Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp "	+/–
Сообщение от opennews (?), 27-Апр-21, 10:01
Компания HashiCorp, известная разработкой открытых инструментариев Vagrant, Packer, Nomad и Terraform, объявила об утечке  закрытого GPG-ключа, используемого для создания цифровых подписей, верифицирующих релизы. Атакующие, получившие доступ к GPG-ключу, потенциально могли внести скрытые изменения в продукты HashiCorp, заверив их корректной цифровой подписью. При этом компания заявила, что в ходе проведённого аудита следов попыток внесения подобных модификаций не выявлено... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55032
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Анонин (?), 27-Апр-21, 10:01	+1 +/–
Бывает
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

2. Сообщение от Аноним (2), 27-Апр-21, 10:03	+10 +/–
Вот заслуживает уважения за то что не скрывают. Асус помнится распространял подписанную его ключом малварь через сервисы обновления (чья операция?).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

3. Сообщение от пох. (?), 27-Апр-21, 10:27	+13 +/–
доскер, gcs, curl | sudo su все пароли от всего плейнтекстом потому что как же ж иначе скрипт сможет их использовать. Модная современная разработка, continuous degradation. Почему я и не удивлен?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #7, #19, #23, #46, #50

4. Сообщение от Леголас (ok), 27-Апр-21, 10:33	+1 +/–
никогда же нет, но вот опять
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

5. Сообщение от Леголас (ok), 27-Апр-21, 10:35	+3 +/–
> Модная современная разработка, continuous degradation с точки зрения двигателей прогресса: главное, что не стагнация, или «устаревание технологий» (:
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #49

7. Сообщение от richman1000000 (ok), 27-Апр-21, 10:42	+2 +/–
> continuous degradation это прям в точку. Даже добавить ничего не могу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #13

8. Сообщение от Аноним (8), 27-Апр-21, 10:47	–2 +/–
Используйте vault говорили они...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

9. Сообщение от lockywolf (ok), 27-Апр-21, 10:59	+7 +/–
Отличная новость, в которой такой старый пердун как я понял единственное слово: GPG. О чём вообще речь? Кто все эти люди, и что делают их классные продукты?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #20

10. Сообщение от Аноним (10), 27-Апр-21, 11:02	+/–
SaaS-ификация разработки от-SaaS-ла
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Штыбель (?), 27-Апр-21, 11:03	+1 +/–
С возвращением в мир победившего DevOps'а. Облака, Докер-Пакер, Непрерывная интеграция, все дела...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14, #26

13. Сообщение от Леголас (ok), 27-Апр-21, 11:25	+/–
> Даже добавить ничего не могу и не надо, просто наградите автора славным зелёным +
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

14. Сообщение от Леголас (ok), 27-Апр-21, 11:27	+3 +/–
хочу обратно в анабиоз
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #42

16. Сообщение от Аноним (16), 27-Апр-21, 12:20	+/–
Нагородили фигни со своими докерами, теперь страдают.
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Аноним (-), 27-Апр-21, 13:42	+5 +/–
> Модная современная разработка а чё не так? жсы, питоны, котлины, ява и ой-ой-ой-какие-нагруженные-перегруженные-сервисы-ой-ой-ёй, бэкэнды головного мозга, андройды, докеры, ой-ой-ёй-какие-высокие-пороги-вхождения-в-малокультурную-нижеплинтусную-разработку... зато за этот фаршмак платят норм... так и живём...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

20. Сообщение от Аноним (-), 27-Апр-21, 13:45	+1 +/–
> Кто все эти люди, и что делают их классные продукты? болото нынешней it макулатуры
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

22. Сообщение от Аноним (-), 27-Апр-21, 13:50	+3 +/–
> для взлома инфраструктуры атакующие воспользовались > ошибкой в процессе создания Docker-образа бесценно...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

23. Сообщение от Аноним (23), 27-Апр-21, 13:58	+/–
Проблема вызвана случайной публикацией пароля, доскер, gcs, curl | sudo su к ней в общем-то не имеют отношения
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

24. Сообщение от Аноним (23), 27-Апр-21, 14:00	+1 +/–
Если бы Codecov использовал vault то вероятно не опубликовал бы пароль
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #48

25. Сообщение от Аноним (23), 27-Апр-21, 14:01	+1 +/–
Чем именно? Точно такая же ошибка может быть и при создании iso или rpm или deb или чего угодно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #37

26. Сообщение от анонн (ok), 27-Апр-21, 14:13	+1 +/–
> Облака, Докер-Пакер, Непрерывная интеграция, ... горы шкурок от бананов, оглушающие крики "Уг-уг! Аг-аг-аг-а-а!", из гигантской кучи экскрементов виднеется часть  исполинской статуи Древних Предтеч -  гигантская рука, сжимающая не менее гигантский факел ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #32

27. Сообщение от Аноним (27), 27-Апр-21, 14:15	+/–
Университет Миннесоты теперь ложит докеры?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

28. Сообщение от Аноним (28), 27-Апр-21, 14:27	+/–
Кладет же! Пишы правельна!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #34

32. Сообщение от YetAnotherOnanym (ok), 27-Апр-21, 14:31	+2 +/–
> часть исполинской статуи Древних Предтеч -  гигантская рука, выставившая не менее гигантский средний палец... Пофиксил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #56

34. Сообщение от Аноним (27), 27-Апр-21, 15:20	+/–
Дитмар Эльяшевич? Так то ж просторечие разговорного жанра, не мне вам рассказывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

35. Сообщение от псевдонимус (?), 27-Апр-21, 15:46	+/–
Хорошая новость. Подробная.
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от псевдонимус (?), 27-Апр-21, 16:14	+/–
Докер это глобально и надёжно. Отраслевой стандарт. Линукс собственно и нужен для запуска докера.
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от andy (??), 27-Апр-21, 16:18	+/–
> Точно такая же ошибка может быть и при создании iso > или rpm или deb или чего угодно. Какая же это "такая ошибка" может быть при создании deb или rpm?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #43

38. Сообщение от Аноним (38), 27-Апр-21, 17:42	–1 +/–
Чёт народ тут не признает новые технологии. Удивительно что кто-то хейтит доккер.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

40. Сообщение от Аноним (40), 27-Апр-21, 18:07	+/–
>Изменения были внесены ещё 31 января, два месяца оставались незамеченными и позволяли злоумышленникам извлекать информацию, хранимую в окружениях систем непрерывной интеграции клиентов. При помощи добавленного вредоносного кода злоумышленники могли получить информацию о тестируемом Git-репозитории и всех переменных окружения, в том числе включающих токены, То ли дело Coveralls:  https://github.com/TheKevJames/coveralls-python/blob/54be754...
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Crazy Alex (ok), 27-Апр-21, 19:00	+2 +/–
Уж что-что, а непрерывная интеграция - это хорошо. Гарантированно стандартным образом всё соберёт с нуля и без невоспроизвлдимых хитростей конкретного разработчика, тесты прогонит, анализаторы всякие... милое дело.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #53

43. Сообщение от Crazy Alex (ok), 27-Апр-21, 19:02	+/–
Случайно засунуть туда ключи доступа к инфрастрруктуре, вестимо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #52

44. Сообщение от Аноним (-), 27-Апр-21, 19:41	+/–
Сначала прочитал Valgrind. А vagrant - тот еще пц интеграции. Как-то разок попробовал и стало ясно что яуж как нибудь сам, ручками. С их джентельментским набором все это предсказуемо, даже и на новость не тянет. Давайте про каждого ламера теперь писать будем. Больше статей - больше рекламы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

45. Сообщение от амоним (?), 27-Апр-21, 20:20	+/–
а что не так с их набором? отличные решения, каждая софтина закрывает определенный участок
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

46. Сообщение от Михрютка (ok), 27-Апр-21, 20:43	+/–
https://youtu.be/p9bb8qz4FxQ?t=39
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

47. Сообщение от Аноним (47), 27-Апр-21, 23:46	+1 +/–
Внедрение вредоносного кода в бредоносный говнокод.
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Аноним (8), 28-Апр-21, 07:50	+/–
При чём тут Codecov то ? Хашикорп у себя в проектах использовали Codecov скрипт и очевидно хранили ключи в env ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #51

49. Сообщение от kvaps (ok), 28-Апр-21, 07:55	+/–
Ага, "Evolution is better than stagnation" - всё верно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

50. Сообщение от kvaps (ok), 28-Апр-21, 07:57	+/–
А знаете что самое забавное и ироничное в этой ситуации? Тот факт что Hashicorp Vault - это то самое решение, которые должно было бы решить данную проблему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

51. Сообщение от kvaps (ok), 28-Апр-21, 08:06	+/–
Кстати, отличная иллюстрация почему не стоит "хранить все яйца в одной корзинке". Если они используют контейнеры для запуска CI, то запуск codecov в отдельном контейнере позволил бы избежать этой проблемы. Так как в изолированном окружении он имел бы доступ только коду репозитория и токену GitHub.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

52. Сообщение от Аноним (52), 28-Апр-21, 08:31	+1 +/–
Звучит как из области фантастики. Давно не встречал взломов инфраструктуры из-за deb/rmp. А обсижёр докеров или выходов за пределы вмок - регулярно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

53. Сообщение от kissmyass (?), 28-Апр-21, 10:13	+/–
к сожалению брехня, не гарантированно, очередное обновление какого-нибудь гитлаб ранера или еще какой системы типа powershell или grunt и всё летит к чертям, притом иногда собирает, но никак не говорит о проблемах, не говоря уже о самом коде, который с определенного момента нужно собирать по-другому так что это нереально написать скрипт на все случаи жизни... оно конечно упрощает отчасти повседневную рутину, но добавляет гемора по саппорту всего этого велосипеда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #57

54. Сообщение от Noname (??), 28-Апр-21, 11:33	+1 +/–
Потому что при выборе шашечек или ехать, приехали. Делали б по заветам Таненбаума и Кнута, может быть меньше обсирались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

55. Сообщение от валяйте (?), 28-Апр-21, 12:06	+/–
Ой дурачееек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

56. Сообщение от Аноним (-), 28-Апр-21, 13:40	+/–
>> часть исполинской статуи Древних Предтеч -  гигантская рука, выставившая не менее гигантский средний палец... > Пофиксил. Зачем было фиксить классическую отсылку к "Планете Обезьян"? https://smarthistory.org/wp-content/uploads/2020/07/PotA-sca...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

57. Сообщение от Штыбель (?), 28-Апр-21, 20:23	+/–
>оно конечно упрощает отчасти повседневную рутину, но добавляет гемора по саппорту всего этого велосипеда Та-даммм... для этого и нужен высокооплачиваемый специалист DevOps Engineer.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #58

58. Сообщение от kissmyass (?), 29-Апр-21, 00:44	+/–
>>оно конечно упрощает отчасти повседневную рутину, но добавляет гемора по саппорту всего этого велосипеда > Та-даммм... для этого и нужен высокооплачиваемый специалист DevOps Engineer. если требуются расходы на еще одну штатную единицу для поддержания системы сборки на плаву, не проще ли оплатить некоторое количество часов разработчику за +- тот же самый результат? притом это скорее всего будет быстрее, дешевле и с лучшим знанием проекта
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема