Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Google предложил SLSA для защиты от вредоносных изменений в процессе разработки, opennews (??), 17-Июн-21, (0) [смотреть все] вода, вода, вода , хацкер (??), 17:47 , 17-Июн-21, (1) +7 // Ну что поделаешь, если сегодня сначала кодить учатся, а потом, если повезет, и т, Dzen Python (ok), 21:02 , 17-Июн-21, (23) +4 // Правильно делают что начинают с практики, а не с сотен многотомников по теории , Аноним (39), 01:30 , 18-Июн-21, (39) –6 // Вот бы и инженеры так работали, которые самолеты проектируют , Аноним (47), 07:43 , 18-Июн-21, (47) +7 Они так и работают С детства авиамоделизм, потом эксперементальные работы и есл, slk (??), 10:35 , 19-Июн-21, (78) +1 Вот бы доктора так лечили тупина , Тупинйух (?), 08:53 , 18-Июн-21, (58) +6 Очень хорошо если у таких людей теория отобьёт желание кодить , псевдонимус (?), 03:53 , 19-Июн-21, (75) Но новость о другом Не о начале с практики, а о разборе синяков от граблей в пр, And (??), 14:12 , 26-Июн-21, (87) У Вас криокамера сломалась Сегодня вообще не учатся Нашли где-то патчик и в пр, n00by (ok), 08:47 , 18-Июн-21, (56) +2 Нет, не нужно Это что-то новое и непонятное, тут такого не надо , Qwerty (??), 17:58 , 17-Июн-21, (2) +9 Сейчас опеннетовские эксперты пояснят, что это хипстерское говно от корпораций, , Annoynymous (ok), 18:25 , 17-Июн-21, (3) +2 // Нужно, мб внедрю на работе эти рекомендации, Псевдоним (??), 18:41 , 17-Июн-21, (6) –1 он же и вас проигнорировал, как адвоката выделенного на средства государства , Sw00p aka Jerom (?), 20:16 , 17-Июн-21, (17) Ой всё Без гугла мы не могли догадаться, что надо код проверять Даёшь ещё бо, Аноним (29), 23:48 , 17-Июн-21, (29) +6 опеннет раньше и фаерволы считал за параноидальные действия , Аноним (36), 00:50 , 18-Июн-21, (36) // если следовать https en wikipedia org wiki Zero_trust_security_modelто фаервол, СеменСеменыч777 (?), 04:28 , 18-Июн-21, (42) –1 // У меня есть локальная сеть и я ей доверяю , X86 (ok), 06:58 , 18-Июн-21, (46) А вот я - нет И даже домашний вайфай у меня только транспорт для внутренней VPN, ыы (?), 08:51 , 18-Июн-21, (57) +1 что значит даже WiFi с т з доступа к медиа всегда был помойкой , СеменСеменыч777 (?), 10:44 , 18-Июн-21, (65) кстати внутренняя VPN сеть - та же самая моя локальная сеть, которой я довер, СеменСеменыч777 (?), 08:36 , 19-Июн-21, (76) +2 На бумаге хорошо, но этож гугл - зонды и прочее, вы ж понимаете , Иксперд (?), 09:32 , 18-Июн-21, (60) Это необходимо и это уже все было Корпорашки увлекшись геноцидом это потеряли Мы, Аноним (69), 13:30 , 18-Июн-21, (69) Конечно же, сейчас многие напишут, что это очередная поделка корпов, однако это , Аноним (4), 18:33 , 17-Июн-21, (4) +2 // Решение это для выпускников-троечников, стянувших половину своего диплома из инт, Dzen Python (ok), 20:38 , 17-Июн-21, (22) –2 // Как человек учившийся НЕ в помойном для россии вузе заявляю что ничерта там не , Псевдоним (??), 22:05 , 17-Июн-21, (24) +4 // Просто в НЕ помойный вуз берут людей, которые хотя бы что-то из себя представляю, Аноним (29), 23:54 , 17-Июн-21, (30) –1 Когда не разжёвывают азы - взял кувалду и вперёд - ты же умный, что тебя учить -, fidoman (ok), 00:16 , 18-Июн-21, (33) +2 Учился не в РФ Поступив у ВУЗ уже чуть кодил и выигрывал олимпиады включая прогр, Аноним (69), 14:04 , 18-Июн-21, (72) +1 А вот без понтов - назовите пожалуйста год, учебное заведение, специальность, ку, ыы (?), 22:38 , 17-Июн-21, (27) // Вот только что тебе это даст , Dzen Python (ok), 02:07 , 18-Июн-21, (41) –3 И тебя вылечат, Аноним (48), 08:09 , 18-Июн-21, (48) Просто работает кто-то типа PhD, поэтому всё по полочкам разложено изначально, о, Аноним (70), 13:35 , 18-Июн-21, (70) Точно так же, народ когдато реагировал на ITIL А потом привыкли, и не стесняютс, ыы (?), 13:53 , 18-Июн-21, (71) Несмотря на некотрую резкозть в 22, он, по сути, прав толстые компании сначала, yet another anonymous (?), 00:01 , 18-Июн-21, (31) +1 // По сути в 22 делаются провокационные необоснованные заявления Подтвердить свои, ыы (?), 08:45 , 18-Июн-21, (55) Скрыто модератором, Dzen Python (ok), 10:32 , 18-Июн-21, (63) –2 Скрыто модератором, ыы (?), 13:06 , 18-Июн-21, (67) То есть если убрать мешуру и термины, читайте исходники вашего проекта и всех за, Аноним (5), 18:37 , 17-Июн-21, (5) +4   // Тут польза не в том что они скапитанили, а в том как они это сделали - структури, Псевдоним (??), 18:48 , 17-Июн-21, (7) +3   // За все хорошее - проиы всего плохого L ня это все, выйдет еще один аналог Sp, Аноним (14), 20:06 , 17-Июн-21, (14)   // За все хорошее - против всего плохого L , Аноним (14), 20:06 , 17-Июн-21, (15)   Сначала надо 1 Начать подписывать код PGP ключами пример https www altlinux, Аноним (77), 09:25 , 19-Июн-21, (77)   Ахах, Provenance - Dependencies complete вынесено аж на 3 степень Хотя это во, Онаним (?), 18:50 , 17-Июн-21, (8) +1 Скрыто модератором, acroobat (??), 18:57 , 17-Июн-21, (9) +1 Чую на этом опен-сорс проекты смогут подзаработать Что есть хорошо , Аноним (11), 19:13 , 17-Июн-21, (11) Чушь Когда в ядре была пачка варнингов всем было пофиг А потом начали все быст, Аноним (12), 19:16 , 17-Июн-21, (12) // Это по-другому работает Захотел Вася безопасности, посмотрел на сабж, а не наоб, Псевдоним (??), 22:09 , 17-Июн-21, (25) Очень много бла-бла-бла к простейшиим правилам деплоя - читай пулл-реквесты даже, Dzen Python (ok), 19:47 , 17-Июн-21, (13) // угудайте сколько зависимостей у пакета gitlab-ce в бсд , Sw00p aka Jerom (?), 20:20 , 17-Июн-21, (18) Вот именно сюда и можно вредоноса всандалить Читать хельп параллельно с strace , Аноним (19), 20:31 , 17-Июн-21, (19) Для тех кто в танке Чтение пулл-реквеста одним человеком- с хочу или нехочу- мож, ыы (?), 23:40 , 17-Июн-21, (28) +1 // Это когда как В смысле --- я иногда её бороду срезаю Но умище-то При соблю, yet another anonymous (?), 00:15 , 18-Июн-21, (32) // Ну так вот и напишите свои принципы, аккуратно в виде чеклиста, или даже в виде , ыы (?), 08:35 , 18-Июн-21, (52) Разработал суперпупергарантирующий способ загрузки в память проверенного файла , Ананоним (?), 08:41 , 18-Июн-21, (54) Иногда кажется, что мои статьи всё же читают и обращают на них пристальное внима, Аноним (16), 20:15 , 17-Июн-21, (16) –5 // Не, не оче Шел бы ты обратно , Dzen Python (ok), 20:32 , 17-Июн-21, (20) Самоуспокоение наверное Что-то из разряда эффекта плацебо Ниочём Просто вообще, Аноним (19), 20:32 , 17-Июн-21, (21) Обязательное рецензирование всех изменений десятью разными разработчиками из кот, ыы (?), 22:25 , 17-Июн-21, (26) +1 // Вот только, что делать если этих самых разработчиков не хватает, и вообще меньше, Аноним (34), 00:16 , 18-Июн-21, (34) // Вы не пройдете аттестацию очевидно И с вами просто не будут работать , ыы (?), 08:33 , 18-Июн-21, (51) +1 Просто трындите повсюду, что делаете самый лучший продукт для дома, соберите вок, n00by (ok), 09:19 , 18-Июн-21, (59) // Над скромным мальчиком понявшим суть вещей - посмеялись Но те кто в теме- сде, ыы (?), 09:47 , 18-Июн-21, (61) Одно не ясно в этой игре с нелулевой суммой от чего же их так бомбит, когда лох, n00by (ok), 10:50 , 18-Июн-21, (66) Интересно, лет через 10 гугл будет этим пользоваться Или придётся новые схемки , Аноним (35), 00:16 , 18-Июн-21, (35) // Он натаскает на это нейросеть, и встроит в средства разработки вы даже знать н, ыы (?), 08:32 , 18-Июн-21, (50) Нет предела совершенству , anonymous (??), 13:21 , 19-Июн-21, (79) Кому нужна секурность тот сам иследует код, сам накатывает патчи и сам всё компи, Аноним (37), 01:15 , 18-Июн-21, (37) // И наслаждается хелло ворлд Потому что ничего сложнее этой инновационной фразы , ыы (?), 08:30 , 18-Июн-21, (49) +1 Пацаны из Миннесоты ржут во весь голос, Аноним (39), 01:27 , 18-Июн-21, (38) –1 // Пацаны из Миннесоты уже перестали плакать после скандала , Dzen Python (ok), 02:04 , 18-Июн-21, (40) –1 // А они плакали Они поставили в листике галочку, и перешли к следующему пункту , ыы (?), 08:40 , 18-Июн-21, (53) // Следующий пункт - яростно оправдываться перед сообществом, помахивая залитым на , Dzen Python (ok), 10:35 , 18-Июн-21, (64) +1 Свидетели секты какугугла расправили крылья и начали ими хлопать, говоря, как же, Аноним (62), 10:04 , 18-Июн-21, (62) –1 // Готовьтесь к тому, что каждую строчку вы будете подписывать усиленной цифровой п, ыы (?), 13:17 , 18-Июн-21, (68) // Подпись пойдет контуровским ключом через криптопро по ГОСТ 2012 Каждый коммит д, Dzen Python (ok), 20:29 , 18-Июн-21, (73) +2 // под роспись о гостайне - вряд ли поскольку это не гостайна Можете вздохнуть , ыы (?), 22:19 , 18-Июн-21, (74) А что не так к Google с безопасностью , anonymous (??), 13:23 , 19-Июн-21, (80) Достаточно устного приказа Лица, Принимающего Решения В случае применения фрейм, Аноним (86), 11:28 , 21-Июн-21, (86) 1,2,3,4,5,8,11,12,13,16,26,35,37,38,62,86

Сообщения

[Сортировка по времени | RSS]

5. "Google предложил SLSA для защиты от вредоносных изменений в ..."	+4 +/–
Сообщение от Аноним (5), 17-Июн-21, 18:37
>> Предлагаемый метод защиты: рекурсивное применение требований SLSA ко всем зависимостям (в случае event-stream проверка бы выявила сборку кода, не соответствующего содержимому основного Git-репозитория). То есть если убрать мешуру и термины, читайте исходники вашего проекта и всех зависимостей, и будет у вас безопасность. Проблема в том, что это тяжелая (если вообще выполнимая) задача, подверженная помимо прочего человеческой ошибке (невнимательно прочитал название переменной, перебирая гигабайты кода).
Ответить | Правка | Наверх | Cообщить модератору

	7. "Google предложил SLSA для защиты от вредоносных изменений в ..."	+3 +/–
	Сообщение от Псевдоним (??), 17-Июн-21, 18:48
	Тут польза не в том что они скапитанили, а в том как они это сделали - структурированно, разобрав атаки и предложив решение. Мне бы на это понадобилось несколько рабочих дней при том что про некоторые типы атак я бы обязательно забыл (ибо не безопасник), ещё несколько дней чтобы нагуглить решения и лучшие практики и ещё пару дней чтобы подготовить решение. Ещё как минимум неделю я бы это отлаживал и писал документацию. И в итоге все равно бы сделал хуже.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Google предложил SLSA для защиты от вредоносных изменений в ..."	+/–
	Сообщение от Аноним (14), 17-Июн-21, 20:06
	>> Тут польза не в том что они скапитанили, а в том как они это сделали - структурированно, разобрав атаки и предложив решение "За все хорошее - проиы всего плохого" (L) *ня это все, выйдет еще один аналог Spice как в Automotive Корпо-Бюро пляски - потом очередное поколение "инфо-цыган" пойдет нести светоч XP, Agile и т.д.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Google предложил SLSA для защиты от вредоносных изменений в ..."	+/–
	Сообщение от Аноним (14), 17-Июн-21, 20:06
	"За все хорошее - против всего плохого" (L)
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Google предложил SLSA для защиты от вредоносных изменений в ..."	+/–
	Сообщение от Аноним (77), 19-Июн-21, 09:25
	Сначала надо: 1. Начать подписывать код PGP ключами (пример: https://www.altlinux.org/Работа_с_ключами_разработчика). 2. Обеспечить надежное хранение закрытых PGP ключей разработчиков (например: https://www.gentoo.org/news/2019/04/16/nitrokey.html) 3. Обеспечить обмен публичными ключами PGP с сертификацией паспортных данных и E-mail (https://www.opennet.ru/docs/RUS/gph/ch03s02.html) 4. Обеспечить работу серверов ключей (https://www.opennet.ru/opennews/art.shtml?num=51006) в данном случае к серверам прикасался не надо, надо профиксить только gnupg. 5. Сначала верифицировать скачанные исходники по PGP подписи, а потом уже читать исходники, компелять бинарники.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема