Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В пакетах, размещённых в PyPI, выявлено 57 забытых ключей доступа к AWS"	+/–
Сообщение от opennews (??), 07-Янв-23, 08:49
Опубликованы результаты сканирования пакетов в репозитории PyPI (Python Package Index) на предмет наличия забытых в коде ключей доступа к Amazon Web Services (AWS). Провести проверку побудил прошлогодний инцидент с утечкой  AWS-ключей  компании InfoSys. Как оказалось случай не единичный и в коде представленных в PyPi пакетов удалось выявить ещё 57 действующих ключей, которые присутствовали среди прочего в проектах таких крупных компаний, как Amazon, Intel, Terradata,  General Atomics, Top Glove и Delta Lake, а также в репозиториях австралийского правительства и университетов Сендфорда, Портланда и Луизианы... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58446
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 07-Янв-23, 08:49	–2 +/–
А в чём суть проблемы, собственно? Так много написано и не написано главного.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

5. Сообщение от Аноним (5), 07-Янв-23, 10:33	+2 +/–
В ненавязчивой рекламе shitgrep, написанного на хрусте. Обычный-то, дидовский, ну никак бы не подошел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10, #23

6. Сообщение от YetAnotherOnanym (ok), 07-Янв-23, 10:44	+7 +/–
На трёхнедельных курсах будущим питонокодерам ничего не говорят о удалении каких-то там ключей из кода перед его публикацией.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #39

7. Сообщение от Аноним (1), 07-Янв-23, 11:04	+/–
Такие ошибки допускают в основном корпоративные кодеры, у них там и секреты плейнтекстом в ps светить норм. Это никакого отношения к квалификации кадров не имеет, скорее говорит о культуре.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #12, #15, #22

8. Сообщение от Омномним (?), 07-Янв-23, 12:56	–1 +/–
Обычный типовой PyPI'ц, уже как-то можно даже новостей из этого и не делать, приелось.
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от user90 (?), 07-Янв-23, 13:12	–3 +/–
Ну мы же знаем, какие васяны на этом пишут))
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от вымя (?), 07-Янв-23, 13:37	+2 +/–
А из-за --multiline из дедовского без костылей подошёл бы только pcregrep. Ну и на всём объёме PyPI разность в скоростях грепа уже начинает быть заметной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11

11. Сообщение от пох. (?), 07-Янв-23, 14:18	–6 +/–
Ну конечно ж ты найдешь кучу ключей (даже не среди активных 57, а включая 57000 тех похожих строчек что не подошли к aws, но были найдены в коде) написанных в две строки. В питон-коде это особенно часто принято. Ой, только вот в их регексе это почему-то не учтено. > Ну и на всём объёме PyPI разность в скоростях грепа уже начинает быть заметной. нет (даже если разница существует не только в фантазиях хрустиков). потому что совершенно все равно, выполняется ли _одноразовая_ операция час или четыре.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #16, #38

12. Сообщение от пох. (?), 07-Янв-23, 14:19	–6 +/–
> Такие ошибки допускают в основном корпоративные кодеры потому что у тебя, ванька, нет денег ни на какие aws instances. Да и забанен ты там давно. Нет ключа, нечего прогадить, логично.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

13. Сообщение от ИмяХ (?), 07-Янв-23, 15:11	+/–
Хорошо, что в cargo ничего подобного нет и никогда не будет, ибо это принципиально невозможно, благодаря безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от Самый Лучший Гусь (?), 07-Янв-23, 18:29	+1 +/–
А усишки нету пакетного менеджера потому такая ситуация вобще невообразима
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

15. Сообщение от Аноним (15), 07-Янв-23, 18:32	+2 +/–
>секреты плейнтекстом в ps светить норм >никакого отношения к квалификации кадров не имеет прикольно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

16. Сообщение от вымя (?), 07-Янв-23, 18:38	+5 +/–
> Ой, только вот в их регексе это почему-то не учтено. Полный регексп, который ты, как выяснилось, и не читал, и тот гораздо легче воспринимается, чем первая половина твоего коммента, который выглядит так, будто за меня уже ещё кучу всего додумали. А потом ты удивляешься, чего это тебе ересь всякую в комментах отвечают. > совершенно все равно, выполняется ли _одноразовая_ операция час или четыре. Она одноразовая до тех пор, пока ты не захочешь эту регулярку дописать, а это желание непременно возникнет только потому, что никто веб-ма... ээээ, джуниоров не бьёт палкой по рукам с целью заставить их палить ключи Единственно Правильным И Заведомо Известным Способом. А весь PyPI, который грепался — это более десятка терабайт *гзипнутых* данных. Один час тут только займёт чтение в никуда без распаковки, при условии, что есть хранилище, которое может насытить PCI-E 4.0 ×16. Помножь на коэффициент сжатия, на накладные расходы грепа, и вот одна итерация как-бы-одноразовой-но-как-бы-и-не-совсем задачи уже приближается к суткам. Удобноооо, аж жуть! Как там бузинесс по выгулу собак, не релоцировался ещё?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

22. Сообщение от Аноним (22), 07-Янв-23, 21:38	+4 +/–
> никакого отношения к квалификации кадров не имеет Жалкая попытка выгораживания гуманитариев-самоучек. Хотя, в IT давно не видать специалистов с профильным высшим образованием (оборонка и гос. структуры не в счёт).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #24, #46

23. Сообщение от Аноним (23), 07-Янв-23, 21:40	+1 +/–
Ripgrep превосходная утилита, эффективная и фичастая. А на язык пофиг, не веди себя как свин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

24. Сообщение от Аноним (1), 07-Янв-23, 21:44	+/–
Только речь идёт о высокооплачиваемых специалистах с вполне себе образованием и прошедших отбор, в основном у них такая лажа случается. Такие люди считают, что они лучше знают, что можно делать, и что нельзя, и в итоге творят всякую дичь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #26, #50

25. Сообщение от Аноним (26), 07-Янв-23, 21:45	+/–
> у сишки нету пакетного менеджера Поэтому этот язык - отдушина для немногих оставшихся IT специалистов-инженеров с профильным образованием, которые разрабатывают программное обеспечение для кретических объектов инфраструктуры и оборонной промышленности. Лично я, как инженер с ещё советским профильным образованием, просто на дух не переношу все эти смузи-технологии для детишек в обтянутых штанишках с розовыми волосами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #29, #48

26. Сообщение от Аноним (26), 07-Янв-23, 21:53	–4 +/–
Высокая зарплата не означает, что человек является специалистом. Я работаю в оборонном предприятии инженером, моя квалификация, и та работа, которую я проделываю (в плане полезности), даже близко не стоит рядом со всякими игроделами, вэб-"разработчиками" и т.д., но зарплата у меня меньше раза в четыре, чем у моего сына, который работает в торговой сети региональным менеджером, имея 9 классов образования + незаконченное ПТУ, но имеет подвешенный язык, общительный и "пробивной".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #28

28. Сообщение от Аноним (28), 07-Янв-23, 23:15	+2 +/–
> та работа, которую я проделываю (в плане полезности), даже близко не стоит рядом со всякими игроделами Самокритика - это всегда похвально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

29. Сообщение от Аноним (29), 07-Янв-23, 23:37	–3 +/–
> специалистов-инженеров с профильным образованием, которые разрабатывают программное обеспечение для кретических объектов инфраструктуры и оборонной промышленности. Да будет самопровозглашенному инженеру известно, что критические объекты инфраструктуры и оборонной промышленности уже лет 40 как не пишутся на убогом С. В этих областях Ada и SPARK.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #53

38. Сообщение от Аноним (38), 08-Янв-23, 02:28	+/–
> совершенно все равно, выполняется ли _одноразовая_ операция час или четыре Боже, что он несёт… Медленнее, ребятки, лучше, чем быстрее. Такие дела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

39. Сообщение от Аноним (38), 08-Янв-23, 02:32	+/–
Кодерам правильно говорят на курсах, что все эти ключи одноразовые. Спрашивать надо с того, кто писал и применял полиси.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #47

40. Сообщение от Аноним (40), 08-Янв-23, 02:33	+2 +/–
Теперь MS завезёт на GitHub трёхфакторную авторизацию?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

46. Сообщение от пох. (?), 08-Янв-23, 10:12	+/–
Для манки-кодинга ШЕСТЬ гребаных лет жить в общаге на мамины деньги и подрабатывать свободная-касса? (и потом не найти работу, потому что с опытом написания курсовиков не берут никуда кроме как в "оборонка и госструктуры", причем там и там на зарплату в 16 тыщ) Когда яндекс или, не к ночи будь помянут, шитбокс какой обещают войтивойти всего за пол-года и можно уже бежать наниматься на галеру?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

47. Сообщение от пох. (?), 08-Янв-23, 10:14	+1 +/–
Угу, именно поэтом они вбивают их в код, и при попытке поменять ключ - "ой, прод упал, срочно верните все как было и объяснительные со всего отдела чтоб через час мне на стол!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #55

48. Сообщение от Прохожий (??), 08-Янв-23, 12:25	–1 +/–
у вас явно какая-то особая боль с профильным образованием
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #56

49. Сообщение от InuYasha (??), 08-Янв-23, 12:37	+2 +/–
Трёхфазную.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #62

50. Сообщение от YetAnotherOnanym (ok), 08-Янв-23, 12:40	+/–
> прошедших отбор По умению расфуфыривать хвост.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #52

52. Сообщение от пох. (?), 08-Янв-23, 18:13	+/–
>> прошедших отбор > По умению расфуфыривать хвост. тебя опять не взяли? То ли дело в подвальчик, там в темноте даже и не видно, есть у тебя хвост или нет вовсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #57

53. Сообщение от пох. (?), 09-Янв-23, 10:03	–1 +/–
У "оставшихся" в известной перде инженеров нет никакой ады - во-первых, потому что еще двадцать лет она показала свою малопригодность для разработки и была всеми забыта, кроме немногих уже тогда замшелых дедов. (Которым вполне удалось угробить ракету - оказалось, волшебный язык не помогает от этого никак. Только мешает писать код и усложняет тесты.) А во-вторых потому что у них там - фортран. Другого компилятора для M1 не написали, видать. А у crew dragon управление на ведроидах. Ну да, дерьмо. Зато много.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

55. Сообщение от Аноним (38), 09-Янв-23, 19:31	+/–
Ну если прямо-таки прод упал из-за такой ерунды, то ничего не попишешь, придётся меня нанимать чтобы процессы чинить. Такую очевидную лажу пайплайн на мерже в devel должен ловить, раз уж код ревью с перепою делается. На худой конец, stage должен упасть. От херак-херак и в продакшен другой защиты не придумали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #58

56. Сообщение от Аноним (38), 09-Янв-23, 19:35	+1 +/–
Это у него от осознания бесполезности этого образования через год лет после получения. И от той боли пониже спины, которую испытывают дипломированные специалисты, когда понимают, что пять лет практического опыта ценятся при найме выше, чем диплом с отличием, и они просто профукали пять лет вникуда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #60

57. Сообщение от YetAnotherOnanym (ok), 09-Янв-23, 20:30	+/–
Бывало. Но осадочек остался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

58. Сообщение от пох. (?), 10-Янв-23, 09:25	+/–
> придётся меня нанимать чтобы процессы чинить > присутствовали среди прочего в проектах таких крупных компаний, как Amazon, Intel, Terradata, >  General Atomics, Top Glove и Delta Lake иди, расскажи им, что тебя срочно надо нанять и ты всепачинишь. А то пока у тебя кончились все деньги и туалетная бумага. А код с ключами может даже и не исправил никто до сих пор - эти вот ребята отправили предупреждение на мэйл который принадлежит давно уволившейся обезьянке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

60. Сообщение от Аноним (60), 10-Янв-23, 13:10	+1 +/–
> бесполезности этого образования Когда задумаешься, а что сделали те тонны выпускников "институтов математики и информационных технологий"? А ничего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

62. Сообщение от Аноним (60), 11-Янв-23, 23:26	+/–
к стулу авторов контента
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема