Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в обработчике GitHub Actions, позволявшая скомпрометировать пакеты в Nixpkgs"	+/–
Сообщение от opennews (?), 16-Окт-25, 08:51
Раскрыты сведения об уязвимостях в обработчиках GitHub Actions, автоматически вызываемых при  отправке pull-запросов в репозиторий пакетов Nixpkgs, применяемый в дистрибутиве NixOS и в экосистеме, связанной с пакетным менеджером Nix. Уязвимость позволяла постороннему извлечь токен, предоставляющий доступ на запись и чтение к исходному коду всех пакетов, размещённых в Nixpkgs. Данный токен позволял напрямую вносить изменения в любой пакет через Git-репозиторий проекта, в обход процессов проверки и рецензирования изменений... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64059
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от наблюдатель (?), 16-Окт-25, 08:51    Скрыто ботом-модератором	–5 +/–
Я так понимаю ИИ в никсы уже завезли. Очень похоже на уязвимость в гитхабе с выдачей ИИ паролей при прямом запросе.
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Жироватт (ok), 16-Окт-25, 09:16	–3 +/–
Надо было запилить свой гитхаб, но только очень функциональный (без всякой вебни и императивщины), с монадами и без постэффектов, а так же декларативный.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #7, #8

3. Сообщение от анон (?), 16-Окт-25, 09:18	+/–
а вообще хотелось бы такого
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Грустный (?), 16-Окт-25, 09:24	+2 +/–
> свой гитхаб > но только очень функциональный И пусть каждый pull request требует доказательство от противного. (ФωФ)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5

5. Сообщение от Жироватт (ok), 16-Окт-25, 09:39	–1 +/–
Но сначала нужно доказать, что тот, кто будет доказывать пулл реквест - является противным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от Аноним (6), 16-Окт-25, 10:10	+/–
Все пулл-реквесты по умолчанию реджектятся, а дальше вступает в дело функция, которая выведет доказательство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (-), 16-Окт-25, 10:18	+/–
Darcs. Ну или написанный на Rust Pijul. Осталось написать сопоставимый с GitHub сайт на Haskell (бэк и, возможно, фронт), PureScript (фронт), Elm (фронт).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

8. Сообщение от User (??), 16-Окт-25, 10:25    Скрыто ботом-модератором	–1 +/–
Можно даже без git! Почему у каких-то бородатых луддитов из OpenBSD есть свой got - а у Самой Передовой В Мире Системы с Самым ЛуДшим Пакетным Менеджером (Который позволяет держать в системе ВСЕ версии пакета одновременно!*) - своей Самой Лудшей В Мире (Основанной на наработках пакетного менеджера) системы управления версиями нет?!! ("Все" означает "все, КРОМЕ луддитских X11 от Васянов)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

10. Сообщение от Аноним (10), 16-Окт-25, 11:44	+/–
> Самая надежная NixOS. Именно так. В других дистрибутивах были уязвимости как в самой инфраструктуре, так и в пакетных менеджерах. Но, в отличие от nixos, в других дистрибутивах ты можешь лишь гадать что у тебя там зловред в системе изгадил. В nixos пересобрать систему ты можешь в любой момент, сделать её чистой установкой одной командой.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12, #13

11. Сообщение от Аноним (10), 16-Окт-25, 11:45	+/–
Комментарий для ответа пропал, что же...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Мимопроходил (?), 16-Окт-25, 13:01	–1 +/–
>> Самая надежная NixOS. > Именно так. В других дистрибутивах были уязвимости как в самой инфраструктуре, так > и в пакетных менеджерах. Но, в отличие от nixos, в других > дистрибутивах ты можешь лишь гадать что у тебя там зловред в > системе изгадил. В nixos пересобрать систему ты можешь в любой момент, > сделать её чистой установкой одной командой. Ну да, ну да, как никсоводам набрасывать в новостях по другим дистрам, когда там обcepyтся, так это за здоров живёшь, а как у никсоводов жиденько тренькнули в штанишки, то сразу: "ну, оно всё же не такое жиденькое, как у других, и даже не такое пачкающее, и не такое вонючее, вон клеёночку мы покладываем и можно быстренько сполоснуться под душиком!" Пц, никсоводы мастера этодругина и переобувки в воздухе 80 lvl xD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #14, #15

13. Сообщение от Amerigo (?), 16-Окт-25, 13:05	+/–
Плюсом можно добавить модуль impermanence, который позволяет самому добавлять директории на диск, а остальную систему держать в tmpfs (хоть весь / если захочется). B получается чистая и предсказуемая система, которая не захламляется мусором и кэшем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от morphe (?), 16-Окт-25, 14:02	+1 +/–
Гитхаб экшоны в nixos не используются ни для чего серьёзного, лишь для проверки кодстайла и прочего, я удивлён что там вообще какие-то credentials существуют зачем-то Чтобы атака к чему-либо привела, атаковать надо hydra.nixos.org, что уже и является CI. Либо хотя бы ofborg, потому что у него право на мерж есть и доступ хоть к каким то сборочным машинам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (10), 16-Окт-25, 14:40    Скрыто ботом-модератором	+/–
По делу есть что сказать? Не вижу контраргумента против быстрого восстановления чистой системы. В других дистрибутивах ты НЕ сможешь найти зловред и тебе придётся либо целиком накатывать бекап, либо переустанавливать. Теперь понятно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема