя локальная сеть, которой я доверяю".<br>пруф ми вронг.<br> https://opennet.dev/openforum/vsluhforumID3/124558.html#75 Sat, 19 Jun 2021 00:53:09 GMT Очень хорошо если у таких людей теория отобьёт желание кодить.<br> https://opennet.dev/openforum/vsluhforumID3/124558.html#74 Fri, 18 Jun 2021 19:19:02 GMT под роспись о гостайне - вряд ли... поскольку это не гостайна. Можете вздохнуть свободнее...<br>