Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений"	+/–
Сообщение от opennews (ok), 14-Мрт-22, 12:12
Опубликован выпуск фреймворка TUF 1.0 (The Update Framework), предоставляющего средства для безопасной проверки наличия и загрузки обновлений. Основной целью проекта является защита клиента от типовых атак на репозитории и инфраструктуры, включая противодействие продвижению злоумышленниками фиктивных обновлений, созданных после получения доступа к ключам для формирования цифровых подписей или компрометации репозитория. Проект развивается под эгидой организации  Linux Foundation и применяется для повышения безопасности доставки обновлений в таких проектах, как Docker, Fuchsia, Automotive Grade Linux, Bottlerocket  и PyPI (включение верификации загрузок и метаданных в PyPI ожидается в ближайшее время). Код эталонной реализации TUF написан на языке Python и распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56847
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от ryoken (ok), 14-Мрт-22, 12:12	+4 +/–
>>  В каждом отдельном ключе сосредотачивается только минимально необходимое доверие ...мнээ... Переведите плз кто-нибудь на обычный юзеропостижимый русский..?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #9

2. Сообщение от slava_kpss (ok), 14-Мрт-22, 12:34	+12 +/–
Там лютый дроч на безопасность, но однажды найдут уязвимость, которая всё похерит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5, #10

3. Сообщение от n00by (ok), 14-Мрт-22, 13:17	+/–
Например, у Пока Линукс сломали два раза сайт, залили скрипт с редиректом на лохотрон. Они узнали об этом от пользователей ВК. Потеряно доверие ко всей системе обеспечения безопасности, ко всей инфраструктуре, мало ли что там ещё взломали. Обновляться нельзя, качать образы для установки нельзя. А тут как бы можно обновляться, если взломали маловажную часть инфраструктуры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #16

4. Сообщение от pashev.ru (?), 14-Мрт-22, 13:18	+/–
Фигня какая-то... Примеры предотвращенных атак есть, или опять "должно работать"?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #8

5. Сообщение от распад олова (?), 14-Мрт-22, 13:23	–12 +/–
потомучто не на расте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #24

6. Сообщение от Жироватт (ok), 14-Мрт-22, 13:30	+1 +/–
Спасёт ли это NPM или что-нибудь такое же скриптовое и популярное? В репах дистрибутивов DoS-атака в принципе невозможна: клиент запрашивает список у сервера, а не сервер пушит "есть апдейт - скачай апдейт, ой, есть еще апдейт". Остальное интересно, но не более того. Нужна обкатка, серьёзная военприёмочная обкатка и напилинг на реальных высокоопасных репозиториях, вроде рассадника лефтпадов. Далее, лет через пять, когда большую часть common-use-сценариев уже раскроют и исправят, тогда можно говорить о статусе выше proof-of-concept
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от ryoken (ok), 14-Мрт-22, 13:30	–2 +/–
> Фигня какая-то... Примеры предотвращенных атак есть, или опять "должно работать"? Чего вы требуете от версии 1.0? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #12

8. Сообщение от Жироватт (ok), 14-Мрт-22, 13:33	+5 +/–
Написал ниже. Нет обкатки в реальном мире - "должно работать". Тут же область бесконечной борьбы шита и меча. Как и военные игрушки, так и такие сесурити-средства должны постоянно тестироваться в реальной боевой, где мелочи решают: жив или умер. Ну или закрыт-чист или скомпрометирован.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от Жироватт (ok), 14-Мрт-22, 13:40	+1 +/–
Принцип похож на обоснование герметичных толстых переборок в кораблях - если есть пробоина в каком-то отсеке, то он тупо задраивается и даже с полностью затопленным отсеком корабль сохраняет плавучесть, теряя в мореходности. Обычно там закладывается при проектировке рассчетно 2-3-5 затопленных отсеков, позволяющих судну своим ходом дойти до ближайшего порта, сбросить карго и в док, на ремонт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

10. Сообщение от Жироватт (ok), 14-Мрт-22, 13:44	+4 +/–
И эта уязвимость сидит перед монитором, пишет интеграцию в TUF. Или это уязвимость с доступом к ревью коммитов самого TUF получила деньги от Конгресса неназванной страны, патриотических люлей от дрилл-сержанта морской пехоты неопределенной страны, а затем угрозы от бесноватых, живущих с ним рядом в андефайн-стране, в имярековой социальной сети во имя всего хорошего против всего плохого?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

11. Сообщение от Аноним (11), 14-Мрт-22, 14:11	–6 +/–
> Код эталонной реализации TUF написан на языке Python Не продолжайте.
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 14-Мрт-22, 14:15	+1 +/–
Хотя бы работы, а не одних деклараций.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

13. Сообщение от Kusb (?), 14-Мрт-22, 14:31	+/–
Ну оно звучит интересно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

15. Сообщение от user90 (?), 14-Мрт-22, 15:21	+/–
Новость-то не фиктивная? А то подписи нет)
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Брат Анон (ok), 14-Мрт-22, 15:33	+1 +/–
Только тут проблема: если кто-то смог залить зловред в репу -- значит ключ протёк. На ключ нужен другой ключ уровнем выше. Это пирамида без конца.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #26

17. Сообщение от Брат Анон (ok), 14-Мрт-22, 15:37	+/–
> Ну оно звучит интересно. Лучше, чем ничего. Но тут даже зловреда не надо: из requirements.txt берём лижу типа pylint>=4.7 и подтягивается pylint 18.3. Для python 4.5. И это отвратительно. К слову, в  golang такое не прокатывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

20. Сообщение от Майор (??), 14-Мрт-22, 17:24	+1 +/–
> фреймворк для организации безопасной доставки обновлений И как же я теперь буду бэкдоры вставлять? *плак-плак*...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

21. Сообщение от Адмирал Майкл Роджерс (?), 14-Мрт-22, 17:33	+2 +/–
Не унывайте, коллега. Специалисты что-нибудь придумают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #22

22. Сообщение от Dzen Python (ok), 14-Мрт-22, 20:30	+/–
Я вам всем бюджетное финансирование урезал!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

24. Сообщение от Аноним (24), 15-Мрт-22, 03:09	+/–
ну Python это отличный язык для прототипирования... примерно как Turbo Pascal раньше. концепт заложен теперь надо подождать программистов, которые перепишут хотя бы на сях это хоть под какой-то дистрибутив... хотя зачем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

25. Сообщение от Аноним12345 (?), 15-Мрт-22, 09:28	+1 +/–
Надстройка над настройкой над настройкой Мы будем контролировать то, что вы сами контролируете, но плохо
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от n00by (ok), 15-Мрт-22, 13:36	+1 +/–
> пирамида без конца. Безопасность это вообще процесс. Она не "есть", приходится её обеспечивать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #27

27. Сообщение от Брат Анон (ok), 17-Мрт-22, 10:55	+/–
>> пирамида без конца. > Безопасность это вообще процесс. Она не "есть", приходится её обеспечивать. Я прекрасно в курсе, что безопасность это не состояние, а процесс. Также я в курсе, что описанную проблему верификации верификатора -- безопасность не решает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема