| |
| |
| |
| |
| 5.63, Сладкая булочка (?), 16:56, 29/04/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Вас... кхм... Автоматизировали?
Ой, не надо только вот эту ерунду тут нести. Уже поди взял компилятор ССС и все им пересобрал, автоматизатор? Вы ни на что не способны, создатели нейрослопа. Просто сидите на готовых либах и сверху генерите хлам, при это строя из себя не пойми кого.
| | |
|
|
|
|
| 1.4, Аноним (4), 00:37, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Что это за такие GitHub Actions, много ли от них пользы? Фигурируют в каждой второй новости про горе-пакеты.
| | |
| |
| 2.12, Аноним (3), 04:49, 29/04/2026 [^] [^^] [^^^] [ответить]
| –3 +/– |
Это то, что следует рассмотреть, когда на гит с винраров перейдете.
| | |
| |
| 3.20, Аноним (20), 07:28, 29/04/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
Уж лучше винрары и каменты "// Дата. ФИО", чем пользоваться гитхабом в целом и его экшонами в частности.
| | |
|
|
| 1.7, Аноним (7), 00:40, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45).
А есть возможность скачать заражённые выпуски спустя какое-то время после обнаружения?
| | |
| 1.13, Аноним (13), 05:10, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Весело. Как я понял, их гитхаб токен, который работал в пулл реквестах, имел доступ не только на чтение репа, но и на запись, и на создание релизов. Могли бы не мелочиться и поставить полный доступ.
| | |
| |
| 2.14, Аноним (3), 05:48, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Могли бы не мелочиться и поставить полный доступ
Никто и не мелочился.
| | |
| 2.58, Аноним 9000 (?), 12:51, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
На самом деле в гитхаб совершенно упоротая система с Action. Никаких secure defaults и безопасно это настроить достаточно сложно
| | |
| |
| 3.65, Аноним (65), 17:57, 29/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Там прямым текстом надо писать "read" или "write". Я не знаю, как сделать ещё проще, чтобы вам перестало быть "достаточно сложно", и вы перестали путать.
| | |
|
|
| 1.15, ИмяХ (ok), 05:56, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
 >>история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.
Если это у пользователей скачивает корпорация, то оно законно и называется "телеметрия", а если это скачивает левый чел, то это незаконно и называется "конфиденциальные данные"
| | |
| |
| 2.23, Аноним (20), 07:31, 29/04/2026 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Юридически можно добавить описание в релиз или в какой-либо файл, мол "используя данный пакет вы даёте разрешение на сбор информации"
Тысяча глаз не увидит, какой-нить реновейт затянет, вот уже как бы и незаконный сбор получается законным
| | |
|
| 1.18, Аноним (18), 06:39, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Потому что системных программистов на C,C++ заменили вайтишниет бракоделы на Python для которых стабильная система это нонсенс, вот у них бардак во всем.
| | |
| |
| 2.21, Аноним (21), 07:30, 29/04/2026 [^] [^^] [^^^] [ответить]
| –7 +/– |
Популярность питона и прочей скриптоты - это прямое следствие убогости Си и неадекватности Си++ и их доминирования в системном программировании.
| | |
| |
| 3.26, Аноним (26), 08:10, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Предположим. А что, из всего многообразия языков программирования так и не нашлось более-менее адекватного? Или это и есть Питон - лучшее из худшего? :)
| | |
| 3.33, Аноним (33), 09:22, 29/04/2026 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> убогости ... и неадекватности ... и ... доминирования
У меня логический диссонанс
| | |
| |
| 4.66, Аноним (65), 18:00, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Альтернатив не было, никто особо не знал как нужно и как можно. Как разобрались, стали пытаться что-то делать.
| | |
| |
| 5.67, Аноним (7), 19:16, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Альтернатив не было
Как удобно говорить именно это. Прямо сейчас есть далеко не самая лучшая альтернатива, однако довольно распиаренная. И что? На неё совершают кучу нападок.
Лично мне известно о существовании cyclone (2001), а так же ats(2006). Как всегда, местные ыксперты сделают вид, что слышат о них впервые.
Прямо сейчас, существует язык, чья моедль памяти должна давать ещё больше чем rust, в плане утечек памяти. Разумеется, про него тем более никто ничего не слышал.
| | |
|
|
| 3.44, Аноним (44), 11:03, 29/04/2026 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Популярность питона и прочей скриптоты - это прямое следствие убогости и неадекватности по-быстрому-вкатившихся-в-айти и их неспособности научиться кодить на Си и Си++, которые доминируют в системном программировании.
Не благодари.
| | |
| |
| |
| 5.64, Аноним (64), 17:08, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Кинь ссылку на реальные факты эксплуатации. С 94 года, небось, огого сколько набралось?
| | |
| |
| |
| 7.72, Аноним (64), 21:56, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Камент как раз в тему новости. У изобличителей дыряшки перед носом реальный факт - грохнули репу на гитхабе. Причина - ошибка в логике вызова обработчика. В иксах с 1994 года висят в коде умозрительные уязвимости, для которых не то что фактов взлома не зарегистрировано, но даже внятного эксплойта не опубликовано - всё равно начинается приступ вялотекущей истерики про "убогость Си и неадекватность Си++".
| | |
| 7.75, Аноним (7), 23:45, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>У изобличителей дыряшки перед носом реальный факт
Уязвимости не исключают друг друга, они суммируются.
>но даже внятного эксплойта не опубликовано
Зачем вам эксплоит? Лично мне более чем достаточно того факта, что сишные программы очень любят ломаться непредсказуемым образом, при этом стек вызова будет указывать не на реальную проблему, а в произвольное место.
>вялотекущей истерики про "убогость Си и неадекватность Си++"
Вот удивительно, си такой хороший, а как только его начинают применять в проектах сложнее hello world, так тут же вылезает куча проблем, что касается как новичков, так и матёрых профессионалов. При этом, до сих пор люди делают вид, что проблемы не существует.
| | |
|
|
|
|
|
|
| 1.27, Аноним (27), 08:27, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Ленивым разарбам влом самим скомпилить себе проджект и залить сразу бинарник? Ну вот и страдайте.
| | |
| 1.34, INSANEWAVE (ok), 09:34, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Я чёт не понимаю, а почему у нас до сих пор такой кринж происходит? Может уже обратят на это внимание на убогость защиты или червей недостаточно было?
| | |
| |
| 2.36, Аноним (26), 09:37, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Если я правильно понял, была проэксплуатирована дыра в обработчике GitHub Action, который есть скрипт, который создаёт владелец репы.
| | |
| 2.38, Аноним (38), 10:12, 29/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Давно пора уже запилить изоляцию хотя бы на уровне virtual environments, чтобы всякое сидело в своём лепрозории, а до тех пор есть несколько простых правил: а) стараться не ставить самые свежие пакеты, а лучше указывать конкретную проверенную версию, и б) стараться по возможности не ставить пакеты с большим количеством зависимостей, чем меньше их - тем лучше
| | |
| |
| 3.42, INSANEWAVE (ok), 10:53, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ну это конечно да, правильно. Лично я так и делаю, правда насчёт малозависимых пакетов сложно и муторно. С другой стороны - когда у тебя пк изолирован и не используется для финансовых операций то ок
| | |
| 3.45, Аноним (44), 11:12, 29/04/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, какбэ, вменяемые люди так и делают, ставят в списке зависимостей ссылку на конкретный релиз либы и хэш тарбола для проверки.
| | |
|
| 2.39, Аноним (39), 10:24, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Инструменты для защиты есть. Просто софта слишком много и дыры находят в самых разных частях. Так теперь ещё и ИИ массово сканирует вообще всё подряд. Гонка вооружений ускорилась, и пока что Red Team имеет преимущество.
Больше инфраструктура - больше поверхность атаки, больше затрат на защиту.
| | |
|
| 1.35, Аноним (35), 09:36, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
используйте secrets говорили они
эти данные не доступны приложениям в CI/CD говорили они ...
| | |
| |
| 2.47, Аноним (47), 11:51, 29/04/2026 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> компрометации рабочих процессов GitHub Actions
взломали гитхаб так-то
| | |
| |
| 3.71, Аноним (26), 21:36, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>взломали гитхаб так-то
Да не. Взломали скрипт владельцев репы.
| | |
|
|
| 1.48, Джон Титор (ok), 11:51, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Мне кажется к информации о пакетах нужно добавлять историю типа Vulenrability History. Чтобы хотя-бы под каждой версией понимать что к чему. Оно всё-равно уже автоматизировано. Люди которые используют хоть будут понимать - возможен инцидент или нет. А то что они где-то в новостях это опубликовали, которые не все и прочитают, и вы вряд-ли эти новости найдёте пока уже не столкнетесь с инцидентом как-то почти бессмысленно.
| | |
| 1.53, Аноним (53), 12:12, 29/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Храните свои токены и пароли в переменных среды, говорили они. Это безопасно, говорили они.
Так я и не понял чем оно безопаснее. На файлы хотя бы права есть. А переменные кто хочешь может читать.
| | |
| |
| 2.54, Аноним (53), 12:13, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
UPD написал на эмоциях не прочитав комменты. Выше уже это же самое подметили.
| | |
| |
| 3.74, Tron is Whistling (?), 23:15, 29/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Хосспаде, ну цыцд, девляпсинг, вот это всё.
Первый залетевший дятел разрушит цивилизацию. Ещё древние писали.
| | |
|
|
|
