https://opennet.ru/openforum/vsluhforumID3/132556.html Раскрыты детали атаки на инфраструктуру, используемую при разработке фреймворка машинного обучения PyTorch, позволившую извлечь ключи доступа, достаточные для размещения произвольных данных в репозитории с релизами проекта в GitHub и AWS, а также для подстановки кода в основную ветку репозитория и добавления бэкдора через зависимости. Подмена релизов PyTorch могла использоваться для осуществления атаки на крупные компании, такие как Google, Meta, Boeing и Lockheed Martin, использующие PyTorch в своих проектах. В рамках программы Bug Bounty компания Meta выплатила исследователям $16250 за информацию о проблеме...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60424<br> https://opennet.ru/openforum/vsluhforumID3/132556.html#22 Sat, 13 Jan 2024 12:38:56 GMT Вот именно таких детских косяков на крестах ты много знаешь?<br> https://opennet.ru/openforum/vsluhforumID3/132556.html#20 Fri, 12 Jan 2024 17:25:21 GMT &gt; тут должны быть шутки вроде про лифпад, но, постойте-ка, это же богоугодный пихон<br><br>@ Дальше загаловка не читай.<br>@ Искрометный юмор пиши. &#129313;<br> https://opennet.ru/openforum/vsluhforumID3/132556.html#18 Fri, 12 Jan 2024 14:52:28 GMT А причём тут open source ? Качай tar-ы и проверяй хеш файла и будет тебе щастье.<br><br>Это всё про CI/CD<br> https://opennet.ru/openforum/vsluhforumID3/132556.html#17 Fri, 12 Jan 2024 14:18:01 GMT &gt; Для получения статуса активного разработчика в ходе эксперимента использовались незначительные косметические изменения, связанные с устранением опечаток в документации.<br><br>Бойтесь данайцев дары приносящих. Опенсорс убивают не корпорации, а вот такие инциденты, подрывающие доверие к самой модели. И никакой код ревью тут не спасёт, всего не предусмотришь, соломки везде не подстелишь.<br> https://opennet.ru/openforum/vsluhforumID3/132556.html#16 Fri, 12 Jan 2024 13:38:26 GMT Такими темпами и до сишкохульства недалеко.<br> https://opennet.ru/openforum/vsluhforumID3/132556.html#15 Fri, 12 Jan 2024 13:37:33 GMT Ну точно, с кодом на крестах такого случиться не могло.<br> https://opennet.ru/openforum/vsluhforumID3/132556.html#13 Fri, 12 Jan 2024 12:57:20 GMT &gt;а откуда берется по твоему то что тестировать? Из него, родимого.<br><br>Не клоунадь. Код в репозитории доступен без аутентификации публично. Так же, как и часть инфы. Другая часть инфы доступна при аутентификации для записи и чтения. Напр. списки заланенных пользователей. Третья часть доступна для чтения публично, а запись - только по токену. Напр. запись в репозиторий, публикация и редактирование релизов, редактированиети публикация комментариев. Гитхаб для каждого пайплайна генерит токен с полномочиями на этот репозиторий. Как так получилось, что при запуске пайплайна для чужого PR этот пайплайн получил права, отличные от прав того пользователя, кто сделал PR?<br> https://opennet.ru/openforum/vsluhforumID3/132556.html#12 Fri, 12 Jan 2024 12:29:38 GMT &gt; Зачем токену раннера, который GH выдаёт пайплайнам, выполняющимся при PRах, вообще выданы <br>&gt; разрешения писать в репозиторий <br><br>а откуда берется по твоему то что тестировать? Из него, родимого.<br>И нет, это не основное дерево, разумеется, это твой васянский форк. Прикол в том что ты можешь тестировать свой васян-форк на энтер-прайсных серверах (ну правда надо исхитриться до этого прислать васян-патч который ентер-прайс радостно склюет, что в целом не так легко, но технически - возможно, код - ентер-прайсный, а значит он г-но)<br><br>А читать ему надо потому что оно исполняется внутри закрытого контура производителя himars (например). Ну континиус же ж дезинтегрейшен - чего терять время на рассмотрение твоего багфикса если он даже не запускается (у нас, а не где-то в сферическом вакууме)<br><br>&gt; pytorch не хостит релизы на GitHub<br><br>пофигу на релизы - в них никто ничего и не меняет. не пофигу на то что патчи исполняются шитхабом.<br>А вот у шитхаба есть доступ в закрытые контуры очень серьезных ребят (кто бы мог опять https://opennet.ru/openforum/vsluhforumID3/132556.html#11 Fri, 12 Jan 2024 12:16:03 GMT где-то тут должны быть шутки вроде про лифпад, но, постойте-ка, это же богоугодный пихон и про него так нельзя, а то вдруг школьники обидятся<br>