В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

rust_offtopic

373 membersпожаловаться на группу
2020 May 24

EG

Emmanuel Goldstein in rust_offtopic
Георгий Седометов
нет, риска было бы меньше, если бы кто-то валидировал пакеты в репозитории. А пока пушить может кто угодно, особой безопасности добиться не получится
Больше зависимостей — больше риска.
Небольшое количество зависимостей можно провалидировать.
Тот ад, который творится в JS — нет.
источник
20:38пожаловаться#1

NI

Nickolay Ilyushin in rust_offtopic
Emmanuel Goldstein
Пакет находят, удаляют, я пишу пакет is-negative-two и продложаю своё чёрное дело
Ip ban
источник
20:38пожаловаться#2

EG

Emmanuel Goldstein in rust_offtopic
Nickolay Ilyushin
Ip ban
У меня динамический.
источник
20:39пожаловаться#3

EG

Emmanuel Goldstein in rust_offtopic
Перезагружаем роутер, продолжаем.
источник
20:39пожаловаться#4

EG

Emmanuel Goldstein in rust_offtopic
Или сидим через прокси.
источник
20:39пожаловаться#5

NI

Nickolay Ilyushin in rust_offtopic
Emmanuel Goldstein
У меня динамический.
Проверка по номеру телефона и паспортным данным
источник
20:39пожаловаться#6

EG

Emmanuel Goldstein in rust_offtopic
Nickolay Ilyushin
Проверка по номеру телефона и паспортным данным
Это не сработает.
источник
20:39пожаловаться#7

AR

Aleksandr Razumov in rust_offtopic
я вот делал недавно фикс для SSRF в продакшене, нужно было добавить HMAC подпись

весь код, включая json, hmac, sha256 - юзал только стандартную либу в го и оказался в ~80 строчек, которые быстро проаудировала наша ИБ

стлиб в таких случаях рулит, т.к. hmac у тебя не от васяна
источник
20:39пожаловаться#8

NI

Nickolay Ilyushin in rust_offtopic
В Китае сработало *убегает*
источник
20:40пожаловаться#9

ГС

Георгий Седометов... in rust_offtopic
Emmanuel Goldstein
Больше зависимостей — больше риска.
Небольшое количество зависимостей можно провалидировать.
Тот ад, который творится в JS — нет.
почему небольшое количество зависимостей провалидировать проще, чем большое количество зависимостей, если в обоих случаях зависимости предоставляют одинаковую функциональность?
источник
20:41пожаловаться#10

EG

Emmanuel Goldstein in rust_offtopic
Георгий Седометов
почему небольшое количество зависимостей провалидировать проще, чем большое количество зависимостей, если в обоих случаях зависимости предоставляют одинаковую функциональность?
Потому что есть гораздо меньше мест, в которые нужно смотреть и следить за обновлениями.
Потому что просмотреть хотя бы статистику репозиториев всех зависимостей физически возможно.
Потому что возможно ограниченное количество библиотек провести через внутренний аудит
источник
20:42пожаловаться#11

EG

Emmanuel Goldstein in rust_offtopic
Ну и половина того, что в JS микрозависимости, должно быть в стандартной библиотеке, которой мы по дефолту доверяем.
источник
20:43пожаловаться#12

EG

Emmanuel Goldstein in rust_offtopic
Потому что если мы не доверяем стандартной библиотеке, то у нас очень серьёзные проблемы.
источник
20:43пожаловаться#13

ГС

Георгий Седометов... in rust_offtopic
Emmanuel Goldstein
Потому что есть гораздо меньше мест, в которые нужно смотреть и следить за обновлениями.
Потому что просмотреть хотя бы статистику репозиториев всех зависимостей физически возможно.
Потому что возможно ограниченное количество библиотек провести через внутренний аудит
то есть, предполагается, что зависимость изначально безопасна, а уязвимости появляются только в результате обновлений?
источник
20:44пожаловаться#14

EG

Emmanuel Goldstein in rust_offtopic
Георгий Седометов
то есть, предполагается, что зависимость изначально безопасна, а уязвимости появляются только в результате обновлений?
Уязвимости появляются в частности в результате обновлений.
источник
20:44пожаловаться#15

EG

Emmanuel Goldstein in rust_offtopic
Представим себе, что я провёл через аудит все свои зависимости.
источник
20:45пожаловаться#16

EG

Emmanuel Goldstein in rust_offtopic
Потом обновляется микропакет, обновляются все, которые от него зависят, и мне приходится делать всё это ещё раз.
источник
20:45пожаловаться#17

ГС

Георгий Седометов... in rust_offtopic
почему всё? Разве недостаточно аудировать только то, что изменилось (дифф в транзитивной зависимости + диффы в непосредственных)?
источник
20:46пожаловаться#18

SP

Stanislav Popov in rust_offtopic
Emmanuel Goldstein
Представим себе, что я пишу пакет is-two, публикую его на NPM и добавляю как зависимость в пару опенсорсных проектов
господи да из pipy точно так же удаляются старые пакеты, приходится поднимать свои, контроля зависимостей там не было никакого лет 20 до того как изобрели pipenv. и ты еще чтото упрекаешь )
источник
20:47пожаловаться#19

EG

Emmanuel Goldstein in rust_offtopic
Георгий Седометов
почему всё? Разве недостаточно аудировать только то, что изменилось (дифф в транзитивной зависимости + диффы в непосредственных)?
Потому что если это is-number, то от него непосредственно или транзитивно зависит половина экосистемы
источник
20:47пожаловаться#20