Компания Sonatype, специализирующаяся на защите от атак, манипулирующих подменой программных компонентов и зависимостей (supply chain), опубликовала результаты...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59936
Потому что любая зависимость это плохо, а старая, закоренелая зависимость это в двойне плохо. Избавляйтесь от зависимостей пацаны.
Переизобретайте strsplit() пацаны.
Может использовать Маркировку? Если серьезные проекты всеже проверяют зависимости ручками, то они бы и могли делать пометки для используемой либы типа рекомендованая или нет.
Арч например старые пакеты может выкинуть в АУР из основных реп. Как было с sulphid. Своего рода маркер, думается после этого кол-во установок оного уменьшилось всеже.
Приличные проекты с собой таскают нужные библиотеки нужных версий в исходниках, или подтягивают эти сорцы при попытке собрать. Хочешь зависимость поновее - не вопрос, но это не поддерживается и не проверяется, всё сам ручками.
АгА, а потом в таскаемых библиотеках нужных версий найдётся уязвимость, а те и дальше продолжат их таскать.
Риски нужно взвешивать правильно. Библиотека уязвима? ОК. Если к ней имеет доступ кто-то недоверенный, срочно обновляем. А если нет — ну и бох с ней. Например: в webp выявлена уязвимость. Означает ли это, что срочно надо пересобирать корпоративное приложение на электроне? Нет. Почему? Потому что корпоративное приложение на электроне webp не показывает, и один пользователь другому пользователю этот webp не подсунет: нет такой возможности.
А вот это, в общем-то, нуждается в доказательствах. Подчас - весьма и весьма нетривиальных. Ей-ей, пересборка проще будет.
Конечно, пересборка проще. Доказывать, что новая версия не вызовет проблем, не надо. Достаточно сказать "у меня на виртуалке всё работает!"
> Конечно, пересборка проще. Доказывать, что новая версия не вызовет проблем, не надо.
> Достаточно сказать "у меня на виртуалке всё работает!"Тесты - автоматизированы в пайплайне, semver в наличии, чейнджлог версии с фиксом как правило есть - а вот _нормальный_ разбор потенциальных возможностей этот самый webp куда-нибудь нетривиальным образом присунуть - штука изрядно головоемкая. Но да, если ограничить этот разбор "Мамой клянус! копку "крутить webp" я не делаль!" - то с пересборкой и правда можно не возиться.
Тест не является доказательством корректности.
> Тест не является доказательством корректности.Оттож. И даже "группа тестов", включая и ручные функциональные и интеграционные - не является. Более того, "видимая работоспособность" приложения "в моменте" - тоже нифига ничего не доказывает, обновляй-не-обновляй - сейчас работает, через две минуты "ой, поломалося", ктожзнал-то, что можно строку на 10 мегабайт в поле ввода сунуть?
С "доказательствами" тут вообще все не очень, ага. Но good enough результат в автоматизированном режиме вполне себе можно получать и получить "задешево".
Тянет на теорему Эскобара.
> Тянет на теорему Эскобара.Не, ну можешь и дальше ничего не делать - "инцидент ИБ" он то ли будет, то ли нет, а если и будет - то это враги его благородию... - делов-то? Даже не уволят, скорее всего ).
Почему ты так озадачился мной и моим увольнением? Я всего лишь намекал, что выбор варианта зависит от продукта.
> Почему ты так озадачился мной и моим увольнением? Я всего лишь намекал,
> что выбор варианта зависит от продукта.Эм. Ну, я н-ннадеюсь, что я тебя не нанимал - и не мне тебя увольнять, всего лишь намекал, что подход "И так сойдет!" хорошо-б не "сходил"
А когда устраняли одну проблему не добавляя две новых?
Иначе параноидальные обновления давно бы прекратились. :)
Что за чушь.
Таскать библиотеку другого проекта в своём проекте это моветон.
Не должно быть в проекте ничего лишнего. Разве что какой-нибудь гит сабмодуль.
Скачиванием либ при попытке билда занимаются компании которым начхать на всех (вроде гугла). Опционально это не является чем-то плохим, но добровольно-принудительно это варварство. Не делайте так.
я слышал о, почившем на волне очередного хайпа, гениальном конструкторе, который затерялся где-то в вечности, изобретая очередное колесо
Добавлю к предидущему.
А уже после очищать репы от мусора
А может и не нужно этого. Нормальный прогер не заинтересован каки всякие использовать
В PHP 8 какая-то бяка поменяла аргументы местами в функции join. Пришлось изобретать strjoin.
пыхерам в целом страдать не привыкать
Можно поподробнее?Сам похапешник и всю жизнь первым аргументом передавал разделитель, вторым - массив, который нужно соединить. После вашего сообщения удивился, зная любовь похапешников к сохранению обратной совместимости (из-за которой до сих пор приходится волочить трёхзвенныхе операторы сравнения === и !=== ).
join всегда был алиасом к implode. Смотрим документацию по implode.
php4 ( https://php-legacy-docs.zend.com/manual/php4/en/function.imp... ): string implode (string $glue, array $pieces)
php8 ( https://www.php.net/manual/en/function.implode.php ): implode(string $separator, array $array): string
что нужно курить, чтоб назвать джойн имплодом?
Там же в доках написано - $glueИ название implode как бы референс к сжимаемущемуся кульку.
https://www.merriam-webster.com/dictionary/implodeгде ты здесь видишь "сжимающийся кулек"? и причем тут... клей? (может авторы вдохновлялись клей-моментом?)
> где ты здесь видишь "сжимающийся кулек"? и причем тут... клей? (может авторы
> вдохновлялись клей-моментом?)Выше же написано:
php4 ( https://php-legacy-docs.zend.com/manual/php4/en/function.imp... ): string implode (string $glue, array $pieces)Вот вам и клей.
Я же говорю, отсылка. К употреблению клея через кулёк. Токсикоман когда вдыхает кулёк сжимается (implode).
> где ты здесь видишь "сжимающийся кулек"?Вот тут:
> to burst INWARD
> to COLLAPSE INWARD as if from external pressureПлюс, сделано как антоним слову explode() - название функции, наоборот, разбивающей строку на несколько.
> что нужно курить, чтоб назвать джойн имплодом?Английский?
голландский!
Из документации к PHP 4:implode() can, for historical reasons, accept its parameters in either order.
То есть, ещё 20 лет назад в документации был задокументирован порядок аргументов "разделитель, массив" и было примечание, что обратный порядок аргументов тоже работает по историческим причинам (но официально не поддерживается).
Через 20 лет костыль выпилили. И тут кто-то проснулся.
> Переизобретайте strsplit() пацаны.Для современного кодера написать strsplit это проблема? Понимаю, вместо этого нужно подключить Модуль strsplit, который притянет модули abstract-split, split-by-str, split-by-re, better-re и пойти пить смузи. Данное решение несомненно более надежное и решит проблему с уязвимостями (нет).
> Для современного кодера написать strsplit это проблема?Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux https://www.opennet.dev/opennews/art.shtml?num=59867
> современного
Уязвимости в библиотеках X.Org, две из которых присутствуют с 1988 года https://www.opennet.dev/opennews/art.shtml?num=59906
>> Для современного кодера написать strsplit это проблема?
> Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux
> https://www.opennet.dev/opennews/art.shtml?num=59867А тесты на тамошний strsplit есть? Или как обычно компилится значит работает?
>> современного
> Уязвимости в библиотеках X.Org, две из которых присутствуют с 1988 года https://www.opennet.dev/opennews/art.shtml?num=59906А причем тут strsplit? Мозг совсем высох? Ну ты ставь модули на каждый чих, не забывай.
> А тесты на тамошний strsplit есть? Или как обычно компилится значит работает?Настоящий сишник не пишет тесты. Он уверен в своих силах. Он не какой-то там npm leftpad-чик. Он напишет свой strsplit. И не покроет его тестами. Тесты для слабаков.
>>> современного
>> присутствуют с 1988 года
> А причем тут strsplit?А причем тут "современного"? Видать ты считаешь, что современный кодер — это фигня, а вот ДИДЫ — это наше всё. ДИДЫ не ошибаются. А я показал, что это не так. ДИДЫ, кстати, ошибались не только на уровне кода, но и в самих стандартах. Один лишь клиртекст DNS чего стоит — сиди прослушивай, кто где сидит. Или например иксовая концепция "каждое приложение может заскриншотить содержимое окна любого другого приложения". Это натуральный MS-DOS — тотальное отсутствие изоляции, сиди кейлоггерь sudo. Ну или например приколюха ДИДОВ под названием ICMP redirects. Нужно сидеть и вычитывать каждый sysctl, чтобы понаотключать все свиньи, заботливо подложенные ДИДАМИ. Или например такой прикол: оказывается написание IPv4-адреса не обязано быть в десятичной системе счисления. Тоже привело к уязвимостям, когда одна либа ожидает там разделенные через точку десятичные числа, а другая либа пытается следовать тому, что там понасочиняли в RFC ДИДЫ. Казалось бы — кто в здравом уме будет писать айпишники не в десятичной системе? А вот ДИДАМ такая мысль показалась прикольной (научный термин — смузиприколюха хиппанутых смузиДИДОВ).
Так что да, современный кодер гораздо лучше ДИДОВ. Кодер, который не умеет ничего, кроме npm install leftpad, лучше, чем ДИД, который из прошлого продолжает нам гадить из своих невнятных RFC, которые читаешь-читаешь — и все равно найдешь сразу несколько одновременно истинных и одновременно противоречащих друг другу толкований того, что есть URL, что URI, а что еще черт знает что.
Спасибо за внимание.
>> современный кодер гораздо лучше... чем ДИД, который из прошлого продолжает нам гадить
>> который не умеет ничего, кроме npm install leftpadВот бесполезный кусок того самого
Полезней тот, кто может поправить кривой RFC и потом либы под него
Признаюсь, я не могу(
Это шутка такая? Поправить RFC?
Да в 100% раз легче протолкнуть новый, чем исправлять старый...Потому что это ЛОМАЮЩИЕ ИЗМЕНЕНИЯ!!!111 Нужно тянуть это гно вечно!
Тебя же сразу проклянут все пользователи некрософта.
Хочешь/требуют быстро сделать. Будешь пользоваться зависимостями. Не работает на новой используй те что есть. (И далее пофиг...)
> любая зависимость это плохоГений. Просто гений.
Зависимость от еды, воды и воздуха это плохо. Ну вы поняли.
> Зависимость от еды, воды и воздуха это плохо. Ну вы поняли.А зависимость от опеннета?
Пошел TLS переписывать.
Хламокодинг с притаскиванием всех библиотек в тушку - это нонсенс.
Библиотеки должны подключаться снаружи и иметь хотя бы более-менее стабильный API/ABI - берите пример с C.
(да, м@какинг уже не пройдёт - это чуть сложнее npm install, но зато библиотеки могут обновляться отдельно от проекта)
И хоба! Ты начинаешь зависеть от долбанутых мейнтейнеров.
Вот когда они соизволят обновить уязвимую либу, вот тогда и уязвимость исправится.
Но в npm-то том же ты конечно же не зависишь, все уязвимости сами исправляются.
(это уже не говоря про число брошенных лефтпадов)
В npm, как только есть фикс от разрабов, всё уже зависит от тебя - обновляй и сабмить.
А тут разрабы фикс выкатили, а мейнтенеры деба еще зад чешут (хотя арч и убунта уже выкатили изменение).
Получается часть юзеров (в теории) могут получить фикс, а остальные - без шансов.
Плюс это нужно чтобы пользователь пошел в свой пакетник и обновился. Ты это никак не контролируешь.
А в своей аппе - сам вывел окошко с обновлялкой, можно даже алерт.
Вообще из хламореп стоило бы выпиливать все уязвимые версии сразу после обнаружения проблемы.
То, что у кого-то это в поделку не затянется - проблемы подельщика.
(заодно популярность лефтпадного хламокодинга сразу поубавится)
Вот, кстати, бешено плюсую. Нерадивые разрабы и беспечные потребители должны иногда получать щелбан по башке.
а что делать с уже установленными?вообще-то это главная проблема, потому что то кто когда то будет установлено не отражает текущую картину уязвимостей
> а что делать с уже установленными?Да ничего, проблемы установивших.
Проблема именно в том - ниже правильно отметили - что никто тебе фикс не выкатит.
А из репы этот брошенный хлам никто не выпилит - иначе у толп васянов поломается их хлам.
Вот это и есть основная беда хламореп от хламокодинга.Если выпиливать - стимул поддерживать появится мгновенно, но весь хламокодинг посыпется, как карточный домик, потому что от хламоподобия хламобиблиотек за пару лет останется в лучшем случае 10% поддерживаемых. И это, надо сказать, хорошо, но не случится.
> А из репы этот брошенный хлам никто не выпилитУгу, а брошенную либу мейнтейнеры прям побежали выпиливать из реп?))
Про аппы вообще молчу - вот в деб стэйбл лежит заведомо уязвимый squid (5.7-2), дырявый по самое немогу, причем годами (даже новость про это была https://www.opennet.dev/opennews/art.shtml?num=59915)
И что? Его выпилили из репы? Нет!PS: что-то тебя конкретно клинит на "хламо"-чем-то... Может тебе таблеточки попить?
Если бы это был не сквид, наверняка бы выбросили.
Если на неисправности есть готовые патчи - мейнтейнеры реп дистрибутивов их докладывают.И ругаются, если затем долгое время их не принимает основной проект.
И выкидывают на мороз, когда патчи наклываются (начинают неразрешимо конфликтовать друг с другом).
Да. Именно в этом и заключается отличие дистровых и прочих монореп от хламовников типа npm.
Если лефтпад брошен, то тебе и в виде либы фикс не прилетит
Вообще то на мантейнеров молиться нужно. Разрабам начихать на окружение, они пилят свою либу, вносят новые фичи, а тут хлоп баг, они это баг коммитят и выпускают НОВУЮ версию. А вот эти самые фичи новой версии ломают окружение ... а ему начихать. И так же ему плевать что новые фичи лепят новые дыры ...А мантейнер тот все наоборот, вышла новая версия, он из нее выбирает патчи дыр, накладывает на текущую либу и ничего не сломано и дыра закрыта.
P.S. Справедливости ради могу заметить, что есть разрабы подтерживающие старые ветки, на предмет дыр, но таких мало и только на крупных проектах.
> но таких мало и только на крупных проектах.Например в каких?
Вон внизу скидывали ссылку на дырявые либы в Дебиане.
не уверенНе уверен, что у остальных будет получше (может разве что RHEL, но не уверен)
К примеру Python, выпустили ветку 3.12.0, так же вышла сразу 3.11.х, 3.10.x и т.д. некоторое время тащут старые версии ...
так фанатов же собирают - интеграций что ли насмотрелся
Вот только Мозилла именно вот этим занимается уже десятилетия. Все внешние либы тащутся с собой.
>Библиотеки должны подключаться снаружи и иметь хотя бы более-менее стабильный API/ABIси это боль для мазомазо.... а то что ты написал, в жабе и так присутствует. даже если в fatJar всё собираешь, очень легко управлять зависимостями, менять/убирать итд а с тестами сразу видно всё ли работает
Java-дистрибуция - это один из самых первых отличных примеров того, как делать не надо. Когда все сторонние библиотеки фиксированных версий тащатся вместе с проектом.
А потом ваша прекрасная либа-1.2.3.1234 не подходит, требуется либа1.2.3.1234-костыль-2.5
Не подходит - апдейть до подходящей.
> прекращено сопровождение каждого пятого проекта
> только 11% продолжают активно сопровождатьсяВполне перекликается с новостями про проблемы сопровождающих ядра, проблемы с LTS и тд.
Люди внезапно заметили появившиеся проблемы и осознали, что тратить свое время на бесплатные проекты... не рационально.
Проблема в том, что хламокодинг позволяет каждому желающему васяну выкатить наколенную поделку, которую другой васян затянет к себе в свою наколенную поделку. То, что первый васян через неделю поделку бросит - никого не волнует.
Угу, а что скажешь про овнокод в ядре линуха? или дровах?
Там тоже васяны?
Наверное в этом и идея опенсорса?
И много хлама из хламорепозитариев ядро внутрь затягивает?
Ах да, туда же растишку добавили. К счастью, выключенную.
А разве ядро это не просто свалка уязвимого кода?
https://www.opennet.dev/opennews/art.shtml?num=59852
Так разрабы этот код сами туда положили, а не кто-то левый забил на свой проект или передал его кому-то или решил заработать и тебе залетел майнер, вместе с трояном для ботнета.
А разве репозиторий, емейл разраба, или его гит аккаунт нельзя перекупить/взломать/украсть ?Вот пример реальной пробелмы которая была в ядре https://lwn.net/Articles/57135/
И это то что заметили, а ведь другие могли не заметить.
в догонку - взлом гитхаба Сanonical
https://github.com/cncf/tag-security/blob/main/supply-chain-...взлом fosshub, пострадали Classic Shell и Audacity
https://github.com/cncf/tag-security/blob/main/supply-chain-...взлом log4j - https://github.com/cncf/tag-security/blob/main/supply-chain-...
получили дырку в апаче и других
https://security.googleblog.com/2021/12/understanding-impact...взломали заброшенный пакет в АРЧе
https://github.com/cncf/tag-security/blob/main/supply-chain-...дальше мне лениво перечислять)
Ну, мы поняли - это ДРУГОЕ. Лет через 20 дiдовскую сортировку пузырьком выпилят - но ты туда не смотри, там селедку заворачивали.
Ты на пузирок не наезжай!
Отличная сортировка при мелких массивах.
Делает просто, на неответственных частях проги сойдет.
Конечно. Я всегда удивлялся, что на macos стоит микроядро, а в linux монолит. Хотя казалось бы , оттестировать несколько десятков возможных аппаратных конфигураций mac легко и должен быть монолит из соображений производительности, а для десятков миллионов возможных для linux - поневоле приходится использовать микроядерную архитектуру. Но люди - по натуре своей - извращенцы и сделали строго наоборот, так что говнокод в гиперраспухшем ядре - неизбежен. Разве что AI когда-нибудь перепишет.
А это проблема? Как предлагаешь решать её, массовыми расстрелами?
Создать СССР и в интернет пускать по карточкам. А программный код можно брать только из центрального репозитория министерства электронной промышленности СССР.
По партбилетам и комсомольским билетам. В инет позволяется ходить только идейнонадёжным.
Юмор зачетный
Как будто сейчас не так, только под властью капитала. Акк пппое, адрес, порт на оборудовании, договор с провом -- всё это колокольчик, повешеный буржуинами на шею коровам. Паситесь!
Почему у тебя вызывает такую бурную реакцию то, чем какие-то абстрактные васяны занимаются друг с другом? Ну-ка покажи на этой кукле, в какие места тебе васяны хламокодили.Опенсорс вообще-то именно про использование чужих наработок, чтобы не пилить свой велосипед каждый раз. Права и обязанности в лицензии прописаны, а дальше никто никому ничего не должен. Ни один васян пилить либу, ни второй её использовать. Поэтому все жалобы про наколенные поделки можешь отправлять в спортлото. Не нравится — перепиши как нравится, заодно посмотрим какой ты молодец. А пока что ты только ноешь на опеннете про то, как тебя васяны обидели.
Ну вообще да, примерно так и делаем - ни в одном проекте нет ни одного автоматического стягивания чего-либо откуда-либо. Поэтому все эти проблемы васянов меня не волнуют - можно хоть так оставить и ничего с этим не делать вообще, пусть наслаждаются.
> ни в одном проекте нет ни одного автоматического стягивания чего-либо откуда-либоИ все исходники всех либ тщательно вычитываются, да? Охотно верю!
> все эти проблемы васянов меня не волнуют
Так не волнуют, что захламил комментариями тред. Не даром ты мой любимый персонаж опеннета, после пох.а.
Даешь единый blob, содержащий абсолютно всё!
Наоборот. Библиотеки без всяких репозитариев. Прежде чем делать проект - основательно думаешь и выбираешь, на что завязываться, а не тянешь в рот любой свежак с хламорепозитария.Впрочем, в серьёзных проектах так дело уже и обстоит, проблема по сути выеденного яйца не стоит и касается только однодневок от хламокодинга.
Где rapid application development, там и куча зависимостей-однодневок. Зачем переизобретать велосипед? Интересно пилить свою идею, пока не взлетит. Если не взлетело то и ладно, не сильно то и хотелось. Если таки взлетело то зачем перепиливать - и так ведь работает. Так и получается в конце большой карточный домик.
> Так и получается в конце большой карточный домик.Как-будто раньше было не так. В линуксе куча уязвимых либ, добавленных 20 лет назад, которые сейчас пишут не понятно кто.
Просто при разработке бралась минимально подходящая либа найденная в интернете и, или использовалась как есть, или перепиливалась по свои нужды (тогда получался парад велосипедов как например SSL).А потом отказывалось что:
- "Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux " https://www.opennet.dev/opennews/art.shtml?num=59867- Уязвимость в libcue https://www.opennet.dev/opennews/art.shtml?num=59896
в блоге https://github.blog/2023-10-09-coordinated-disclosure-1-clic.../ автор кстати приводит ту самую картинку c "библиотекой чувака из небраски" которая держит весь современный софт))
> rapid application developmentОчередной Аноним, который печатает со скоростью 400 знаков в минуту.
> Прежде чем делать проект - основательно думаешь и выбираешьА потом пишешь с первого раза без ошибок идеальный код, который никогда не надо будет править. Ох уж эти опеннетные фантазии! Ох уж жти опеннетные фантазёры. А в реале без итераций и фидбека пишут только хеллоу ворлд. Пока ты думал, соседний стартап выпустил 300 версий, разобрался что нужно пользакам и вышел в кэш. Или не вышел. Но у них продукт был, а ты лишь основательно подумал.
Каждый брошенный лефтпад вышел в кеш, инфа 146%
огород копать доходнее?))
> огород копать доходнее?))Не пробовал, но пользы точно больше.
> 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостями,А нафига они предоставляются для скачивания? 404 отдавать. Кому ну очень нужно и в git сбегают.
Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость.
Для сборки таких заброшенных апп можно сделать ключ вроде --allow-archived-dependencies.
Тогда такой ключ будет по умолчанию во всех проектах.
И просто поднимут свой отдельный репо сами. И в нём будут все.
> Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость.И это ОЧЕНЬ хорошо.
Нет мейнтейнера - давай, до свидания.
А этот забагованый кусок, почему не выпилили из репы? https://packages.debian.org/stable/web/squid
"Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены"По той же причине - начнут не собираться другие либы или прикладной софт.
Хотя приостанавливать использование "до фикса всех известных критических проблем" имхо было бы адекватным решением.
Но на такое никто не пойдет.
Потому что есть нехилый шанс, что они никогда их не починят "Разработчики Squid были уведомлены о проблемах ещё два с половиной года назад, но так и не завершили работу по их устранению."
Действенное решение - брать на испуг - выбрасывать из репозитория вместе с соответствующими по зависимостям пакеты.Если эти не исправят, то другие в таком крупном дистрибутиве оперативно выпустят патчи с выкорчёвыванием зависимости от этой либы, либо их софта там не будет до следующего релиза.
Есть второй вариант - к едрене фене - вытаскивать эти либы в отдельную репу с тем софтом и объявлять, что эта репа, скажем, non-official-critical.
Дополнение:и Debian к этой халатности не имеет отношения - без претензий.
Совсем уже обнаглели, и мейнтейнеры, и разработчики.
> выбрасывать из репозитория вместе с соответствующими по зависимостям пакетыКлассное решение, но что делать если репа после этого не соберется?
Как заменять либы, которым полных аналогов нет - тоже не ясно.Это опенсорс - тут никаких рычаго воздействия на разраба нету, да и обязательств у него тоже никаких нет.
Вот так и живем (с)
Debian и так их выбрасывал пачками. Другое дело, что в последнее время этот процесс сильно растянулся.
есть время разбрасывать камни, есть время камни собирать
Поэтому предложенный мой второй вариант более актуален, чем пытаться разрешать ад зависимостей старыми версиями.
Ну выброси какой-нибудь OpenSSL или glibc. И патчи для выкорчёвывания этих зависимостей не забудь оперативно выпустить.Опеннетчиков через одного хлебом не корми, дай только что-нибудь повыкидывать и позапрещать.
> Ну выброси какой-нибудь OpenSSL или glibc. И патчи для выкорчёвывания этих зависимостей
> не забудь оперативно выпустить.
> Опеннетчиков через одного хлебом не корми, дай только что-нибудь повыкидывать и позапрещать.А что сразу не ядро выкинуть? Юношеский максимализм.
А Debian выкидывал такое тухлое и раньше, непонятно почему они сейчас стали так тормозить.
> А что сразу не ядро выкинуть?Отличная мысль, но немного рановато: GNU/Hurd ещё не совсем готов.
> Юношеский максимализм.
А «брать на испуг» и «выбрасывать из репозитория» — это не юношеский максимализм? Или это другое и надо понимать?
> А Debian выкидывал такое тухлое и раньше, непонятно почему они сейчас стали так тормозить.
Да как раз вполне понятно почему. Но если ты считаешь, что надо иначе — добро пожаловать в список рассылки Дебиана. По опыту могу сказать, что если идея ценная, то её с радостью примут. Удачи!
Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи ногами проголосуют, ага.
> Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи
> ногами проголосуют, ага.Пользователям никто ничего не должен, это opensource. Либо Вы клепаете как есть, вместе с дырами и не несёте ответственность, либо адекватно реагируете на такое, если у Вас профессиональный продакшн, и Вам предъявят.
>> Ну сделай свой vasyanofree-distro - покажи, как надо! Увидишь, за что пользователи
>> ногами проголосуют, ага.
> Пользователям никто ничего не должен, это opensource. Либо Вы клепаете как есть,
> вместе с дырами и не несёте ответственность, либо адекватно реагируете на
> такое, если у Вас профессиональный продакшн, и Вам предъявят.Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто примерно все и нихрена не работает интересует примерно "никого", openBSD у нас уже есть, делать еще одну в парадигме "только хуже" - спасибо, нинада.
> Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем
> устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто
> примерно все и нихрена не работает интересует примерно "никого", openBSD у
> нас уже есть, делать еще одну в парадигме "только хуже" -
> спасибо, нинада.С этой точки зрения Debian непригоден для продакшена, даже после форка.
>> Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем
>> устраивает - и попытка сделать бизапастна-бизапастный дистрибутив, из которого выкинуто
>> примерно все и нихрена не работает интересует примерно "никого", openBSD у
>> нас уже есть, делать еще одну в парадигме "только хуже" -
>> спасибо, нинада.
> С этой точки зрения Debian непригоден для продакшена, даже после форка.Наличие\отсутствие дыр, критических ошибок и т.д. на готовность к production'у влияет не то, чтобы "никак" - но весьма и весьма ограничено на самом деле. Софт - гумно и все ИС проектируются исходя из этой парадигмы путем добавления автоперезапускаторов-анализаторов-наложенных-средств-защиты и прочих костылей-и-подпорок.
Компания сама атакует, а потом сама клепает отчёт. Безотходное производство.
Атакует кого?
Кодеров которые забили на свои проекты?
Тех кто использует старые либы без проверки насколько они дырявые?То что сама фирма специализуется на пентестах, не значит, что отчет не правдивый.
Да. Да. Я думаю там точность 100% я к тому что они хорошо устроились.
Уууууу! Заговор!!!1111
Это точно не ленивые разрабы, которые багованные либы не обновляют, а все корпорация зла виновата!
Небось еще и мейнтейнерам доплачивает в конвертах, чтобы побольше CVE в код добавили.
не понять мне шизофренков, "программирующих" на скриптах
так это же мировая история, все великие достижения строились по такому принципу, оглянись это везде вокруг - есть люди просто исполняющие своё дело и руководители/провидцы, которые организовывали/использовали эти людские ресурсы. без тех или тех ничего бы не получилось, равно как и фейлы отдельных - упоротость диктаторов, либо предательство/некомпетентность исполнителей приводили к краху. также и этой сфере, по аналогии, как и везде. ты же сам себе дом не строил, условно, живёшь там и творишь иное, и страданёшь если он развалится из-за плохого качества строительства/отсутствия ДУКа проводящего капремонт. разделение труда уж скок веков на пользу раотает, со своими нюансами.
в продолжение. не всегда же есть виновные, если при строительстве были ошибки в геодезии, либо технологии при строительстве были достаточно устаревшими - результат один. есть же организации, которые следят за аварийностью, расселяют и тп - вот не особо мы любим бюджетников, но и без этого никак
так что ситуации, если смотреть по аналогии, схожи с сабжом. тратят выделеные бюджеты не обязательно исключительно на самопиар, также чётко обозначают эту проблему в опенсорсе
если разрабы дистрибутивов линукса не введут подобную систему контроля, результат очевиден же. хоть и не любят майков/эпл/всё платное за многое, эту проблему иначе как достаточным финансированием зачастую трудно решать, либо темпы развития будут падать серьёзно, при условии обеспечения безопасности
имхо такие проблемы нужно поднимать, как минимум уровень основных ментейнеров дистра, лучше на уровне ядра даже, чтобы не получалось бардака аля как с вейландом
ну ведь объективно же, линус с командой так бегут вперёд, что, возможно, не замечают или не хотят как фундамент может треснуть. 6.6.6 пройдут, а до 7.7.7 могут и не дожить, в привычном понимании. коллективное письмо давайте писать, лол
во я орнул, если честно, за предъяву как веб-манки, которая не в состоянии расписать своё существование, ещё и наминусовали, лолвы, вообще сами-то в курсе, что вся нынешняя цивилизация построена на этом - труде одних и руковдстве других, с применением спиженных/адаптированных/лицензированных технологий третьих, со всякими нюансы и вариациями? куда не плюнь - жильё, вкусная еда, безопасность, ваши устройства, этот форум и вся сеть целиком построена по этому принципу
есть один схожий момент во всём этом, на ряду с прочими, что оказывает влияние на многие важные составляющие - это система контроля качества, назовём так. сабж новости лишь указывает на недостаточность оного в конкретной сфере опенсорс_софта/*никсах. ваш дом не развалился, еда не вызывает отравления, вы в спокойствии и безопасности пишите сюда лишь, в том числе, благодаря её существованию. а обсуждаемая сфера может трещать начать, без должного внимания к данной проблеме, вот и всё
я не вижу проблемы в использовании благ цивилизации, труда других людей. благодарен судьбе за возможность использовать чужие наработки и, возможно, талант использовать их с толком. а вот надменность мне претит
зы. по вашей логике, грубо говоря, вот изобрели колесо - и катайся на нём, ну на повозке в крайнем случае. да что там - брёвна лучше подкладывай, да кати. сами-то на машинах ездиете? нет претензий к агенствам, которые контролируют соответствие транспорта необходимым требованиям, том числе и безопасности?
ну хз, не пробовал я ещё в поле сидеть по крайней нужде, от волков оглядываясь, размышляя что та ведьма, скорее всего, сама те ягоды отравила, чтоб попиариться, лола линус, ко всему прочему, гит же сделал, который похлеще самого линукса разошёлся. дай там кто-нить свыше, что ещё что-то по контролю сабжа придумает, если должным образом внимание его привлечёт, авось и поделки майков/эплов подтянутся тоже, если у них там свои должным образом ещё не отработаны, принцип-то один я думаю
Зато мне очень легко понять представителей интеллектуального большинства, которым не хватает мозгов и уверенности, чтобы писать программы на динамических языках. Без ритуальных перепроверок по 10 раз и попыток сконстролить проверку типов. С которыми все становится медленно и громоздко.
Кодогенерация ИИ понятно лучше будет работать на статических. Для людей (не квадратноголовых, понятное дело) динамические удобнее.
А эти твои динамические языки на чем написаны?
Писал и пишу и на тех, и на тех языках. Ну, под каждую задачу найдётся своё.> чтобы писать программы на динамических языках
С нестрогой типизацией? Если да, то ну вот донесите, пожалуйста, в чём прикол, кроме вороха трудноуловимых проблем в _рантайме_?
>>Компания Sonatype, специализирующаяся на защите от атак, манипулирующих подменой программных компонентов и зависимостей (supply chain)Себя не попиаришь, никто тебя и не заметит. А тут фигню выкатил и такой важный :-))). Всё это фигня собачья. Данные в 99% утекают из-за недовальных админов, подкупленных админов, субподрядчиков рукопопых и т.п. человеческих факторофф. инфа соточка. А это всё бухтение для освоение "безопасных" бюджетов.
Да нет давно никаких админов.
Докер контейнер с докерхаба в дефолте прямо в жоблако, или в кубернутес какой если ты сурьёзный.
Он имел ввиду девляпсов которые это все админят. А подкуп оных явление довольно частое, особенно в этой стране.
В большой оутсорс конторе это должно быть легче чем легко конечно.Вспоминается, в нулевых, просили нас сделать аудит сервера, где всякая телефония тоже весела, было подозрение что админ пишет и сливает переговоры конкурентам.
Но потом у них проблема похоже исчезла, видимо решилось всё само собой.
Это обычное явление в любой стране. Самый треш по разгильдяйству, покупке тонн ненужного софта и пускания кого попало на свои сервера, который я видел, был в амерском подразделении bp.
Но торгуют персональными данными почему-то только у нас.Недавно вот зарегался в программе лояльности крупного сетевого маркетплейса, так на второй день попёрли тонны смс начиная от кaзино, заканчивая пpoститyтками и крипто-скамом.
> Но торгуют персональными данными почему-то только у нас.С чего ты так решил?
Из-за того, что не можешь оплатить суммы которые просят за информацию забугорных корпораций?
языка не знает..)))
+1
Хакеры которые корчуют код давно остались в прошлом, все современные «взломы» это подкуп, саботаж или социальная инженерия. Достаточно зайти в даркнет, там тебе и дубликат симки на любой номер сделают, и паспорт любой страны выдадут с официальным оформлением и прогоном по всем базам.
И швабру с бутылкой шампанского - на выбор - в подарок.
как туда зайти-то? лампочку выключил, тёмную тему поставил - сижу жду дальнейших указаний
> Многие проекты продолжают использовать уязвимые версии, например, 23% загрузок Java-пакета Log4j до сих пор составляют версии с критическими уязвимостямиа господа торговцы безопасностью не потрудятся также сообщить, сколько из этих "23%" реально можно взломать, используя "Log4j" ?
я к тому, что наличие "уявзимой" библиотеки не равно возможности её использовать.
ну слушай, инфа же _официальная, а значит и описание уязвимости, как и статистика использования, получена, наверняка, из открытых источников. хочешь парсер по этим данным запусти, хочешь зависимости конкретных проектов изучи, смотря в чём _необходимость появится, остальное - дело техники, как говоритсяа так да, сишка дырявая, но не факт что всё дырявое на ней. и постоянно выявляемые уязвимости лишь подтверждают это. что не всё дырявое на ней. пока точно не всё хД
Не мешай пиариться и продавать сейфы для солонок.
Если солонка при попытке посолить- взрывается - то такие солонки нужно держать не просто в сейфе, а и сейф такой где нибудь подальше..от людей.
эта уязвимость хорошо описана. проверьтесь дял началу у себя...
Почему же, говоря о уязвимостях, никогда не вспоминают, что в обновлении
- иногда больше нет прежней функциональности,
- иногда приходят проблемы для нужного функционала.Обновления безопасности иногда ломают нужный функционал. И тогда обновление - зло.
Зачем неуязвимый софт, если софт не делает нужного.
Кто ничего не делает - тот ошибок не совершает. Отсюда вывод: нихрена делать не надо.
> Зачем неуязвимый софт, если софт не делает нужного.неуязвимый софт нужен не для того, что бы не делал нужного, а для того, чтобы не делал ненужного))) ахах
Потому что вся функциональность - пшик, если твой локалхост внезапно превращается в майнер для любого васи из 10Б.
Хотел пожаловаться что в опрос не позвали...> Java, JavaScript, Python и .NET,
Смех сквозь слёзы. Просто сяду почитать, чем страдает этот гадюшник.
99% коммерческого ПО под это тоже подпадает, кстати. А думал, там всюду паскаль? Паскаль остался в 90х, с тех пор на нём только легаси тех лет.