атаку на зависимости уже обсуждали?

КО?

CDPR тут к чему?

UPd.
Суть в том, что кроме явной зависимости во всяких языковых ПМ оказалось, что публичные приоритетней локальных.

Представлен поразительный по своей простоте метод атаки на зависимости в приложениях,

Она настолько очевидна, что в Debian (где сопровождающие работают не за зарплату) пакеты собираются на машинах без доступа в интернет.

Вообще-то если кто-то заимел доступ в публичный репозиторий и может подписывать пакеты легитимным ключом, то это уже серьёзные проблемы. Он и существующие пакеты может подменить, не обязательно новые с именами из приватных реп добавлять.

а я всегда говорил, что когда программисты пишут свой пакетный менеджер до добра это не доведет

Да, из-за добавления зависимости от rust да ещё и cargo, новый Firefox 85 (с устранением уязвимостей) не мог быть собран в Debian в течение 10 дней. Mozilla прописала, что нужно использовать слишком свежую версию cargo. (Там ведь супер-важные фичи добавлены, чтобы загрузить пакет и вызвать компилятор!)

когда программисты пишут свой пакетный менеджер

Так, а кто тогда должен писать пакетный менеджер для программистов ?

Его не должно быть.

Не знаю, как на счет NPM и других, но питоновский PIP должен умереть, конечно. Постоянные поломки в минорных версиях; и бывают даже какие-то изменения в самой инфраструктуре pip, что конкретный локальный requirements.txt c жестко заданными версиями (типа ==3.2.1) перестает работать. (как произошло с cryptography на днях).

Мнимое удобство таких менеджеров переоценено, ящитаю.

Ты не очень понял суть проблемы. Допустим, у тебя внутри компании есть либа libfoo, и информация об этом выплыла наружу (с js это вообще сплошь и рядом, с другими языками тоже реализуемо); атакующий идет на npmjs/pypi/rubygems и создает там свою libfoo с версией 9999, и в setup-файле делает всю чернь. Твоя система управления пакетами смотрит в packages файл, в котором ты не зафиксировал жестко libfoo==1.2.3, и выкачивает более новую из публичной репы. Поздравляю, твою компанию поимели.

npm еще хуже. А gem просто должен сдохнуть в тяжких муках.

Нормальные люди прикапывают внешние зависимости себе и никогда не пользуются внешними репозиториями.

атакующий идет на npmjs/pypi/rubygems и создает там свою libfoo с версией 9999

откуда у атакующего такие права

В эти репозитории может заливать пакеты кто угодно. Там процедура регистрации тривиальна.

значит это помойка, и любым пакетам оттуда нельзя доверять

Эм. Ты можешь прямщас пойти и залить свой пакет туда.

Ты на сишечке пишешь, что ли?

да, а что

И ни разу не видел пакетных менеджеров для скриптовых языков? Счастливчик. Вообще это все началось с CPAN (1993 год), но там хоть какой-то контроль был. А потом появился pypi (2000) и rubygems (2003) и все полетело в ад. А гошечники вообще с гитхабов левых чуваков тянут код, поэтому все книжки по коммерческой разработке на go начинаются с рассказа про вендоринг.

Неужто ты не слышал историю https://www.theregister.com/2016/03/23/npm_left_pad_chaos/?

https://habr.com/ru/post/280099/

слышал, но похоже всё гораздо хуже, чем я думал

Все очень плохо. Это карточный домик, построенный на «доверии» (на самом деле на желании упростить себе жизнь) и мантре про code reuse. В мире js это вообще возведено в абсолют.

Тут сложный вопрос на самом деле. Сложность софта всё возрастает и возрастает, в ответ на рост структурной сложности (алгоритмическая растет куда менее сильно) - появляются новые языки, новые подходы к разработке, новые методы и автоматизация сборки, новые механизмы переиспользования стороннего кода - то есть те самые модули, фреймворки, пакеты. А для сокращения издержек на обслуживание внешнего кода - появляются такие вот пакетные менеджеры для языков программирования. Я думаю, это вполне нормальный процесс и с этим ничего нельзя сделать.

Разве только можно не пускать подобные техники разработки в чисто системные языки вроде C и C++, т.к они нацелены на выполнение системных задач. Собственно, по-этому я против существования подобных вещей в том-же расте. Но в более высокоуровневых средах и языках - почему-бы и нет. О безопасности, конечно, нельзя забывать, но это расплата на удобство. Если web-макаки начнут писать сайты на C - нас ждут куда более серьезные баги и уязвимости на самом-то деле.

Уже не первый раз всякие NPM пакеты ломают и распространяют через них малвари. Взломать автора NPM пакета и от его имени запостить нужную малварь обычно куда проще чем ломать компанию.

Зависимости - основное зло Линукса. Я это говорю с 2000-го года, и всегда буду говорить.

вот это рофл так рофл, спасибо что принес

а разве проблема с линуксом? что-то ты темнишь.

Нормальные люди прикапывают внешние зависимости себе и никогда не пользуются внешними репозиториями.

Давай накинь еще, что все эти зависимости проходят ревью ИБ :) Посмеемся все вместе.

У себя их сохраняют не совсем по этой причине, а чтобы билды не ломались от пионеров, которые решили выпилить свой код или решить, что теперь что-то продается. Как это случилось на днях с клаудерой, которая закрыла свои старые свободные сборки на подписку.

Тоже удивился, когда в первый раз деплоил пакет в центральный репозиторий npm, и обнаружил, что могу указать в качестве префикса («имя организации» это там кажется называется) любое еще не занятое значение.

В центральном репозитории maven, чтобы задеплоить артефакт в группу com.example, ты обязан подтвердить, что домен example.com принадлежит тебе. В свете этого непонятно, почему maven упомянут в этой новости.

Давай накинь еще, что все эти зависимости проходят ревью ИБ :)

В нормальных конторах так и есть, а ты как думал?

модули, фреймворки, пакеты

Я с вами согласен, но не пихал бы это в кучу. Фреймворки добавляют уровень абстракции, а пакеты — эти лишь способ доставки содержимого.

Разве только можно не пускать подобные техники разработки в чисто системные языки вроде C и C++, т.к они нацелены на выполнение системных задач.

А туда они и не попадут. Из живых знаю конан, вроде работал, но, к счастью, без него можно спокойно обойтись.

Если web-макаки начнут писать сайты на C - нас ждут куда более серьезные баги и уязвимости на самом-то деле.

Увы, увы, начнут. Не все (большинство просто не поймёт, что такое указатель), не сразу, но начнут.

Так, а кто тогда должен писать пакетный менеджер для программистов ?

системные программисты.

В нормальных конторах так и есть, а ты как думал?

Реально сидит отдел ИБ, которые ковыряет все сырцы всех пакетов, которые нужны разработке в данный момент? Блин, а можешь сфоткать?

Расскажи что есть нормальные? В которых в итоге разработка отдается подрядчикам, потому что эту кучу бумажных требований невозможно учесть и проекты висят годами в подвисших состояниях?

А туда они и не попадут.

А как-же Rust со своим crates, или GO который берёт «модули» вообще откуда угодно ? Оба ведь позиционируются как системные языки.

Реально сидит отдел ИБ, которые ковыряет все сырцы всех пакетов, которые нужны разработке в данный момент? Блин, а можешь сфоткать?

Конечно. Разработка в данный момент может использовать какие угодно пакеты, но если она потащит свой код в продакшен, то пакеты придется согласовывать. А как еще иначе?

Так согласовывать или кто-то реально будет инспектировать все пакеты? Вот прям все полторы тыщи в каком-нибудь средней руки фронте?

Так согласовывать или кто-то реально будет инспектировать все пакеты?

И согласовывать и инспектировать. Инспектирует обычно автоматика.

Вот прям все полторы тыщи в каком-нибудь средней руки фронте?

За полторы тыщи увольнять надо.

За полторы тыщи увольнять надо.

У вас на фронте весь js-код самописный?

Раст позволяет не использовать крэйтс и карго.  ИМХО, го позиционирует себя как вообще универсальный нескучный язык.

Дык, не использовать репы с пакетами можно и в других языках где они есть, проблема-то в том что их юзают все кому не лень. И особенно те кому лень.

За полторы тыщи увольнять надо.

Ну за полторы тысячи лэфтпадов — да, а так, в джаваскрипте велосипедирование очень развито.

Проблема не языка, а сообщества. ЕМНИП, у мезона есть поддержка раста.

Проблема не языка, а сообщества.

про сообщество верно... ведь эти люди из топика могли такой вклад в опенсорс сделать...

Сейчас исходники киберпанка откроют, будет вклад в СПО.

Да, тоже вчера был останов пайплайна из-за транзитивного cryptography в проекте никак не связанном с криптографией. Я так понял, выложили 3.4.3 без колёс, или с колёсами, такими же, но другими(tm) и оно решило пересобраться из исходников.

Атаку на традиционные ценности уже обсуждали?

да не, ты только подумай! «код на внутренних серверах 35 компаний»! можно вообще всю индустрию на уши поставить! весь мир перевернуть. вот завтра бы мы проснулись, а тут открыто, что хочешь... любой коммерческий софт... и все пытаются к этому приспособиться... а сколько бы грязных тайн открылось... а это ... уже принесли авторам 130 тысяч ... это о скучных людях.

Ну ничего, через месяц-другой найдут ещё дыры в безопасности нпм (из-за разработчиков или пользователей), там посмотрим.

такие крупные имхо - это прям событие. причем так, чтобы с выполнением кода. не понимаю, почему нет дикого ажиотажа. я правда недовникал, как у них это вышло, но если правда, то это большое дело.

Ажиотаж есть. Он не такой большой, насколько должен быть, но это вызвано тем, что слова уязвимость и нпм слишком часто стоят рядом.

я бы больше радовался, если бы m$ облажался. надо признать, что их программа покупки уъязвимостей сработала. деньги опять победили.

Автоматика. Ну да, рынок решений для иб огромен и разнообразен, а главное - берут все и по любой цене.

Будьте реалистичней, в долгосрочной перспективе свобода всегда побеждает, так было и будет всегда. Основные продукты данной компании загибаются или на пути туда. Офис? Можно под вайном на линуксе, можно свободный либре или онлиофис.  Виндовс? Да уже вроде преимуществ почти нет. Недавно имел дело с вижуал студио (не код), этим можно людей пытать. Да джетбрейнс делает лучше. На линуксе работают игры, работают программы для винды. Он уже пригоден для обычного пользователя, он развивается, он растёт.