forum.opennet.ru

"Google предложил SLSA для защиты от вредоносных изменений в процессе разработки"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Google предложил SLSA для защиты от вредоносных изменений в ..."	+/–
Сообщение от Аноним (86), 21-Июн-21, 11:28
>A. Включение в исходный код изменений, содержащих бэкдоры или скрытые ошибки, приводящие к уязвимостям. >Пример атаки: "Hypocrite Commits" - попытка продвижения в ядро Linux патчей с уязвимостями. >Предлагаемый метод защиты: независимое рецензирование каждого изменения двумя разработчиками. Достаточно устного приказа Лица, Принимающего Решения. В случае применения фреймворка - в том числе двум другим разработчикам приказа сказать "ОК". После этого всё остальное бессмысленно. >E. Продвижение вредоносного кода через некачественные зависимости. >Предлагаемый метод защиты: рекурсивное применение требований SLSA ко всем зависимостям (в случае event-stream проверка бы выявила сборку кода, не соответствующего содержимому основного Git-репозитория). Перевод на русский: "форкнуть и переписать всю софтварную экосистему под свои требования и использовать только свой софт. Чужие зависимости - не использовать". Нереально.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Google предложил SLSA для защиты от вредоносных изменений в процессе разработки, opennews, 17-Июн-21, 17:47 [смотреть все]

вода, вода, вода , хацкер, 17-Июн-21, 17:47 (1) //
- Ну что поделаешь, если сегодня сначала кодить учатся, а потом, если повезет, и т, Dzen Python, 17-Июн-21, 21:02 (23) //
  - Правильно делают что начинают с практики, а не с сотен многотомников по теории , Аноним, 18-Июн-21, 01:30 (39) //
    - Вот бы и инженеры так работали, которые самолеты проектируют , Аноним, 18-Июн-21, 07:43 (47)
      - Они так и работают С детства авиамоделизм, потом эксперементальные работы и есл, slk, 19-Июн-21, 10:35 (78)
    - Вот бы доктора так лечили тупина , Тупинйух, 18-Июн-21, 08:53 (58)
    - Очень хорошо если у таких людей теория отобьёт желание кодить , псевдонимус, 19-Июн-21, 03:53 (75)
    - Но новость о другом Не о начале с практики, а о разборе синяков от граблей в пр, And, 26-Июн-21, 14:12 (87)
  - У Вас криокамера сломалась Сегодня вообще не учатся Нашли где-то патчик и в пр, n00by, 18-Июн-21, 08:47 (56)
Нет, не нужно Это что-то новое и непонятное, тут такого не надо , Qwerty, 17-Июн-21, 17:58 (2)
Сейчас опеннетовские эксперты пояснят, что это хипстерское говно от корпораций, , Annoynymous, 17-Июн-21, 18:25 (3) //
- Нужно, мб внедрю на работе эти рекомендации, Псевдоним, 17-Июн-21, 18:41 (6)
- он же и вас проигнорировал, как адвоката выделенного на средства государства , Sw00p aka Jerom, 17-Июн-21, 20:16 (17)
- Ой всё Без гугла мы не могли догадаться, что надо код проверять Даёшь ещё бо, Аноним, 17-Июн-21, 23:48 (29)
- опеннет раньше и фаерволы считал за параноидальные действия , Аноним, 18-Июн-21, 00:50 (36) //
  - если следовать https en wikipedia org wiki Zero_trust_security_modelто фаервол, СеменСеменыч777, 18-Июн-21, 04:28 (42) //
    - У меня есть локальная сеть и я ей доверяю , X86, 18-Июн-21, 06:58 (46)
      - А вот я - нет И даже домашний вайфай у меня только транспорт для внутренней VPN, ыы, 18-Июн-21, 08:51 (57)
        
        что значит даже WiFi с т з доступа к медиа всегда был помойкой , СеменСеменыч777, 18-Июн-21, 10:44 (65)
        кстати внутренняя VPN сеть - та же самая моя локальная сеть, которой я довер, СеменСеменыч777, 19-Июн-21, 08:36 (76)
- На бумаге хорошо, но этож гугл - зонды и прочее, вы ж понимаете , Иксперд, 18-Июн-21, 09:32 (60)
- Это необходимо и это уже все было Корпорашки увлекшись геноцидом это потеряли Мы, Аноним, 18-Июн-21, 13:30 (69)
Конечно же, сейчас многие напишут, что это очередная поделка корпов, однако это , Аноним, 17-Июн-21, 18:33 (4) //
- Решение это для выпускников-троечников, стянувших половину своего диплома из инт, Dzen Python, 17-Июн-21, 20:38 (22) //
  - Как человек учившийся НЕ в помойном для россии вузе заявляю что ничерта там не , Псевдоним, 17-Июн-21, 22:05 (24) //
    - Просто в НЕ помойный вуз берут людей, которые хотя бы что-то из себя представляю, Аноним, 17-Июн-21, 23:54 (30)
      - Когда не разжёвывают азы - взял кувалду и вперёд - ты же умный, что тебя учить -, fidoman, 18-Июн-21, 00:16 (33)
    - Учился не в РФ Поступив у ВУЗ уже чуть кодил и выигрывал олимпиады включая прогр, Аноним, 18-Июн-21, 14:04 (72)
  - А вот без понтов - назовите пожалуйста год, учебное заведение, специальность, ку, ыы, 17-Июн-21, 22:38 (27) //
    - Вот только что тебе это даст , Dzen Python, 18-Июн-21, 02:07 (41)
      - И тебя вылечат, Аноним, 18-Июн-21, 08:09 (48)
    - Просто работает кто-то типа PhD, поэтому всё по полочкам разложено изначально, о, Аноним, 18-Июн-21, 13:35 (70)
      - Точно так же, народ когдато реагировал на ITIL А потом привыкли, и не стесняютс, ыы, 18-Июн-21, 13:53 (71)
  - Несмотря на некотрую резкозть в 22, он, по сути, прав толстые компании сначала, yet another anonymous, 18-Июн-21, 00:01 (31) //
    - По сути в 22 делаются провокационные необоснованные заявления Подтвердить свои, ыы, 18-Июн-21, 08:45 (55)
      - Что, за свою альму-матерь обидно Поэтому тебе нужна связка из вузик-год-препод-, Dzen Python, 18-Июн-21, 10:32 (63)
        
        Опять провокационные необоснованные заявления, опять фантазии Извините но как , ыы, 18-Июн-21, 13:06 (67)
То есть если убрать мешуру и термины, читайте исходники вашего проекта и всех за, Аноним, 17-Июн-21, 18:37 (5) //
- Тут польза не в том что они скапитанили, а в том как они это сделали - структури, Псевдоним, 17-Июн-21, 18:48 (7) //
  - За все хорошее - проиы всего плохого L ня это все, выйдет еще один аналог Sp, Аноним, 17-Июн-21, 20:06 (14) //
    - За все хорошее - против всего плохого L , Аноним, 17-Июн-21, 20:06 (15)
- Сначала надо 1 Начать подписывать код PGP ключами пример https www altlinux, Аноним, 19-Июн-21, 09:25 (77)
Ахах, Provenance - Dependencies complete вынесено аж на 3 степень Хотя это во, Онаним, 17-Июн-21, 18:50 (8)
От кп добра добра не ищут , acroobat, 17-Июн-21, 18:57 (9)
Чую на этом опен-сорс проекты смогут подзаработать Что есть хорошо , Аноним, 17-Июн-21, 19:13 (11)
Чушь Когда в ядре была пачка варнингов всем было пофиг А потом начали все быст, Аноним, 17-Июн-21, 19:16 (12) //
- Это по-другому работает Захотел Вася безопасности, посмотрел на сабж, а не наоб, Псевдоним, 17-Июн-21, 22:09 (25)
Очень много бла-бла-бла к простейшиим правилам деплоя - читай пулл-реквесты даже, Dzen Python, 17-Июн-21, 19:47 (13) //
- угудайте сколько зависимостей у пакета gitlab-ce в бсд , Sw00p aka Jerom, 17-Июн-21, 20:20 (18)
- Вот именно сюда и можно вредоноса всандалить Читать хельп параллельно с strace , Аноним, 17-Июн-21, 20:31 (19)
- Для тех кто в танке Чтение пулл-реквеста одним человеком- с хочу или нехочу- мож, ыы, 17-Июн-21, 23:40 (28) //
  - Это когда как В смысле --- я иногда её бороду срезаю Но умище-то При соблю, yet another anonymous, 18-Июн-21, 00:15 (32) //
    - Ну так вот и напишите свои принципы, аккуратно в виде чеклиста, или даже в виде , ыы, 18-Июн-21, 08:35 (52)
  - Разработал суперпупергарантирующий способ загрузки в память проверенного файла , Ананоним, 18-Июн-21, 08:41 (54)
Иногда кажется, что мои статьи всё же читают и обращают на них пристальное внима, Аноним, 17-Июн-21, 20:15 (16) //
- Не, не оче Шел бы ты обратно , Dzen Python, 17-Июн-21, 20:32 (20)
- Самоуспокоение наверное Что-то из разряда эффекта плацебо Ниочём Просто вообще, Аноним, 17-Июн-21, 20:32 (21)
Обязательное рецензирование всех изменений десятью разными разработчиками из кот, ыы, 17-Июн-21, 22:25 (26) //
- Вот только, что делать если этих самых разработчиков не хватает, и вообще меньше, Аноним, 18-Июн-21, 00:16 (34) //
  - Вы не пройдете аттестацию очевидно И с вами просто не будут работать , ыы, 18-Июн-21, 08:33 (51)
  - Просто трындите повсюду, что делаете самый лучший продукт для дома, соберите вок, n00by, 18-Июн-21, 09:19 (59) //
    - Над скромным мальчиком понявшим суть вещей - посмеялись Но те кто в теме- сде, ыы, 18-Июн-21, 09:47 (61)
      - Одно не ясно в этой игре с нелулевой суммой от чего же их так бомбит, когда лох, n00by, 18-Июн-21, 10:50 (66)
Интересно, лет через 10 гугл будет этим пользоваться Или придётся новые схемки , Аноним, 18-Июн-21, 00:16 (35) //
- Он натаскает на это нейросеть, и встроит в средства разработки вы даже знать н, ыы, 18-Июн-21, 08:32 (50)
- Нет предела совершенству , anonymous, 19-Июн-21, 13:21 (79)
Кому нужна секурность тот сам иследует код, сам накатывает патчи и сам всё компи, Аноним, 18-Июн-21, 01:15 (37) //
- И наслаждается хелло ворлд Потому что ничего сложнее этой инновационной фразы , ыы, 18-Июн-21, 08:30 (49)
Пацаны из Миннесоты ржут во весь голос, Аноним, 18-Июн-21, 01:27 (38) //
- Пацаны из Миннесоты уже перестали плакать после скандала , Dzen Python, 18-Июн-21, 02:04 (40) //
  - А они плакали Они поставили в листике галочку, и перешли к следующему пункту , ыы, 18-Июн-21, 08:40 (53) //
    - Следующий пункт - яростно оправдываться перед сообществом, помахивая залитым на , Dzen Python, 18-Июн-21, 10:35 (64)
Свидетели секты какугугла расправили крылья и начали ими хлопать, говоря, как же, Аноним, 18-Июн-21, 10:04 (62) //
- Готовьтесь к тому, что каждую строчку вы будете подписывать усиленной цифровой п, ыы, 18-Июн-21, 13:17 (68) //
  - Подпись пойдет контуровским ключом через криптопро по ГОСТ 2012 Каждый коммит д, Dzen Python, 18-Июн-21, 20:29 (73) //
    - под роспись о гостайне - вряд ли поскольку это не гостайна Можете вздохнуть , ыы, 18-Июн-21, 22:19 (74)
- А что не так к Google с безопасностью , anonymous, 19-Июн-21, 13:23 (80)
Достаточно устного приказа Лица, Принимающего Решения В случае применения фрейм , Аноним, 21-Июн-21, 11:28 (86)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру