БС
А если бы пинились не просто версии, а чексуммы? Кажется, даже примитивные локфайлы позволяют такое на подлёте рубить. В питоне такое есть года 2-3 точно
а ты пинишь?
Size: a a a
2021 February 10
SA
Да, ты прав. Я немного посмотрел документацию, и в случае апдейта реально можно привезти версию не откуда нужно.
SA
а ты пинишь?
Сейчас у нас не пинят, потому что 100% пакетов идёт из внутреннего репозитория. В ScrapingHub пинил, да. Через pip-tools и poetry в зависимости от проекта
RB
Правда он быстро заметит подвох, когда тесты поломаются. Но это примерно как заметить через 5 минут, что тебе нож в спину воткнули.
Если тесты запускаются изолированно в докере, то не очень то и больно от такого ножа
БС
первый раз слышу чтобы ктото по хешу пинил.
Внутренний репозиторий много кто использует. Только как в него пакеты заливаются? Подозреваю в 99% автоматом, без ручной проверки.
Внутренний репозиторий много кто использует. Только как в него пакеты заливаются? Подозреваю в 99% автоматом, без ручной проверки.
SA
Вообще, такая ситуация возникает, если используется помесь приватного и публичного репозиториев. Мне кажется, тут не надо полумер. Если есть приватный, то пусть он проксирует
SA
первый раз слышу чтобы ктото по хешу пинил.
Внутренний репозиторий много кто использует. Только как в него пакеты заливаются? Подозреваю в 99% автоматом, без ручной проверки.
Внутренний репозиторий много кто использует. Только как в него пакеты заливаются? Подозреваю в 99% автоматом, без ручной проверки.
Да. Однако версии пинятся, поэтому подменить пакеты не так и просто
БС
Если тесты запускаются изолированно в докере, то не очень то и больно от такого ножа
ну как сказать.. Сейчас обычно вирусы, это не просто какой то код, который нацелен на определенную дырку, а набор из кучи эксплоитов, которые умеют проникать в совершенно разные, изолированные системы. Небось и для докера есть свой "Spectre"
RB
ну как сказать.. Сейчас обычно вирусы, это не просто какой то код, который нацелен на определенную дырку, а набор из кучи эксплоитов, которые умеют проникать в совершенно разные, изолированные системы. Небось и для докера есть свой "Spectre"
наверняка есть )
БС
Да. Однако версии пинятся, поэтому подменить пакеты не так и просто
человек, сцуко ленив и часто лажает. Плюс пока у себя на рабочем компе "дебажишь", часто ничего не пинишь. Лично я пиню, когда уже всё заработало. Так что это снижает вероятность атаки, но не исключает её полностью :-(
RB
Вы кстати патчи от спектре и мелтдоун оставили или отключили? 😆
RB
Просто мы отключили и много кто отключает
SA
Да, я согласен. Наверное, хеши действительно тут могут помочь, но только при условии, что все очень мнительные и педантичные
БС
Просто мы отключили и много кто отключает
где на серверах или рабочих компах? Я не слышал чтобы кто то отключал, но это респонсибилити других команд.
RB
где на серверах или рабочих компах? Я не слышал чтобы кто то отключал, но это респонсибилити других команд.
На серверах, на десктопах они вроде и так не включены
БС
в винде точно были обновления которые включали патчи. Но их могли потом убрать, типа писали что всё тормозить начинало.
RB
Ой... я совсем одичал, про винду даже не подумал 😆
RB
А по сабжу - смотрел как-то доклад по гошечке, там озвучивалась мысль, что хорошую защиту от вот таких кейсов дает только вендоринг, а кэширующие прокси с чексумами в локфайлах параноиков не очень успокаивают ))
БС
Ой... я совсем одичал, про винду даже не подумал 😆
Я тут как то плакался про одну очень большую организацию.. Так вот в ней штатным разработчикам выдают ноуты ТОЛЬКО с виндой. Ты конечно можешь использовать и не винду на своём железе, но все инструкции по VPN, VDI/АРМ/ВРМ рассчитаны только на винду и иногда на мак. Если ты линуксоид -- то сам ищи и компиляй дрова для хардварного токена и эмулятор вендорского VPN.
Подозреваю что такая ситуация почти во всех российских энтерпрайзах, так как раньше C# был ну очень популярен в россии.
Подозреваю что такая ситуация почти во всех российских энтерпрайзах, так как раньше C# был ну очень популярен в россии.
SZ
Я тут как то плакался про одну очень большую организацию.. Так вот в ней штатным разработчикам выдают ноуты ТОЛЬКО с виндой. Ты конечно можешь использовать и не винду на своём железе, но все инструкции по VPN, VDI/АРМ/ВРМ рассчитаны только на винду и иногда на мак. Если ты линуксоид -- то сам ищи и компиляй дрова для хардварного токена и эмулятор вендорского VPN.
Подозреваю что такая ситуация почти во всех российских энтерпрайзах, так как раньше C# был ну очень популярен в россии.
Подозреваю что такая ситуация почти во всех российских энтерпрайзах, так как раньше C# был ну очень популярен в россии.
Я страдаю от этого же