The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Google предложил SLSA для защиты от вредоносных изменений в процессе разработки"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google предложил SLSA для защиты от вредоносных изменений в процессе разработки"  +/
Сообщение от opennews (??), 17-Июн-21, 17:47 
Компания Google представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), в котором обобщён имеющийся опыт по защите инфраструктуры разработки от атак, осуществляемых на стадии написания кода, тестирования, сборки и распространения продукта...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55345

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +7 +/
Сообщение от хацкер (??), 17-Июн-21, 17:47 
вода, вода, вода...
Ответить | Правка | Наверх | Cообщить модератору

23. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +4 +/
Сообщение от Dzen Python (ok), 17-Июн-21, 21:02 
Ну что поделаешь, если сегодня сначала кодить учатся, а потом, если повезет, и теорию почитают. Даже очень легкие к чтению классические труды вроде Макконела, в котором это, между прочим, даже со смехехеёчками есть.

Накопилась критическая масса просто. У гугла идет санпросвет: "мойте руки, перед и зад", "После сортира - с мылом" или "Не еште с пола".

Ответить | Правка | Наверх | Cообщить модератору

39. "Google предложил SLSA для защиты от вредоносных изменений в ..."  –6 +/
Сообщение от Аноним (39), 18-Июн-21, 01:30 
Правильно делают что начинают с практики, а не с сотен многотомников по теории... вот что желание кодить действительно отобьет
Ответить | Правка | Наверх | Cообщить модератору

47. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +7 +/
Сообщение от Аноним (47), 18-Июн-21, 07:43 
Вот бы и инженеры так работали, которые самолеты проектируют.
Ответить | Правка | Наверх | Cообщить модератору

78. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +1 +/
Сообщение от slk (??), 19-Июн-21, 10:35 
Они так и работают. С детства авиамоделизм, потом эксперементальные работы и если всё это желание не отбило, то уже институт и дальше.
Ответить | Правка | Наверх | Cообщить модератору

58. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +6 +/
Сообщение от Тупинйух (?), 18-Июн-21, 08:53 
Вот бы доктора так лечили тупина.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

75. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от псевдонимус (?), 19-Июн-21, 03:53 
Очень хорошо если у таких людей теория отобьёт желание кодить.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

87. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от And (??), 26-Июн-21, 14:12 
> Правильно делают что начинают с практики, а не с сотен многотомников по теории... вот что желание кодить действительно отобьет

Но новость о другом. Не о начале с практики, а о разборе синяков от граблей в процессе практики. Начинали бы с сотен томов, не было бы синяков и разбора полётов.

Наблюдаю этих желающих кодить за деньги - мрак и ужас от них.

Практика и учёба должны быть сбалансированы, должна быть или книга или учитель. А не косяки Незнайки на голом энтузиазме.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

56. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +2 +/
Сообщение от n00by (ok), 18-Июн-21, 08:47 
> Ну что поделаешь, если сегодня сначала кодить учатся, а потом, если повезет,
> и теорию почитают.

У Вас криокамера сломалась. Сегодня вообще не учатся. Нашли где-то патчик и в продакшен (именно так автономные разработчики Rosa Tresh добавили переполнение стека в rpm5, а потом не могли его исправить).

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

2. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +9 +/
Сообщение от Qwerty (??), 17-Июн-21, 17:58 
Нет, не нужно. Это что-то новое и непонятное, тут такого не надо.
Ответить | Правка | Наверх | Cообщить модератору

3. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +2 +/
Сообщение от Annoynymous (ok), 17-Июн-21, 18:25 
Сейчас опеннетовские эксперты пояснят, что это хипстерское говно от корпораций, а значит не нужно.

Google их, конечно же, проигнорирует, он вообще не в курсе об их существовании, а они будут сидеть, нахохлившись, и всё больше понимать, что мир свернул куда-то не туда, не смотря на все их предостережения.

Как обычно, в общем.

Ответить | Правка | Наверх | Cообщить модератору

6. "Google предложил SLSA для защиты от вредоносных изменений в ..."  –1 +/
Сообщение от Псевдоним (??), 17-Июн-21, 18:41 
Нужно, мб внедрю на работе эти рекомендации
Ответить | Правка | Наверх | Cообщить модератору

17. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Sw00p aka Jerom (?), 17-Июн-21, 20:16 
>Google их, конечно же, проигнорирует, он вообще не в курсе об их существовании

он же и вас проигнорировал, как адвоката выделенного на средства государства :)

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

29. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +6 +/
Сообщение от Аноним (29), 17-Июн-21, 23:48 
> Предлагаемый метод защиты: независимое рецензирование каждого изменения двумя разработчиками.

Ой всё! Без гугла мы не могли догадаться, что надо код проверять... Даёшь ещё больше бессмысленных бумажек богу бюрократии!

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

36. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (36), 18-Июн-21, 00:50 
опеннет раньше и фаерволы считал за параноидальные действия.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

42. "Google предложил SLSA для защиты от вредоносных изменений в ..."  –1 +/
Сообщение от СеменСеменыч777 (?), 18-Июн-21, 04:28 
если следовать https://en.wikipedia.org/wiki/Zero_trust_security_model
то фаерволлы не нужны. потому что нет никакой "нашей сети",
которой можно было бы "доверять".

кроме того, фаерволлы снижают сетевую производительность.
надеюсь, с этим спорить никто не будет.

Ответить | Правка | Наверх | Cообщить модератору

46. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от X86 (ok), 18-Июн-21, 06:58 
У меня есть локальная сеть и я ей доверяю)
Ответить | Правка | Наверх | Cообщить модератору

57. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +1 +/
Сообщение от ыы (?), 18-Июн-21, 08:51 
А вот я - нет. И даже домашний вайфай у меня только транспорт для внутренней VPN сети. От чего мелкие девайсы несколько страдают - во первых настраивать каждое новое устройство надо- иначе оно не получит доступ никуда, во вторых нагрузка несколько вырастает, и те ресурсы которые  коробочка потратила бы на распаковку MKV- она тратит на распаковку пакетиков...
Такой вот дивный новый мир...
Ответить | Правка | Наверх | Cообщить модератору

65. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от СеменСеменыч777 (?), 18-Июн-21, 10:44 
> даже домашний вайфай

что значит "даже" ? WiFi с т.з. доступа к медиа всегда был помойкой.

Ответить | Правка | Наверх | Cообщить модератору

76. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +2 +/
Сообщение от СеменСеменыч777 (?), 19-Июн-21, 08:36 
кстати !
"внутренняя VPN сеть" - та же самая "моя локальная сеть, которой я доверяю".
пруф ми вронг.
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

60. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Иксперд (?), 18-Июн-21, 09:32 
На бумаге хорошо, но этож гугл - зонды и прочее, вы ж понимаете...
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

69. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (69), 18-Июн-21, 13:30 
Это необходимо и это уже все было.

Корпорашки увлекшись геноцидом это потеряли.

Мы просто перестали обновляется 5-10 лет назад.

Теперь гуголь спохватившись в попыхах пытается что-то восстановить.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +2 +/
Сообщение от Аноним (4), 17-Июн-21, 18:33 
Конечно же, сейчас многие напишут, что это очередная поделка корпов, однако это просто объединение решений для давно мучающих проблем, что само по себе неплохо. Не панацея конечно, но уже что-то.

Спасибо тому, кто писал новость, на каждую проблему он нашел соответствующую новость на opennet, интересно почитать

Ответить | Правка | Наверх | Cообщить модератору

22. "Google предложил SLSA для защиты от вредоносных изменений в ..."  –2 +/
Сообщение от Dzen Python (ok), 17-Июн-21, 20:38 
Решение это для выпускников-троечников, стянувших половину своего диплома из интернетов, а остальную забивших методом Потолоцкого. И энтузиастов, выучившихся методом копипейста со стековерфлоу.

Это разжевывается на парах в любом не помойном вузе, а потом не пропускается при автоматической сдаче кода и ревью преподом.

Не понимаю, почему правила сборочной гигиены вызывают такое удивление. Хотя, судя по ковиднику, *простой народ* даже руки не всегда моет, что тут говорить про чуть более продвинутые правила?

Ответить | Правка | Наверх | Cообщить модератору

24. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +4 +/
Сообщение от Псевдоним (??), 17-Июн-21, 22:05 
Как человек учившийся НЕ в помойном(для россии) вузе заявляю что ничерта там не учат, особенно сборочной гигиене.
Насколько знаю этому не учат и в бауманке (топовом вузе страны, недалеко от моего).
И я не уверен что этому учат в зарубежных вузах за немногочисленными исключениями.
Более того я и сам с 2 дипломами по 2 разным  направлениям, одна из которых разработка по, и почти 10летним стажем работы не написал бы лучше, не то что студент троешник.
Так что ваша спесь просто зашкаливает.
Ответить | Правка | Наверх | Cообщить модератору

30. "Google предложил SLSA для защиты от вредоносных изменений в ..."  –1 +/
Сообщение от Аноним (29), 17-Июн-21, 23:54 
> Как человек учившийся НЕ в помойном(для россии) вузе заявляю что ничерта там не учат, особенно сборочной гигиене.

Просто в НЕ помойный вуз берут людей, которые хотя бы что-то из себя представляют и объяснять подобные вещи не считают необходимым. Про помоечные вузы тезис в силе.

Ответить | Правка | Наверх | Cообщить модератору

33. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +2 +/
Сообщение от fidoman (ok), 18-Июн-21, 00:16 
Когда не разжёвывают азы - взял кувалду и вперёд - ты же умный, что тебя учить - это и есть помойка.
А когда уровень очень хороший - эти азы настолько на запчасти разбирают, что со стороны посмотришь, так вообще и не поймёшь, о чём речь.
Ответить | Правка | Наверх | Cообщить модератору

72. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +1 +/
Сообщение от Аноним (69), 18-Июн-21, 14:04 
Учился не в РФ.

Поступив у ВУЗ уже чуть кодил и выигрывал олимпиады включая программирование. Группа была сильная и мы втихаря хихикали - "посмотрим еще кто кого будет учить программировать".

На лекциях подробно разбирали очевидную классическую модель и классические методы, алгоритмы решения задачи. На лабораторных (раз в неделю) требовалось решить данную задачу с таким условием, что классический алгоритм не подходил. Все чему научили на лекции оказывалось просто непригодным. По сути лектор просто доказывал что задача имеет решение.

На первую лабку каждому выдали по периодической графической функции и попросили разложить в ряд Фурье с ограничением времени. Конечно классический алгоритм Фурье, который подробно разбирали на лекции не проходил временное ограничение, а о быстром разложении Фурье нам не рассказывали... За свою идеально оптимизированную программу реализующую классическое разложение в ряд Фурье я сразу получил незачет и требование перездать. Кто не сдал все лабки к экзамену не допускается.

И к остальным лабкам всем САМОСТОЯТЕЛЬНО приходилось искать нужный алгоритм решения, который на лекции не упоминали.

На вопрос: "за что нас так?" - отвечали: "здесь никого мы учить не будем, здесь необходимо уметь учится самому".

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

27. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от ыы (?), 17-Июн-21, 22:38 
А вот без понтов - назовите пожалуйста год, учебное заведение, специальность, курс и предмет где вы это все видели?
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

41. "Google предложил SLSA для защиты от вредоносных изменений в ..."  –3 +/
Сообщение от Dzen Python (ok), 18-Июн-21, 02:07 
Вот только что тебе это даст?
Ответить | Правка | Наверх | Cообщить модератору

48. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (48), 18-Июн-21, 08:09 
И тебя вылечат
Ответить | Правка | Наверх | Cообщить модератору

70. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (70), 18-Июн-21, 13:35 
Просто работает кто-то типа PhD, поэтому всё по полочкам разложено изначально, очень много разных красивых картинок и умных слов.

По факту пока получился пшик. В генте всё это было сделано ещё 15 лет назад. Схемы конечно красивые, но дойдёт ли дело до чего-то более серьёзного, чем проверка хешей загруженных файлов и генерация логов сборки - непонятно. Пока что гугл на этой стадии ;) Даже анализировать логи сборки не собирается, "это не предмет SLSA1, реализуется на других уровнях".

Вот когда в 2006-м ковырялся с гентой в своём родном ВУЗе в свободное время (потому что был интернет и можно было скачивать исходники нахаляву) всю эту ALSA-1 наблюдал вживую. И до сих пор наблюдаю ;)

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

71. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от ыы (?), 18-Июн-21, 13:53 
Точно так же, народ когдато реагировал на ITIL. А потом привыкли, и не стесняются говорить что применяют именно его а не "тут достаточно исходя из общих соображений". То что этот фреймворк (непонятно почему это фреймворк? обычная методичка...) в общем на уровне курсовой- это не важно.
Его удобно использовать, и при необходимости сослаться на него. И не писать самому собственный стандарт по ISO:20000.
Ответить | Правка | Наверх | Cообщить модератору

31. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +1 +/
Сообщение от yet another anonymous (?), 18-Июн-21, 00:01 
Несмотря на некотрую резкозть в #22, он, по сути, прав: толстые компании сначала всеми возможными способами пропихивают переусложнённые и наидырявейшие workflow, а потом лечат это следующим уровнем  (пере)усложнения. При этом (сравнительно) простые и надёжные действия остаются для массового современного специалиста неизвестными --- их весьма тщательно маскируют. В т.ч. и в образовательном процессе, давая заучивание паттернов действий, а не суть вещей.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

55. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от ыы (?), 18-Июн-21, 08:45 
По сути в #22 делаются провокационные необоснованные заявления. Подтвердить свои слова - автор отказался. Это - по сути. Все остальное - плод воображения и фобий.
Ответить | Правка | Наверх | Cообщить модератору

63. Скрыто модератором  –2 +/
Сообщение от Dzen Python (ok), 18-Июн-21, 10:32 
Ответить | Правка | Наверх | Cообщить модератору

67. Скрыто модератором  +/
Сообщение от ыы (?), 18-Июн-21, 13:06 
Ответить | Правка | Наверх | Cообщить модератору

5. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +4 +/
Сообщение от Аноним (5), 17-Июн-21, 18:37 
>> Предлагаемый метод защиты: рекурсивное применение требований SLSA ко всем зависимостям (в случае event-stream проверка бы выявила сборку кода, не соответствующего содержимому основного Git-репозитория).

То есть если убрать мешуру и термины, читайте исходники вашего проекта и всех зависимостей, и будет у вас безопасность. Проблема в том, что это тяжелая (если вообще выполнимая) задача, подверженная помимо прочего человеческой ошибке (невнимательно прочитал название переменной, перебирая гигабайты кода).

Ответить | Правка | Наверх | Cообщить модератору

7. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +3 +/
Сообщение от Псевдоним (??), 17-Июн-21, 18:48 
Тут польза не в том что они скапитанили, а в том как они это сделали - структурированно, разобрав атаки и предложив решение. Мне бы на это понадобилось несколько рабочих дней при том что про некоторые типы атак я бы обязательно забыл (ибо не безопасник), ещё несколько дней чтобы нагуглить решения и лучшие практики и ещё пару дней чтобы подготовить решение. Ещё как минимум неделю я бы это отлаживал и писал документацию. И в итоге все равно бы сделал хуже.
Ответить | Правка | Наверх | Cообщить модератору

14. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (14), 17-Июн-21, 20:06 
>> Тут польза не в том что они скапитанили, а в том как они это сделали - структурированно, разобрав атаки и предложив решение

"За все хорошее - проиы всего плохого" (L)

*ня это все, выйдет еще один аналог Spice как в Automotive
Корпо-Бюро пляски - потом очередное поколение "инфо-цыган" пойдет нести светоч XP, Agile и т.д.

Ответить | Правка | Наверх | Cообщить модератору

15. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (14), 17-Июн-21, 20:06 
"За все хорошее - против всего плохого" (L)
Ответить | Правка | Наверх | Cообщить модератору

77. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (77), 19-Июн-21, 09:25 
Сначала надо:

1. Начать подписывать код PGP ключами (пример: https://www.altlinux.org/Работа_с_ключами_разработчика).

2. Обеспечить надежное хранение закрытых PGP ключей разработчиков (например: https://www.gentoo.org/news/2019/04/16/nitrokey.html)

3. Обеспечить обмен публичными ключами PGP с сертификацией паспортных данных и E-mail (https://www.opennet.ru/docs/RUS/gph/ch03s02.html)

4. Обеспечить работу серверов ключей (https://www.opennet.ru/opennews/art.shtml?num=51006) в данном случае к серверам прикасался не надо, надо профиксить только gnupg.

5. Сначала верифицировать скачанные исходники по PGP подписи, а потом уже читать исходники, компелять бинарники.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

8. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +1 +/
Сообщение от Онаним (?), 17-Июн-21, 18:50 
Ахах, Provenance - Dependencies complete вынесено аж на 3 степень )))
Хотя это вообще базовая вещь, без которой и 1 бессмысленна.
Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором  +1 +/
Сообщение от acroobat (??), 17-Июн-21, 18:57 
Ответить | Правка | Наверх | Cообщить модератору

11. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (11), 17-Июн-21, 19:13 
Чую на этом опен-сорс проекты смогут подзаработать. Что есть хорошо.
Ответить | Правка | Наверх | Cообщить модератору

12. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (12), 17-Июн-21, 19:16 
Чушь. Когда в ядре была пачка варнингов всем было пофиг. А потом начали все быстро исправлять потому что уязвимостей много обнаружили. Без ручной проверки разработчиками вся эта программулина ничего не даст. Эти хипстеры правда думают что свободных разработчиков заботят их рельсы? Написал Васян модуль к альсе, и ему пофиг вообще что там думают об этом корпы. Не захотят принять изменения - не примут. Васе пофиг.
Ответить | Правка | Наверх | Cообщить модератору

25. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Псевдоним (??), 17-Июн-21, 22:09 
Это по-другому работает. Захотел Вася безопасности, посмотрел на сабж, а не наоборот.
Ответить | Правка | Наверх | Cообщить модератору

13. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Dzen Python (ok), 17-Июн-21, 19:47 
Очень много бла-бла-бла к простейшиим правилам деплоя:
- читай пулл-реквесты даже через нехочу
- собирай срез из гита проверенным инструментом
- используй лишь проверенные сторонние либы

Современным потребителям условного смуззи на условных гироскутерах с условным вейпом должен сам гугл разжевать то, что в университетских учебниках (нормальных, а не в Павловской) и лекциях талдычится ЕМНИП года с 89го как азы?

Ждем гайдлайнов от гугла "Итак, ты получил неподписанный экзешник. Что делать, кого позвать?" или "Как написать скрипт для операционной системы и ничего в ней не поломать. Читать вывод --help не стыдно!"

Ответить | Правка | Наверх | Cообщить модератору

18. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Sw00p aka Jerom (?), 17-Июн-21, 20:20 
>используй лишь проверенные сторонние либы

угудайте сколько зависимостей у пакета gitlab-ce в бсд?

Ответить | Правка | Наверх | Cообщить модератору

19. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (19), 17-Июн-21, 20:31 
> Читать вывод --help не стыдно!"

Вот именно сюда и можно вредоноса всандалить. Читать хельп параллельно с strace и в виртуалке ты точно не будешь. А даже если и будешь, то засмеют.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

28. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +1 +/
Сообщение от ыы (?), 17-Июн-21, 23:40 
>Очень много бла-бла-бла к простейшиим правилам деплоя:
>- читай пулл-реквесты даже через нехочу
>- собирай срез из гита проверенным инструментом
>- используй лишь проверенные сторонние либы

Для тех кто в танке:
Чтение пулл-реквеста одним человеком- с хочу или нехочу- может оказаться недостаточно. Ну разве что вы гений-супермен с бородой...

Сборки среза из гит проверенным инструментом может оказаться недостаточно- поскольку файлы могут подменить "на лету"

Использование лишь проверенных сторонних либ может оказаться недостаточно- проверенная либа может быть скомпрометирована через секунду после того как проверили в очередной раз.

Ваши "простейшие правила деплоя"  малость устарели...

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

32. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от yet another anonymous (?), 18-Июн-21, 00:15 
> ... Ну разве что вы гений-супермен с бородой...

Это когда как. В смысле --- я иногда её (бороду) срезаю. Но умище-то...

> Сборки среза из гит проверенным инструментом может оказаться недостаточно- поскольку файлы могут подменить "на лету"

При соблюдении определённых принципов --- это нереально (в смысле подпихнуть вам херню, так, чтобы это не было замечено). Без -- вполне. Но тут уж выбирайте --- вы бородатый олдскульный пердун в растянутом свитере или высокоэффективный хипстерный смузихлёб.

Ответить | Правка | Наверх | Cообщить модератору

52. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от ыы (?), 18-Июн-21, 08:35 
Ну так вот и напишите свои принципы, аккуратно в виде чеклиста, или даже в виде программы. умойте гугл :)

А уж мы то... проведем рецензирование :)

Ответить | Правка | Наверх | Cообщить модератору

54. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Ананоним (?), 18-Июн-21, 08:41 
Разработал суперпупергарантирующий способ загрузки в память проверенного файла? Молодец. Теперь знай, что содержимое ячеек памяти после чтения злоумышленник можно изменить. Решил что злоумышленников рядом нет? Ты ошибся, всемогущий Intel ME не дремлет!
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

16. "Google предложил SLSA для защиты от вредоносных изменений в ..."  –5 +/
Сообщение от Аноним (16), 17-Июн-21, 20:15 
Иногда кажется, что мои статьи всё же читают и обращают на них пристальное внимание:

https://itvision.altervista.org/linux-myths-series-linux-doe...

И это не 1й раз, лол.

Ответить | Правка | Наверх | Cообщить модератору

20. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Dzen Python (ok), 17-Июн-21, 20:32 
> вай линукс сакс

Не, не оче. Шел бы ты обратно.

Ответить | Правка | Наверх | Cообщить модератору

21. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (19), 17-Июн-21, 20:32 
> Иногда кажется, что мои статьи всё же читают и обращают на них пристальное внимание:

Самоуспокоение наверное. Что-то из разряда эффекта плацебо.

> https://itvision.altervista.org/linux-myths-series-linux-doe...

Ниочём. Просто вообще ниочём.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

26. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +1 +/
Сообщение от ыы (?), 17-Июн-21, 22:25 
>Обязательное рецензирование всех изменений двумя разными разработчиками.

Обязательное рецензирование всех изменений десятью разными разработчиками из которых минимум 50% просмотрели то что рецензируют.

Ответить | Правка | Наверх | Cообщить модератору

34. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (34), 18-Июн-21, 00:16 
Вот только, что делать если этих самых разработчиков не хватает, и вообще меньше десяти :)...
Ответить | Правка | Наверх | Cообщить модератору

51. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +1 +/
Сообщение от ыы (?), 18-Июн-21, 08:33 
Вы не пройдете аттестацию очевидно... И с вами просто не будут работать...
Ответить | Правка | Наверх | Cообщить модератору

59. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от n00by (ok), 18-Июн-21, 09:19 
Просто трындите повсюду, что делаете самый лучший продукт для дома, соберите вокруг сообщество, привлеките его к тестированию. Если кто-то заикнётся про необходимость ревью -- пресекайте на корню, тупо затравите, даже втроём можно справиться. Через два года переименуйте Rosa Tresh в Rosa Enterprise Desktop x4,  и можно продавать.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

61. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от ыы (?), 18-Июн-21, 09:47 
Над скромным мальчиком понявшим суть вещей - посмеялись... Но те кто в теме- сделали правильные выводы... и по сути получилось две пользы в одном- они получают деньги, а вы- продлеваете себе жизнь.. ведь смех- это здоровье :)
Главное не забывать между приступами схема чегонить кушать...
Ответить | Правка | Наверх | Cообщить модератору

66. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от n00by (ok), 18-Июн-21, 10:50 
Одно не ясно в этой игре с нелулевой суммой: от чего же их так бомбит, когда лох какой-то Васян?) И почему кое-кого из них вдруг "кинули на деньги" (ц) https://www.opennet.ru/openforum/vsluhforumID3/124359.html#204

Впрочем, кого гнетёт чужое горе? У нас появилось ещё несколько этих минут на прослушивание оды Неумолимому Хроносу https://youtu.be/QnSZhAvQd_8

Ответить | Правка | Наверх | Cообщить модератору

35. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (35), 18-Июн-21, 00:16 
Интересно, лет через 10 гугл будет этим пользоваться? Или придётся новые схемки рисовать и внедрять какой-нибудь пятиуровневый SLSB?
Ответить | Правка | Наверх | Cообщить модератору

50. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от ыы (?), 18-Июн-21, 08:32 
Он натаскает на это нейросеть, и встроит  в средства разработки. вы даже знать не будете...
Ответить | Правка | Наверх | Cообщить модератору

79. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от anonymous (??), 19-Июн-21, 13:21 
Нет предела совершенству.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

37. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (37), 18-Июн-21, 01:15 
Кому нужна секурность тот сам иследует код, сам накатывает патчи и сам всё компилит, а не какие-то там майнтайнеры и умные среды автоматизированной сборки.
Ответить | Правка | Наверх | Cообщить модератору

49. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +1 +/
Сообщение от ыы (?), 18-Июн-21, 08:30 
И наслаждается "хелло ворлд".
Потому что ничего сложнее этой инновационной фразы он осмыслить не в состоянии. Потому что как только он затеит чтото более сложное- весь набор озвученных проблем всплывет во весь рост...
Ответить | Правка | Наверх | Cообщить модератору

38. "Google предложил SLSA для защиты от вредоносных изменений в ..."  –1 +/
Сообщение от Аноним (39), 18-Июн-21, 01:27 
Пацаны из Миннесоты ржут во весь голос
Ответить | Правка | Наверх | Cообщить модератору

40. "Google предложил SLSA для защиты от вредоносных изменений в ..."  –1 +/
Сообщение от Dzen Python (ok), 18-Июн-21, 02:04 
Пацаны из Миннесоты уже перестали плакать после скандала?
Ответить | Правка | Наверх | Cообщить модератору

53. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от ыы (?), 18-Июн-21, 08:40 
А они плакали?
Они поставили в листике галочку, и перешли к следующему пункту...
Ответить | Правка | Наверх | Cообщить модератору

64. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +1 +/
Сообщение от Dzen Python (ok), 18-Июн-21, 10:35 
Следующий пункт - яростно оправдываться перед сообществом, помахивая залитым на почти на депозитфайлс пдфником?
Ответить | Правка | Наверх | Cообщить модератору

62. "Google предложил SLSA для защиты от вредоносных изменений в ..."  –1 +/
Сообщение от Аноним (62), 18-Июн-21, 10:04 
Свидетели секты какугугла расправили крылья и начали ими хлопать, говоря, как же хорошо жить с переусложнением всего и вся, выпасая рабов-программистов на поводках и внедряя "лучшие практики", валящие людей неоправданной сложностью.

Про проблемы начали вспоминать, про каких-то хипстеров оборот завернули, не вылезая из гитлаба... а время покажет, что безопасности и качества у гугла и какугугла как нет, так и не будет, а циферка в словах

>Only two remote holes in the default install, in a heck of a long time!

если и изменится, то незначительно.

Ответить | Правка | Наверх | Cообщить модератору

68. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от ыы (?), 18-Июн-21, 13:17 
Готовьтесь к тому, что каждую строчку вы будете подписывать усиленной цифровой подписью, и нести личную уголовную ответственность за коммиты...

Вот тогда и поговорим о свидетелях секты какугугл :)

Ответить | Правка | Наверх | Cообщить модератору

73. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +2 +/
Сообщение от Dzen Python (ok), 18-Июн-21, 20:29 
Подпись пойдет контуровским ключом через криптопро по ГОСТ 2012.
Каждый коммит должен пройти ревью в ФСБ и у экспертов опеннета.
Каждый билд должен быть отослан в Комиссию по Регулирования ХОЕ МОЕ АБЫРВАЛГ ФСТЭК.
Каждый пользователь может получить девкит только в специальном органе при Президенте РФ на одноразовом носителе под роспись о гостайне.
Каждый программист обязан сдать квалификационный экзамен  на право программирования ЭВМ и потом каждые пять лет его продлять.
Каждого, кого уличат в использовании иностранных несекурных РАСТа или ЦЭ++ - принудительно клеймить иноагентами и переучивать на православные безопасные 1С, OneScript и АЛГОЛ.
...
Зато секурно!
Ответить | Правка | Наверх | Cообщить модератору

74. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от ыы (?), 18-Июн-21, 22:19 
под роспись о гостайне - вряд ли... поскольку это не гостайна. Можете вздохнуть свободнее...
Ответить | Правка | Наверх | Cообщить модератору

80. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от anonymous (??), 19-Июн-21, 13:23 
А что не так к Google с безопасностью?
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

86. "Google предложил SLSA для защиты от вредоносных изменений в ..."  +/
Сообщение от Аноним (86), 21-Июн-21, 11:28 
>A. Включение в исходный код изменений, содержащих бэкдоры или скрытые ошибки, приводящие к уязвимостям.
>Пример атаки: "Hypocrite Commits" - попытка продвижения в ядро Linux патчей с уязвимостями.
>Предлагаемый метод защиты: независимое рецензирование каждого изменения двумя разработчиками.

Достаточно устного приказа Лица, Принимающего Решения. В случае применения фреймворка - в том числе двум другим разработчикам приказа сказать "ОК". После этого всё остальное бессмысленно.

>E. Продвижение вредоносного кода через некачественные зависимости.
>Предлагаемый метод защиты: рекурсивное применение требований SLSA ко всем зависимостям (в случае event-stream проверка бы выявила сборку кода, не соответствующего содержимому основного Git-репозитория).

Перевод на русский: "форкнуть и переписать всю софтварную экосистему под свои требования и использовать только свой софт. Чужие зависимости - не использовать". Нереально.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру