OpenForum RSS: Анализ подверженности репозиториев на GitHub атаке RepoJacking https://opennet.ru/openforum/vsluhforumID3/130830.html Исследователи из компании Aqua Security проанализировали применимость атаки RepoJacking к репозиториям на GitHub. Суть проблемы в том, что после удаления или переименования проектов на GitHub, в сторонних репозиториях могут остаться ссылки на уже несуществующие имена, например, в документации, скриптах и инструкциях по установке из README-файлов. Атакующий может зарегистрировать на GitHub имя пользователя, повторяющее ранее существовавшее имя, разместить в репозитории с повторяющимся именем вредоносное ПО и ожидать, что кто-то загрузит его, пользуясь неисправленными руководствами или старым кодом, загружающим зависимости по старым ссылкам...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59339<br> Анализ подверженности репозиториев на GitHub атаке RepoJacki... (Анониссимус) https://opennet.ru/openforum/vsluhforumID3/130830.html#31 Mon, 03 Jul 2023 22:35:28 GMT &gt;&gt; Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить.<br>&gt; Чё правда?<br><br>Я в устройстве гита глубоко не разбираюсь. Но есть вполне понятные соображения. Репозиторий чаще всего хранится на одном главном хосте (хоть система и является распределённой). С этого же главного хоста потом и скачиваются исходники. И если тот, кто управляет главным репозиторием (или тот, кто захватил контроль) внедрит какой-нибудь вредонос в исходники; то те, кто делает `git clone` (пользователи, мейнтейнеры, скрипты -- не важно) ничего не заметят. Потому что почти никто не будет сверять хеши. Да и с чем сверять? Где хранится хеш от "правильной", не подменённой версии ПО? Такую проблему может решить только хранилище, в котором историю действительно невозможно переписать задним числом. И насколько я знаю, единственной такой технологией является блокчейн.<br> Анализ подверженности репозиториев на GitHub атаке RepoJacki... (Аноним) https://opennet.ru/openforum/vsluhforumID3/130830.html#30 Mon, 03 Jul 2023 19:29:50 GMT &gt; Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить.<br><br>Чё правда?<br> Анализ подверженности репозиториев на GitHub атаке RepoJacki... (Аноним) https://opennet.ru/openforum/vsluhforumID3/130830.html#29 Tue, 27 Jun 2023 07:15:39 GMT Потому что гит это горбуха идеологически. Вот и страдайте. А нормальные люди пользовались и будут пользоваться централизованными, платными сервисами.<br> Анализ подверженности репозиториев на GitHub атаке RepoJacki... (Аноним) https://opennet.ru/openforum/vsluhforumID3/130830.html#28 Mon, 26 Jun 2023 01:59:57 GMT &gt; Все эти ваши смузидвижения можно произвести и без блокчейна и по мощности <br>&gt; пук будет примерно такой же.<br><br>Можно. Но вся централизация упирается в бесконечное количество всяких *джекингов, фишингов, атак на владельца, злоупотреблений и пр. Ну а с децентрализацией предлагайте, попробую рассказать почему этот способ хуже (ну или позорно посыплю голову пеплом если предложите что-то стоящее).<br> Анализ подверженности репозиториев на GitHub атаке RepoJacki... (Аноним) https://opennet.ru/openforum/vsluhforumID3/130830.html#27 Mon, 26 Jun 2023 01:52:09 GMT &gt; чтобы взымать плату блокчейн не обязателен <br>&gt; ну а второй аргумент - по сути, можно просто сделать доступ по <br>&gt; ИД репы без возможности его менять <br><br>Можно, но если это централизация, то привет проблемы гитхаба (собственно имя это ид, а то что его можно менять это бага, то что ид станет цифровым, не избавит от багов, не говоря уже о других проблемах, на мой взгляд более весомых).<br>Если это децентрализация, то нужны методы борьбы с фейками. В биткойне уже это есть (собственно он изначально и вырос из антиспамера для почты).<br> Анализ подверженности репозиториев на GitHub атаке RepoJacki... (Бывалый смузихлёб) https://opennet.ru/openforum/vsluhforumID3/130830.html#26 Sun, 25 Jun 2023 07:17:55 GMT чтобы взымать плату блокчейн не обязателен<br>ну а второй аргумент - по сути, можно просто сделать доступ по ИД репы без возможности его менять<br> Анализ подверженности репозиториев на GitHub атаке RepoJacki... (Аноним) https://opennet.ru/openforum/vsluhforumID3/130830.html#24 Sun, 25 Jun 2023 04:19:00 GMT Может на всеми любимый тут go<br> Анализ подверженности репозиториев на GitHub атаке RepoJacki... (Анониссимус) https://opennet.ru/openforum/vsluhforumID3/130830.html#23 Sat, 24 Jun 2023 22:08:34 GMT Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить. А в блокчейне это невозможно, если только не завладеешь контролем над всей сетью.<br> Анализ подверженности репозиториев на GitHub атаке RepoJacki... (Аноним) https://opennet.ru/openforum/vsluhforumID3/130830.html#22 Sat, 24 Jun 2023 20:37:36 GMT &gt;рабы хотят вкалывать бесплатно, делая свои никому кроме них не нужные хобби-проекты, но при этом чтобы их хобби оплачивал кто-то другой<br><br>пофиксил.<br>