Компания Google представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), в котором обобщён имеющийся опыт по защите инфраструктуры разработки от атак, осуществляемых на стадии написания кода, тестирования, сборки и распространения продукта...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55345
вода, вода, вода...
Ну что поделаешь, если сегодня сначала кодить учатся, а потом, если повезет, и теорию почитают. Даже очень легкие к чтению классические труды вроде Макконела, в котором это, между прочим, даже со смехехеёчками есть.Накопилась критическая масса просто. У гугла идет санпросвет: "мойте руки, перед и зад", "После сортира - с мылом" или "Не еште с пола".
Правильно делают что начинают с практики, а не с сотен многотомников по теории... вот что желание кодить действительно отобьет
Вот бы и инженеры так работали, которые самолеты проектируют.
Они так и работают. С детства авиамоделизм, потом эксперементальные работы и если всё это желание не отбило, то уже институт и дальше.
Вот бы доктора так лечили тупина.
Очень хорошо если у таких людей теория отобьёт желание кодить.
> Правильно делают что начинают с практики, а не с сотен многотомников по теории... вот что желание кодить действительно отобьетНо новость о другом. Не о начале с практики, а о разборе синяков от граблей в процессе практики. Начинали бы с сотен томов, не было бы синяков и разбора полётов.
Наблюдаю этих желающих кодить за деньги - мрак и ужас от них.
Практика и учёба должны быть сбалансированы, должна быть или книга или учитель. А не косяки Незнайки на голом энтузиазме.
> Ну что поделаешь, если сегодня сначала кодить учатся, а потом, если повезет,
> и теорию почитают.У Вас криокамера сломалась. Сегодня вообще не учатся. Нашли где-то патчик и в продакшен (именно так автономные разработчики Rosa Tresh добавили переполнение стека в rpm5, а потом не могли его исправить).
Нет, не нужно. Это что-то новое и непонятное, тут такого не надо.
Сейчас опеннетовские эксперты пояснят, что это хипстерское говно от корпораций, а значит не нужно.Google их, конечно же, проигнорирует, он вообще не в курсе об их существовании, а они будут сидеть, нахохлившись, и всё больше понимать, что мир свернул куда-то не туда, не смотря на все их предостережения.
Как обычно, в общем.
Нужно, мб внедрю на работе эти рекомендации
>Google их, конечно же, проигнорирует, он вообще не в курсе об их существованиион же и вас проигнорировал, как адвоката выделенного на средства государства :)
> Предлагаемый метод защиты: независимое рецензирование каждого изменения двумя разработчиками.Ой всё! Без гугла мы не могли догадаться, что надо код проверять... Даёшь ещё больше бессмысленных бумажек богу бюрократии!
опеннет раньше и фаерволы считал за параноидальные действия.
если следовать https://en.wikipedia.org/wiki/Zero_trust_security_model
то фаерволлы не нужны. потому что нет никакой "нашей сети",
которой можно было бы "доверять".кроме того, фаерволлы снижают сетевую производительность.
надеюсь, с этим спорить никто не будет.
У меня есть локальная сеть и я ей доверяю)
А вот я - нет. И даже домашний вайфай у меня только транспорт для внутренней VPN сети. От чего мелкие девайсы несколько страдают - во первых настраивать каждое новое устройство надо- иначе оно не получит доступ никуда, во вторых нагрузка несколько вырастает, и те ресурсы которые коробочка потратила бы на распаковку MKV- она тратит на распаковку пакетиков...
Такой вот дивный новый мир...
> даже домашний вайфайчто значит "даже" ? WiFi с т.з. доступа к медиа всегда был помойкой.
кстати !
"внутренняя VPN сеть" - та же самая "моя локальная сеть, которой я доверяю".
пруф ми вронг.
На бумаге хорошо, но этож гугл - зонды и прочее, вы ж понимаете...
Это необходимо и это уже все было.Корпорашки увлекшись геноцидом это потеряли.
Мы просто перестали обновляется 5-10 лет назад.
Теперь гуголь спохватившись в попыхах пытается что-то восстановить.
Конечно же, сейчас многие напишут, что это очередная поделка корпов, однако это просто объединение решений для давно мучающих проблем, что само по себе неплохо. Не панацея конечно, но уже что-то.Спасибо тому, кто писал новость, на каждую проблему он нашел соответствующую новость на opennet, интересно почитать
Решение это для выпускников-троечников, стянувших половину своего диплома из интернетов, а остальную забивших методом Потолоцкого. И энтузиастов, выучившихся методом копипейста со стековерфлоу.Это разжевывается на парах в любом не помойном вузе, а потом не пропускается при автоматической сдаче кода и ревью преподом.
Не понимаю, почему правила сборочной гигиены вызывают такое удивление. Хотя, судя по ковиднику, *простой народ* даже руки не всегда моет, что тут говорить про чуть более продвинутые правила?
Как человек учившийся НЕ в помойном(для россии) вузе заявляю что ничерта там не учат, особенно сборочной гигиене.
Насколько знаю этому не учат и в бауманке (топовом вузе страны, недалеко от моего).
И я не уверен что этому учат в зарубежных вузах за немногочисленными исключениями.
Более того я и сам с 2 дипломами по 2 разным направлениям, одна из которых разработка по, и почти 10летним стажем работы не написал бы лучше, не то что студент троешник.
Так что ваша спесь просто зашкаливает.
> Как человек учившийся НЕ в помойном(для россии) вузе заявляю что ничерта там не учат, особенно сборочной гигиене.Просто в НЕ помойный вуз берут людей, которые хотя бы что-то из себя представляют и объяснять подобные вещи не считают необходимым. Про помоечные вузы тезис в силе.
Когда не разжёвывают азы - взял кувалду и вперёд - ты же умный, что тебя учить - это и есть помойка.
А когда уровень очень хороший - эти азы настолько на запчасти разбирают, что со стороны посмотришь, так вообще и не поймёшь, о чём речь.
Учился не в РФ.Поступив у ВУЗ уже чуть кодил и выигрывал олимпиады включая программирование. Группа была сильная и мы втихаря хихикали - "посмотрим еще кто кого будет учить программировать".
На лекциях подробно разбирали очевидную классическую модель и классические методы, алгоритмы решения задачи. На лабораторных (раз в неделю) требовалось решить данную задачу с таким условием, что классический алгоритм не подходил. Все чему научили на лекции оказывалось просто непригодным. По сути лектор просто доказывал что задача имеет решение.
На первую лабку каждому выдали по периодической графической функции и попросили разложить в ряд Фурье с ограничением времени. Конечно классический алгоритм Фурье, который подробно разбирали на лекции не проходил временное ограничение, а о быстром разложении Фурье нам не рассказывали... За свою идеально оптимизированную программу реализующую классическое разложение в ряд Фурье я сразу получил незачет и требование перездать. Кто не сдал все лабки к экзамену не допускается.
И к остальным лабкам всем САМОСТОЯТЕЛЬНО приходилось искать нужный алгоритм решения, который на лекции не упоминали.
На вопрос: "за что нас так?" - отвечали: "здесь никого мы учить не будем, здесь необходимо уметь учится самому".
А вот без понтов - назовите пожалуйста год, учебное заведение, специальность, курс и предмет где вы это все видели?
Вот только что тебе это даст?
И тебя вылечат
Просто работает кто-то типа PhD, поэтому всё по полочкам разложено изначально, очень много разных красивых картинок и умных слов.По факту пока получился пшик. В генте всё это было сделано ещё 15 лет назад. Схемы конечно красивые, но дойдёт ли дело до чего-то более серьёзного, чем проверка хешей загруженных файлов и генерация логов сборки - непонятно. Пока что гугл на этой стадии ;) Даже анализировать логи сборки не собирается, "это не предмет SLSA1, реализуется на других уровнях".
Вот когда в 2006-м ковырялся с гентой в своём родном ВУЗе в свободное время (потому что был интернет и можно было скачивать исходники нахаляву) всю эту ALSA-1 наблюдал вживую. И до сих пор наблюдаю ;)
Точно так же, народ когдато реагировал на ITIL. А потом привыкли, и не стесняются говорить что применяют именно его а не "тут достаточно исходя из общих соображений". То что этот фреймворк (непонятно почему это фреймворк? обычная методичка...) в общем на уровне курсовой- это не важно.
Его удобно использовать, и при необходимости сослаться на него. И не писать самому собственный стандарт по ISO:20000.
Несмотря на некотрую резкозть в #22, он, по сути, прав: толстые компании сначала всеми возможными способами пропихивают переусложнённые и наидырявейшие workflow, а потом лечат это следующим уровнем (пере)усложнения. При этом (сравнительно) простые и надёжные действия остаются для массового современного специалиста неизвестными --- их весьма тщательно маскируют. В т.ч. и в образовательном процессе, давая заучивание паттернов действий, а не суть вещей.
По сути в #22 делаются провокационные необоснованные заявления. Подтвердить свои слова - автор отказался. Это - по сути. Все остальное - плод воображения и фобий.
Что, за свою альму-матерь обидно?
Поэтому тебе нужна связка из вузик-год-препод-"почему врешь у меня такого не было, хотя учился в прЯстиж-ж-ж-жДном вузе с местом в топ-топах"?
Ты наконец-то понял, что тебя учили не программированию, а изображению бурной деятельности с копипастом задачек, но гордость не даёт признать, что преподавание было помойным?
Опять провокационные необоснованные заявления, опять фантазии...
Извините но как специалист- вы демонстрируете полное незнакомство с предметом.
>> Предлагаемый метод защиты: рекурсивное применение требований SLSA ко всем зависимостям (в случае event-stream проверка бы выявила сборку кода, не соответствующего содержимому основного Git-репозитория).То есть если убрать мешуру и термины, читайте исходники вашего проекта и всех зависимостей, и будет у вас безопасность. Проблема в том, что это тяжелая (если вообще выполнимая) задача, подверженная помимо прочего человеческой ошибке (невнимательно прочитал название переменной, перебирая гигабайты кода).
Тут польза не в том что они скапитанили, а в том как они это сделали - структурированно, разобрав атаки и предложив решение. Мне бы на это понадобилось несколько рабочих дней при том что про некоторые типы атак я бы обязательно забыл (ибо не безопасник), ещё несколько дней чтобы нагуглить решения и лучшие практики и ещё пару дней чтобы подготовить решение. Ещё как минимум неделю я бы это отлаживал и писал документацию. И в итоге все равно бы сделал хуже.
>> Тут польза не в том что они скапитанили, а в том как они это сделали - структурированно, разобрав атаки и предложив решение"За все хорошее - проиы всего плохого" (L)
*ня это все, выйдет еще один аналог Spice как в Automotive
Корпо-Бюро пляски - потом очередное поколение "инфо-цыган" пойдет нести светоч XP, Agile и т.д.
"За все хорошее - против всего плохого" (L)
Сначала надо:1. Начать подписывать код PGP ключами (пример: https://www.altlinux.org/Работа_с_ключами_разработчика).
2. Обеспечить надежное хранение закрытых PGP ключей разработчиков (например: https://www.gentoo.org/news/2019/04/16/nitrokey.html)
3. Обеспечить обмен публичными ключами PGP с сертификацией паспортных данных и E-mail (https://www.opennet.dev/docs/RUS/gph/ch03s02.html)
4. Обеспечить работу серверов ключей (https://www.opennet.dev/opennews/art.shtml?num=51006) в данном случае к серверам прикасался не надо, надо профиксить только gnupg.
5. Сначала верифицировать скачанные исходники по PGP подписи, а потом уже читать исходники, компелять бинарники.
Ахах, Provenance - Dependencies complete вынесено аж на 3 степень )))
Хотя это вообще базовая вещь, без которой и 1 бессмысленна.
От кп. добра добра не ищут.
Чую на этом опен-сорс проекты смогут подзаработать. Что есть хорошо.
Чушь. Когда в ядре была пачка варнингов всем было пофиг. А потом начали все быстро исправлять потому что уязвимостей много обнаружили. Без ручной проверки разработчиками вся эта программулина ничего не даст. Эти хипстеры правда думают что свободных разработчиков заботят их рельсы? Написал Васян модуль к альсе, и ему пофиг вообще что там думают об этом корпы. Не захотят принять изменения - не примут. Васе пофиг.
Это по-другому работает. Захотел Вася безопасности, посмотрел на сабж, а не наоборот.
Очень много бла-бла-бла к простейшиим правилам деплоя:
- читай пулл-реквесты даже через нехочу
- собирай срез из гита проверенным инструментом
- используй лишь проверенные сторонние либыСовременным потребителям условного смуззи на условных гироскутерах с условным вейпом должен сам гугл разжевать то, что в университетских учебниках (нормальных, а не в Павловской) и лекциях талдычится ЕМНИП года с 89го как азы?
Ждем гайдлайнов от гугла "Итак, ты получил неподписанный экзешник. Что делать, кого позвать?" или "Как написать скрипт для операционной системы и ничего в ней не поломать. Читать вывод --help не стыдно!"
>используй лишь проверенные сторонние либыугудайте сколько зависимостей у пакета gitlab-ce в бсд?
> Читать вывод --help не стыдно!"Вот именно сюда и можно вредоноса всандалить. Читать хельп параллельно с strace и в виртуалке ты точно не будешь. А даже если и будешь, то засмеют.
>Очень много бла-бла-бла к простейшиим правилам деплоя:
>- читай пулл-реквесты даже через нехочу
>- собирай срез из гита проверенным инструментом
>- используй лишь проверенные сторонние либыДля тех кто в танке:
Чтение пулл-реквеста одним человеком- с хочу или нехочу- может оказаться недостаточно. Ну разве что вы гений-супермен с бородой...Сборки среза из гит проверенным инструментом может оказаться недостаточно- поскольку файлы могут подменить "на лету"
Использование лишь проверенных сторонних либ может оказаться недостаточно- проверенная либа может быть скомпрометирована через секунду после того как проверили в очередной раз.
Ваши "простейшие правила деплоя" малость устарели...
> ... Ну разве что вы гений-супермен с бородой...Это когда как. В смысле --- я иногда её (бороду) срезаю. Но умище-то...
> Сборки среза из гит проверенным инструментом может оказаться недостаточно- поскольку файлы могут подменить "на лету"
При соблюдении определённых принципов --- это нереально (в смысле подпихнуть вам херню, так, чтобы это не было замечено). Без -- вполне. Но тут уж выбирайте --- вы бородатый олдскульный пердун в растянутом свитере или высокоэффективный хипстерный смузихлёб.
Ну так вот и напишите свои принципы, аккуратно в виде чеклиста, или даже в виде программы. умойте гугл :)А уж мы то... проведем рецензирование :)
Разработал суперпупергарантирующий способ загрузки в память проверенного файла? Молодец. Теперь знай, что содержимое ячеек памяти после чтения злоумышленник можно изменить. Решил что злоумышленников рядом нет? Ты ошибся, всемогущий Intel ME не дремлет!
Иногда кажется, что мои статьи всё же читают и обращают на них пристальное внимание:https://itvision.altervista.org/linux-myths-series-linux-doe...
И это не 1й раз, лол.
> вай линукс саксНе, не оче. Шел бы ты обратно.
> Иногда кажется, что мои статьи всё же читают и обращают на них пристальное внимание:Самоуспокоение наверное. Что-то из разряда эффекта плацебо.
> https://itvision.altervista.org/linux-myths-series-linux-doe...
Ниочём. Просто вообще ниочём.
>Обязательное рецензирование всех изменений двумя разными разработчиками.Обязательное рецензирование всех изменений десятью разными разработчиками из которых минимум 50% просмотрели то что рецензируют.
Вот только, что делать если этих самых разработчиков не хватает, и вообще меньше десяти :)...
Вы не пройдете аттестацию очевидно... И с вами просто не будут работать...
Просто трындите повсюду, что делаете самый лучший продукт для дома, соберите вокруг сообщество, привлеките его к тестированию. Если кто-то заикнётся про необходимость ревью -- пресекайте на корню, тупо затравите, даже втроём можно справиться. Через два года переименуйте Rosa Tresh в Rosa Enterprise Desktop x4, и можно продавать.
Над скромным мальчиком понявшим суть вещей - посмеялись... Но те кто в теме- сделали правильные выводы... и по сути получилось две пользы в одном- они получают деньги, а вы- продлеваете себе жизнь.. ведь смех- это здоровье :)
Главное не забывать между приступами схема чегонить кушать...
Одно не ясно в этой игре с нелулевой суммой: от чего же их так бомбит, когда лох какой-то Васян?) И почему кое-кого из них вдруг "кинули на деньги" (ц) https://www.opennet.dev/openforum/vsluhforumID3/124359.html#204Впрочем, кого гнетёт чужое горе? У нас появилось ещё несколько этих минут на прослушивание оды Неумолимому Хроносу https://youtu.be/QnSZhAvQd_8
Интересно, лет через 10 гугл будет этим пользоваться? Или придётся новые схемки рисовать и внедрять какой-нибудь пятиуровневый SLSB?
Он натаскает на это нейросеть, и встроит в средства разработки. вы даже знать не будете...
Нет предела совершенству.
Кому нужна секурность тот сам иследует код, сам накатывает патчи и сам всё компилит, а не какие-то там майнтайнеры и умные среды автоматизированной сборки.
И наслаждается "хелло ворлд".
Потому что ничего сложнее этой инновационной фразы он осмыслить не в состоянии. Потому что как только он затеит чтото более сложное- весь набор озвученных проблем всплывет во весь рост...
Пацаны из Миннесоты ржут во весь голос
Пацаны из Миннесоты уже перестали плакать после скандала?
А они плакали?
Они поставили в листике галочку, и перешли к следующему пункту...
Следующий пункт - яростно оправдываться перед сообществом, помахивая залитым на почти на депозитфайлс пдфником?
Свидетели секты какугугла расправили крылья и начали ими хлопать, говоря, как же хорошо жить с переусложнением всего и вся, выпасая рабов-программистов на поводках и внедряя "лучшие практики", валящие людей неоправданной сложностью.Про проблемы начали вспоминать, про каких-то хипстеров оборот завернули, не вылезая из гитлаба... а время покажет, что безопасности и качества у гугла и какугугла как нет, так и не будет, а циферка в словах
>Only two remote holes in the default install, in a heck of a long time!
если и изменится, то незначительно.
Готовьтесь к тому, что каждую строчку вы будете подписывать усиленной цифровой подписью, и нести личную уголовную ответственность за коммиты...Вот тогда и поговорим о свидетелях секты какугугл :)
Подпись пойдет контуровским ключом через криптопро по ГОСТ 2012.
Каждый коммит должен пройти ревью в ФСБ и у экспертов опеннета.
Каждый билд должен быть отослан в Комиссию по Регулирования ХОЕ МОЕ АБЫРВАЛГ ФСТЭК.
Каждый пользователь может получить девкит только в специальном органе при Президенте РФ на одноразовом носителе под роспись о гостайне.
Каждый программист обязан сдать квалификационный экзамен на право программирования ЭВМ и потом каждые пять лет его продлять.
Каждого, кого уличат в использовании иностранных несекурных РАСТа или ЦЭ++ - принудительно клеймить иноагентами и переучивать на православные безопасные 1С, OneScript и АЛГОЛ.
...
Зато секурно!
под роспись о гостайне - вряд ли... поскольку это не гостайна. Можете вздохнуть свободнее...
А что не так к Google с безопасностью?
>A. Включение в исходный код изменений, содержащих бэкдоры или скрытые ошибки, приводящие к уязвимостям.
>Пример атаки: "Hypocrite Commits" - попытка продвижения в ядро Linux патчей с уязвимостями.
>Предлагаемый метод защиты: независимое рецензирование каждого изменения двумя разработчиками.Достаточно устного приказа Лица, Принимающего Решения. В случае применения фреймворка - в том числе двум другим разработчикам приказа сказать "ОК". После этого всё остальное бессмысленно.
>E. Продвижение вредоносного кода через некачественные зависимости.
>Предлагаемый метод защиты: рекурсивное применение требований SLSA ко всем зависимостям (в случае event-stream проверка бы выявила сборку кода, не соответствующего содержимому основного Git-репозитория).Перевод на русский: "форкнуть и переписать всю софтварную экосистему под свои требования и использовать только свой софт. Чужие зависимости - не использовать". Нереально.