| 1.1, Аноним (1), 10:26, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
Никогда, ни в одном, открытом репозитории не было вредоносных пакетов и вот нате вам опять!
| | |
| |
| 2.14, нах. (?), 11:47, 22/04/2020 [^] [^^] [^^^] [ответить]
| +8 +/– | |
ну, согласись, 700 штук с двух акаунтов - это все же достижение!
| | |
| 2.24, gogo (?), 14:13, 22/04/2020 [^] [^^] [^^^] [ответить]
| +11 +/– |
Для публично открытых на запись "репозиториев" следовало бы придумать другое название, дабы не путать с нормальными репозиториями.
Например говнозиторий. Или репоговнорий. Или говноговнорий. Всем бы было понятно.
| | |
| |
| 3.28, Константавр (ok), 15:08, 22/04/2020 [^] [^^] [^^^] [ответить]
| +12 +/– |
 crapository - звучит :) продвигай идею в палату мер и весов, мы тебя поддержим :)
| | |
|
| 2.31, заминированный тапок (ok), 16:08, 22/04/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Думать что в закрытом ПО нет вредоносного кода - это как закрыть глаза руками и думать что спрятался и в безопасности
Но у проприетарщиков обычно и уровень развития 6-летнего
| | |
| |
| 3.55, MadeInRussiaPlus (?), 10:41, 24/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
При чем тут закрытый код? Речь про открытые репозитории, неважно, что в них лежит, проприетарной или открытое ПО.
Это как сайт без HTTPS, открытый для MITM. Неважно, на чем он написан, ASP.NET или RoR, открыт его код или закрыт.
Речь о том, что нужно ужесточать контроль за репозиториями. Например, все так же разрешать загружать любые пакеты, но делать процедуру получения флага "trusted", а пользователи без флага маркировать как требующие особой осторожности со стороны пользователей.
| | |
| |
| 4.56, заминированный тапок (ok), 11:22, 24/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
приношу извининения, тк я не думал, что существуют настолько открытые репозитории (точнее свалка)
и не думал что существуют те, кто таким слепо пользуется
не перестают удивлять феноменам современности
просто дичь
| | |
|
|
|
| |
| 2.3, Аноним (3), 10:39, 22/04/2020 [^] [^^] [^^^] [ответить]
| +6 +/– | |
Рад за коллегу, но
> проблема не специфична для RubyGems и касается других популярных репозиториев | | |
| |
| 3.8, Аноним (1), 10:51, 22/04/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать!
2. Контролировать каждому и верифицировать OpenPGP ключи хороших разрабов.
3. Тулзы которые грузят что-то с реп должны автоматом проверять подпись OpenPGP.
| | |
| |
| 4.12, JL2001 (ok), 11:37, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
 > 1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать!
оно примерно так и работает фактически
> 2. Контролировать каждому и верифицировать OpenPGP ключи хороших разрабов.
механизм отличия хороших от плохих в студию (плохих предлагаю скриптом сразу расстреливать)
> 3. Тулзы которые грузят что-то с реп должны автоматом проверять подпись OpenPGP.
оно так и работает чаще всего (https всякий)
| | |
| |
| 5.21, Аноним (21), 12:59, 22/04/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
1. Идентификация пакетов в репозитории строго по подписи OpenPGP ключа.
2. Строгая верификация публичных OpenPGP ключей пользователей: https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4
Скрипт для отстрела левых пакетов в репозитории:
Создаем список публичных ключей не прошедших проверку:
gpg --check-trustdb
Удаляем все пакеты с репозитория без подписи или подписанные ключами не прошедшими проверку.
3. Каждый пользователь репозитория должен у себя поддерживать, периодически проверять, публичные ключи разрабов пакетов и по них верифицировать скачанные с репозитория пакеты.
| | |
| |
| 6.25, Michael Shigorin (ok), 14:16, 22/04/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Да подпись тут -- инструмент, вопрос в доверии к ней (и подписавшему). Это задачка на репутацию, а не на криптуху.
| | |
| |
| 7.45, Аноним (45), 06:19, 23/04/2020 [^] [^^] [^^^] [ответить] | +/– | gpg --check-trustdb Дает возможность верифицировать базу публичных ключей Можно... большой текст свёрнут, показать | | |
|
| 6.34, microsoft (?), 19:17, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
А говнокодомакаки как костылили с использованием левых модулей, так и будут дале
| | |
|
|
| 4.23, funny.falcon (?), 13:16, 22/04/2020 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Так ведь НЕ БЫЛИ скомпроментированы существующие пакеты.
Злоумышленники создали НОВЫЕ пакеты от СВОЕГО имени.
Просто имена подобрали подходящие на существующие: если кто-то опечатается, или в поиске выберет не тот, то попадётся.
| | |
|
|
| |
| 3.22, Аноним (21), 13:01, 22/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
И JS тоже нигде не использую, даже dbus & polkitd не устанавливаю.
| | |
|
|
| 1.4, КО (?), 10:40, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В зависимости подставить можно?
Если нет - то тут уж у кого глаз острее
| | |
| |
| |
| 3.54, Аноним84701 (ok), 17:47, 23/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > NPM всего-то в 100+ раз больше размером
И за RubyGems стоит компания Ruby Inc, у которой репа и все с ней связанное - основная часть бизнеса?
Или опять сравнивается мягкое и фиолетовое?
| | |
|
|
| 1.6, Аноним (7), 10:46, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Если я правильно посмотрел, то в rubygems всего 10620 пакетов. 724 от этих 10620 это почти 7%.
| | |
| |
| |
| 3.57, JL2001 (ok), 13:04, 24/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> какие майнтейнеры? Там практически анонимная свалка.
а кто, используя RubyGems, понимает это? большинство считают репозиторием а не свалкой
| | |
|
|
| 1.19, robot228 (?), 12:32, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Не удивительно что в одном из лучших и крупнейших архивах яп выявлены троянчики=)
| | |
| 1.35, microsoft (?), 19:20, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Может макаки уже начнут проверять имена пакетов и перестать ныть когда сами виноваты?
| | |
| |
| 2.37, Онаним (?), 20:51, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Как, одной командочкой скачивая пакетик "leftpad-makes-everything-good" вместе со всеми зависимостями, ещё надо что-то проверять?
| | |
| 2.39, Аноним (39), 21:26, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
А как ты узнаешь, что тебе нужно, и как оно называется? Простые батарейки конечно просмотришь глазами (1 раз), но со сложными как быть? Если есть возможность, я смотрю на список других пакетов автора. И копирую, чтобы не ошибиться при вводе. Так ведь не проблема нагенерировать по автору на каждый пакет! И как ты отличишь это нормальный форк, или малварь? А если половина авторов просто китайские нонеймы?
| | |
| |
| 3.40, microsoft (?), 21:48, 22/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Не использовать такое уг в проекте. Иииии проверять то что подключаеш а не верить васяну на чисто ну тут я те говору да мамо клянусь все путем
| | |
| 3.42, Lex (??), 01:23, 23/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Количество и частота скачиваний, количество звёзд и issue( в т.ч исправленных )в репе проекта
Очевидно же, что если есть пара почти одинаковых пакетов, но у одного 10 тыс скачиваний, а у другого - просто 10, то кто-то желает кого-то н*ть, надеясь, что пользователи не заметят разницы в названии.
| | |
| |
| 4.44, Аноним (39), 02:20, 23/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Если бы это ещё работало. Обычно ближе у 1 100 скачиваний, но протухло, у 2 10, но не протухло. А на гитхабе ещё и 100500 форков, пойди найди живой. Выбирай. При этом обычно там ещё и норм код оказывается, намного лучше, чем сейчас бы накостылял под задачу.
| | |
|
|
|
| 1.38, YetAnotherOnanym (ok), 21:09, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > касается других популярных репозиториев
> те же исследователи выявили
> также периодически всплывают
Хы... осталось дождаться, когда эти исследователи доберутся до hex.pm.
| | |
| 1.52, Аноним (52), 16:43, 23/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну частично сами виноваты - надо быть конченым чтобы различать - и _ в названиях пакетов, а вообще вполне ожидаемо от uncurated репозитория - в pypi и npm такие же проблемы. Поэтому их можно рассматривать только как помойки, а ставить пакеты только через родные репозитории системы, где на них хотя бы посмотрели мантейнеры.
| | |
|
