forum.opennet.ru

"Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Оценка проблем с сопровождением открытых проектов и использо..."	+/–
Сообщение от фнон (?), 17-Окт-23, 10:43
> Так и получается в конце большой карточный домик. Как-будто раньше было не так. В линуксе куча уязвимых либ, добавленных 20 лет назад, которые сейчас пишут не понятно кто. Просто при разработке бралась минимально подходящая либа найденная в интернете и, или использовалась как есть, или перепиливалась по свои нужды (тогда получался парад велосипедов как например SSL). А потом отказывалось что: - "Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux " https://www.opennet.dev/opennews/art.shtml?num=59867 - Уязвимость в libcue https://www.opennet.dev/opennews/art.shtml?num=59896 в блоге https://github.blog/2023-10-09-coordinated-disclosure-1-clic.../ автор кстати приводит ту самую картинку c "библиотекой чувака из небраски" которая держит весь современный софт))
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей, opennews, 17-Окт-23, 09:06 [смотреть все]

Потому что любая зависимость это плохо, а старая, закоренелая зависимость это в , Аноним, 17-Окт-23, 09:06 (1) //
- Переизобретайте strsplit пацаны , Аноним, 17-Окт-23, 10:15 (24) //
  - Может использовать Маркировку Если серьезные проекты всеже проверяют зависимост, Аноним, 17-Окт-23, 11:12 (31) //
    - Приличные проекты с собой таскают нужные библиотеки нужных версий в исходниках, , voiceofreason, 17-Окт-23, 12:08 (43)
      - АгА, а потом в таскаемых библиотеках нужных версий найдётся уязвимость, а те и д, Аноним, 17-Окт-23, 12:23 (49)
        
        Риски нужно взвешивать правильно Библиотека уязвима ОК Если к ней имеет досту, Аноним, 17-Окт-23, 12:36 (51)
        
        А вот это, в общем-то, нуждается в доказательствах Подчас - весьма и весьма нет, User, 17-Окт-23, 21:10 (107)
        
        Конечно, пересборка проще Доказывать, что новая версия не вызовет проблем, не н, Аноним, 19-Окт-23, 09:40 (163)
        
        Тесты - автоматизированы в пайплайне, semver в наличии, чейнджлог версии с фиксо, User, 19-Окт-23, 09:51 (164)
        
        Тест не является доказательством корректности , Аноним, 20-Окт-23, 06:38 (168)
        
        Оттож И даже группа тестов , включая и ручные функциональные и интеграционные , User, 20-Окт-23, 07:00 (169)
        
        Тянет на теорему Эскобара , Аноним, 20-Окт-23, 13:22 (170)
        Не, ну можешь и дальше ничего не делать - инцидент ИБ он то ли будет, то ли не, User, 20-Окт-23, 13:30 (171)
        Почему ты так озадачился мной и моим увольнением Я всего лишь намекал, что выбо, Аноним, 20-Окт-23, 13:54 (172)
        Эм Ну, я н-ннадеюсь, что я тебя не нанимал - и не мне тебя увольнять, всего лиш, User, 20-Окт-23, 15:10 (173)
        
        А когда устраняли одну проблему не добавляя две новых Иначе параноидальные обно, _kp, 17-Окт-23, 13:16 (60)
      - Что за чушь Таскать библиотеку другого проекта в своём проекте это моветон Не до, Деаноним, 17-Окт-23, 18:45 (93)
        
        я слышал о, почившем на волне очередного хайпа, гениальном конструкторе, который, Аноним, 18-Окт-23, 14:34 (148)
  - Добавлю к предидущему А уже после очищать репы от мусора, Аноним, 17-Окт-23, 11:14 (33)
  - А может и не нужно этого Нормальный прогер не заинтересован каки всякие использ, Аноним, 17-Окт-23, 11:19 (34)
  - В PHP 8 какая-то бяка поменяла аргументы местами в функции join Пришлось изобре, Аноним, 17-Окт-23, 11:46 (39) //
    - пыхерам в целом страдать не привыкать, Аноним, 17-Окт-23, 11:54 (41)
    - Можно поподробнее Сам похапешник и всю жизнь первым аргументом передавал раздели, Аноним, 17-Окт-23, 14:06 (73)
      - что нужно курить, чтоб назвать джойн имплодом , Аноним, 17-Окт-23, 14:15 (75)
        
        Там же в доках написано - glueИ название implode как бы референс к сжимаемущему, Аноньимъ, 17-Окт-23, 14:26 (79)
        
        https www merriam-webster com dictionary implodeгде ты здесь видишь сжимающий, Аноним, 17-Окт-23, 14:53 (82)
        
        Выше же написано php4 https php-legacy-docs zend com manual php4 en function, Аноньимъ, 17-Окт-23, 15:17 (84)
        Вот тут Плюс, сделано как антоним слову explode - название функции, наоборот, , Аноним, 17-Окт-23, 19:38 (101)
        
        Английский , Аноним, 17-Окт-23, 21:13 (109)
        
        голландский , Аноним, 18-Окт-23, 14:35 (149)
    - Из документации к PHP 4 implode can, for historical reasons, accept its parame, Аноним, 17-Окт-23, 18:56 (96)
  - Для современного кодера написать strsplit это проблема Понимаю, вместо этого ну, Вы забыли заполнить поле Name, 17-Окт-23, 12:49 (54) //
    - Уязвимость в Glibc ld so, позволяющая получить права root в большинстве дистрибу, Аноним, 17-Окт-23, 13:04 (57)
      - А тесты на тамошний strsplit есть Или как обычно компилится значит работает А п, Вы забыли заполнить поле Name, 17-Окт-23, 15:24 (85)
        
        Настоящий сишник не пишет тесты Он уверен в своих силах Он не какой-то там npm, Аноним, 17-Окт-23, 19:36 (100)
        
        Вот бесполезный кусок того самогоПолезней тот, кто может поправить кривой RFC и , Тот_ещё_аноним, 18-Окт-23, 01:33 (125)
        
        Это шутка такая Поправить RFC Да в 100 раз легче протолкнуть новый, чем исправ, Анонин, 18-Окт-23, 12:08 (143)
- Хочешь требуют быстро сделать Будешь пользоваться зависимостями Не работает на, AntonAlekseevich, 17-Окт-23, 12:46 (52)
- Гений Просто гений , YetAnotherOnanym, 17-Окт-23, 13:22 (62) //
  - Зависимость от еды, воды и воздуха это плохо Ну вы поняли , НяшМяш, 17-Окт-23, 14:14 (74) //
    - А зависимость от опеннета , Вы забыли заполнить поле Name, 17-Окт-23, 15:25 (86)
- Пошел TLS переписывать , Аноним., 17-Окт-23, 23:21 (122)
Хламокодинг с притаскиванием всех библиотек в тушку - это нонсенс Библиотеки дол, Tron is Whistling, 17-Окт-23, 09:41 (6) //
- да, м какинг уже не пройдёт - это чуть сложнее npm install, но зато библиотеки , Tron is Whistling, 17-Окт-23, 09:42 (7) //
  - И хоба Ты начинаешь зависеть от долбанутых мейнтейнеров Вот когда они соизволят, Аноним, 17-Окт-23, 09:48 (11) //
    - Но в npm-то том же ты конечно же не зависишь, все уязвимости сами исправляются , Tron is Whistling, 17-Окт-23, 09:50 (12)
      - В npm, как только есть фикс от разрабов, всё уже зависит от тебя - обновляй и са, Аноним, 17-Окт-23, 09:55 (15)
        
        Вообще из хламореп стоило бы выпиливать все уязвимые версии сразу после обнаруже, Tron is Whistling, 17-Окт-23, 09:56 (18)
        
        заодно популярность лефтпадного хламокодинга сразу поубавится , Tron is Whistling, 17-Окт-23, 09:56 (19)
        Вот, кстати, бешено плюсую Нерадивые разрабы и беспечные потребители должны ино, YetAnotherOnanym, 17-Окт-23, 13:57 (67)
        а что делать с уже установленными вообще-то это главная проблема, потому что то , penetrator, 18-Окт-23, 04:03 (134)
        
        Да ничего, проблемы установивших , Tron is Whistling, 18-Окт-23, 09:17 (139)
        
        Проблема именно в том - ниже правильно отметили - что никто тебе фикс не выкатит, Tron is Whistling, 17-Окт-23, 10:03 (21)
        
        Угу, а брошенную либу мейнтейнеры прям побежали выпиливать из реп Про аппы воо, Аноним, 17-Окт-23, 10:17 (25)
        
        Если бы это был не сквид, наверняка бы выбросили , Аноним, 17-Окт-23, 12:49 (55)
        Если на неисправности есть готовые патчи - мейнтейнеры реп дистрибутивов их докл, Аноним, 18-Окт-23, 09:11 (138)
        
        Да Именно в этом и заключается отличие дистровых и прочих монореп от хламовнико, Tron is Whistling, 18-Окт-23, 09:19 (140)
      - Если лефтпад брошен, то тебе и в виде либы фикс не прилетит, Аноним, 17-Окт-23, 09:55 (17)
    - Вообще то на мантейнеров молиться нужно Разрабам начихать на окружение, они пил, test, 17-Окт-23, 11:00 (29)
      - Например в каких Вон внизу скидывали ссылку на дырявые либы в Дебиане не уверенН, фнон, 17-Окт-23, 11:42 (38)
        
        К примеру Python, выпустили ветку 3 12 0, так же вышла сразу 3 11 х, 3 10 x и т , test, 19-Окт-23, 09:55 (165)
        
        так фанатов же собирают - интеграций что ли насмотрелся, Аноним, 20-Окт-23, 18:18 (174)
- Вот только Мозилла именно вот этим занимается уже десятилетия Все внешние либы , Kuromi, 17-Окт-23, 14:20 (76)
- си это боль для мазомазо а то что ты написал, в жабе и так присутствует даж, лютый арчешкольник..., 17-Окт-23, 19:24 (98) //
  - Java-дистрибуция - это один из самых первых отличных примеров того, как делать н, Tron is Whistling, 18-Окт-23, 09:26 (142)
- А потом ваша прекрасная либа-1 2 3 1234 не подходит, требуется либа1 2 3 1234-ко, Neon, 18-Окт-23, 17:08 (156) //
  - Не подходит - апдейть до подходящей , Tron is Whistling, 18-Окт-23, 17:40 (157)
Вполне перекликается с новостями про проблемы сопровождающих ядра, проблемы с LT, Аноним, 17-Окт-23, 09:45 (9) //
- Проблема в том, что хламокодинг позволяет каждому желающему васяну выкатить нако, Tron is Whistling, 17-Окт-23, 09:51 (13) //
  - Угу, а что скажешь про овнокод в ядре линуха или дровах Там тоже васяны Наверно, фнон, 17-Окт-23, 09:55 (16) //
    - И много хлама из хламорепозитариев ядро внутрь затягивает Ах да, туда же растишк, Tron is Whistling, 17-Окт-23, 09:57 (20)
      - А разве ядро это не просто свалка уязвимого кода https www opennet ru opennews, фнон, 17-Окт-23, 10:10 (22)
        
        Так разрабы этот код сами туда положили, а не кто-то левый забил на свой проект , Аноним, 17-Окт-23, 12:21 (47)
        
        А разве репозиторий, емейл разраба, или его гит аккаунт нельзя перекупить взлома, анонимусс, 17-Окт-23, 13:01 (56)
        в догонку - взлом гитхаба Сanonicalhttps github com cncf tag-security blob mai, анонимусс, 17-Окт-23, 13:15 (59)
        Ну, мы поняли - это ДРУГОЕ Лет через 20 дiдовскую сортировку пузырьком выпилят , User, 17-Окт-23, 21:28 (111)
        
        Ты на пузирок не наезжай Отличная сортировка при мелких массивах Делает просто, , анонимусс, 18-Окт-23, 00:06 (123)
    - Конечно Я всегда удивлялся, что на macos стоит микроядро, а в linux монолит Х, AKTEON, 18-Окт-23, 15:26 (150)
  - А это проблема Как предлагаешь решать её, массовыми расстрелами , Аноним, 17-Окт-23, 11:13 (32) //
    - Создать СССР и в интернет пускать по карточкам А программный код можно брать то, Аноним, 17-Окт-23, 12:23 (48)
      - По партбилетам и комсомольским билетам В инет позволяется ходить только идейнон, Аноним, 17-Окт-23, 12:30 (50)
        
        Юмор зачетный, ПГМ, 18-Окт-23, 03:29 (130)
      - Как будто сейчас не так, только под властью капитала Акк пппое, адрес, порт на , Аноним, 17-Окт-23, 13:33 (63)
  - Почему у тебя вызывает такую бурную реакцию то, чем какие-то абстрактные васяны , Менеджер Антона Алексеевича, 17-Окт-23, 16:37 (87) //
    - Ну вообще да, примерно так и делаем - ни в одном проекте нет ни одного автоматич, Tron is Whistling, 18-Окт-23, 09:21 (141)
      - И все исходники всех либ тщательно вычитываются, да Охотно верю Так не волнуют,, Менеджер Антона Алексеевича, 18-Окт-23, 16:44 (154)
Даешь единый blob, содержащий абсолютно всё , Аноним, 17-Окт-23, 09:46 (10) //
- Наоборот Библиотеки без всяких репозитариев Прежде чем делать проект - основат, Tron is Whistling, 17-Окт-23, 09:52 (14) //
  - Где rapid application development, там и куча зависимостей-однодневок Зачем пер, Аноним, 17-Окт-23, 10:13 (23) //
    - Как-будто раньше было не так В линуксе куча уязвимых либ, добавленных 20 лет на , фнон, 17-Окт-23, 10:43 (27)
    - Очередной Аноним, который печатает со скоростью 400 знаков в минуту , YetAnotherOnanym, 17-Окт-23, 14:06 (72)
  - А потом пишешь с первого раза без ошибок идеальный код, который никогда не надо , Аноним, 17-Окт-23, 20:45 (104) //
    - Каждый брошенный лефтпад вышел в кеш, инфа 146 , Tron is Whistling, 17-Окт-23, 22:46 (116)
      - огород копать доходнее , Аноним, 20-Окт-23, 18:20 (175)
        
        Не пробовал, но пользы точно больше , Tron is Whistling, 20-Окт-23, 21:50 (179)
А нафига они предоставляются для скачивания 404 отдавать Кому ну очень нужно и, Аноним, 17-Окт-23, 10:36 (26) //
- Тогда не соберется уже заброшенная аппа, которая тянет эту зависимость , Аноним, 17-Окт-23, 10:57 (28) //
  - Для сборки таких заброшенных апп можно сделать ключ вроде --allow-archived-depen, Аноним, 17-Окт-23, 12:14 (45) //
    - Тогда такой ключ будет по умолчанию во всех проектах , Ruslan22, 17-Окт-23, 14:42 (81)
      - И просто поднимут свой отдельный репо сами И в нём будут все , Аноним, 17-Окт-23, 20:46 (105)
  - И это ОЧЕНЬ хорошо Нет мейнтейнера - давай, до свидания , Tron is Whistling, 17-Окт-23, 22:47 (117)
- А этот забагованый кусок, почему не выпилили из репы https packages debian or, Аноним, 17-Окт-23, 11:28 (35) //
  - Действенное решение - брать на испуг - выбрасывать из репозитория вместе с соотв, pic, 17-Окт-23, 11:39 (36) //
    - Дополнение и Debian к этой халатности не имеет отношения - без претензий Совсем , pic, 17-Окт-23, 11:41 (37)
    - Классное решение, но что делать если репа после этого не соберется Как заменять , анонимусс, 17-Окт-23, 12:04 (42)
      - Debian и так их выбрасывал пачками Другое дело, что в последнее время этот проц, pic, 17-Окт-23, 14:02 (68)
        
        есть время разбрасывать камни, есть время камни собирать, Аноним, 20-Окт-23, 18:21 (176)
      - Поэтому предложенный мой второй вариант более актуален, чем пытаться разрешать а, pic, 17-Окт-23, 14:03 (69)
    - Ну выброси какой-нибудь OpenSSL или glibc И патчи для выкорчёвывания этих завис, Менеджер Антона Алексеевича, 17-Окт-23, 16:54 (88)
      - А что сразу не ядро выкинуть Юношеский максимализм А Debian выкидывал такое ту, pic, 17-Окт-23, 23:12 (119)
        
        Отличная мысль, но немного рановато GNU Hurd ещё не совсем готов А 171 брать , Менеджер Антона Алексеевича, 18-Окт-23, 16:40 (153)
    - Ну сделай свой vasyanofree-distro - покажи, как надо Увидишь, за что пользовате, User, 17-Окт-23, 21:32 (112)
      - Пользователям никто ничего не должен, это opensource Либо Вы клепаете как есть,, pic, 17-Окт-23, 23:16 (121)
        
        Ну вот я некоторым образом намекаю, что существующая ситуация всех более, чем ус, User, 18-Окт-23, 07:52 (137)
        
        С этой точки зрения Debian непригоден для продакшена, даже после форка , pic, 18-Окт-23, 14:09 (147)
        
        Наличие отсутствие дыр, критических ошибок и т д на готовность к production у в, User, 18-Окт-23, 15:45 (151)
Компания сама атакует, а потом сама клепает отчёт Безотходное производство , Аноним, 17-Окт-23, 11:53 (40) //
- Атакует кого Кодеров которые забили на свои проекты Тех кто использует старые л, анонимусс, 17-Окт-23, 12:10 (44) //
  - Да Да Я думаю там точность 100 я к тому что они хорошо устроились , Аноним, 17-Окт-23, 12:18 (46) //
    - Уууууу Заговор 1111Это точно не ленивые разрабы, которые багованные либы не о, анонимусс, 17-Окт-23, 12:47 (53)
не понять мне шизофренков, программирующих на скриптах, Аноним, 17-Окт-23, 13:13 (58) //
- так это же мировая история, все великие достижения строились по такому принципу,, Аноним, 17-Окт-23, 13:41 (64) //
  - в продолжение не всегда же есть виновные, если при строительстве были ошибки в , Аноним, 17-Окт-23, 14:06 (71) //
    - ну ведь объективно же, линус с командой так бегут вперёд, что, возможно, не заме, Аноним, 17-Окт-23, 14:20 (77)
  - во я орнул, если честно, за предъяву как веб-манки, которая не в состоянии распи, Аноним, 18-Окт-23, 02:22 (126) //
    - ну хз, не пробовал я ещё в поле сидеть по крайней нужде, от волков оглядываясь, , Аноним, 18-Окт-23, 02:26 (127)
- Зато мне очень легко понять представителей интеллектуального большинства, которы, Аноним, 17-Окт-23, 16:57 (89) //
  - А эти твои динамические языки на чем написаны , Аноним, 17-Окт-23, 17:53 (92)
  - Писал и пишу и на тех, и на тех языках Ну, под каждую задачу найдётся своё С не, Аноним, 17-Окт-23, 22:09 (114)
Себя не попиаришь, никто тебя и не заметит А тут фигню выкатил и такой важный , Аноним, 17-Окт-23, 13:17 (61) //
- Да нет давно никаких админов Докер контейнер с докерхаба в дефолте прямо в жобла, Аноньимъ, 17-Окт-23, 14:38 (80) //
  - Он имел ввиду девляпсов которые это все админят А подкуп оных явление довольно , Аноним, 17-Окт-23, 17:05 (90) //
    - В большой оутсорс конторе это должно быть легче чем легко конечно Вспоминается, , Аноньимъ, 17-Окт-23, 22:34 (115)
    - Это обычное явление в любой стране Самый треш по разгильдяйству, покупке тонн н, хрю, 17-Окт-23, 23:15 (120)
      - Но торгуют персональными данными почему-то только у нас Недавно вот зарегался в, Аноним, 18-Окт-23, 00:17 (124)
        
        С чего ты так решил Из-за того, что не можешь оплатить суммы которые просят за и, Серб, 18-Окт-23, 17:43 (159)
        
        языка не знает , Аноним, 20-Окт-23, 18:23 (177)
- 1Хакеры которые корчуют код давно остались в прошлом, все современные 171 взл, Аноним, 17-Окт-23, 17:10 (91) //
  - И швабру с бутылкой шампанского - на выбор - в подарок , Tron is Whistling, 17-Окт-23, 22:52 (118)
  - как туда зайти-то лампочку выключил, тёмную тему поставил - сижу жду дальнейших, Аноним, 18-Окт-23, 03:02 (128)
а господа торговцы безопасностью не потрудятся также сообщить, сколько из этих , Golangdev, 17-Окт-23, 13:46 (66) //
- ну слушай, инфа же _официальная, а значит и описание уязвимости, как и статистик, Аноним, 18-Окт-23, 03:29 (131)
- Не мешай пиариться и продавать сейфы для солонок , Аноним, 18-Окт-23, 05:13 (135) //
  - Если солонка при попытке посолить- взрывается - то такие солонки нужно держать н, ыы, 18-Окт-23, 12:24 (145)
- эта уязвимость хорошо описана проверьтесь дял началу у себя , ыы, 18-Окт-23, 12:26 (146)
Почему же, говоря о уязвимостях, никогда не вспоминают, что в обновлении- иногда, Аноним, 17-Окт-23, 20:43 (103) //
- Кто ничего не делает - тот ошибок не совершает Отсюда вывод нихрена делать не , Аноним, 17-Окт-23, 22:06 (113)
- неуязвимый софт нужен не для того, что бы не делал нужного, а для того, чтобы не, Аноним, 18-Окт-23, 03:32 (132)
- Потому что вся функциональность - пшик, если твой локалхост внезапно превращаетс, Tron is Whistling, 18-Окт-23, 17:41 (158)
Хотел пожаловаться что в опрос не позвали Смех сквозь слёзы Просто сяду почит, InuYasha, 18-Окт-23, 12:21 (144) //
- 99 коммерческого ПО под это тоже подпадает, кстати А думал, там всюду паскаль , Аноним, 19-Окт-23, 16:45 (167)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру