The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"GitHub реализовал возможность упреждающей блокировки утечек токенов к API"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"GitHub реализовал возможность упреждающей блокировки утечек токенов к API"  +/
Сообщение от opennews (ok), 05-Апр-22, 11:13 
GitHub объявил об усилении защиты от попадания в репозитории конфиденциальных данных, по недосмотру оставленных  разработчиками в коде. Например, случается, что в репозиторий попадают файлы конфигурации с паролями к СУБД, токены или ключи доступа к API...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56968

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от YetAnotherOnanym (ok), 05-Апр-22, 11:13   +1 +/
Лучше бы отправляли к автору коммита ликтора с пучком розог.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от пох. (?), 05-Апр-22, 13:28   +1 +/
учитывая количества ОНО - им может так понравиться, что ключей не напасешься.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 05-Апр-22, 17:11   +/
Это они хорошо сделали, молодцы. Раньше приходилось для этого скрипты писать с учётом разных платформ и инструкции для разработчиков, которые никто не читает. Надо попробовать накоммитить фейковых ключей и если работает, выбросить ¾ этой скриптовой лапши из репы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 05-Апр-22, 17:20   +/
> приходилось для этого скрипты писать

да что у вас за разрабы такие? хренак-хренак не глядя, git add . && git commit -m 'Привет, влей пожалуйста, оч надо'

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5, #6, #7, #11

5. Сообщение от onanim (?), 05-Апр-22, 22:06   +/
во всех компаниях размером более пяти человек такие разрабы
а кое-где и менее пяти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от пох. (?), 05-Апр-22, 22:23   +/
Во-первых, где он других рабов тебе поналовит?
Во-вторых почему только разрабы? Еще есть девляпс-отдел. С инфраструктурка as a cocococoде!

"У нас все конфиги - в репо!" Куда он тебе еще ключи положит?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8

7. Сообщение от Аноним (8), 06-Апр-22, 04:53   +/
Разрабы — самые обычные люди, которые иногда совершают ошибки. И чтобы эти ошибки не были фатальными, существует комплекс мер по их предотвращению. Где-то не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9

8. Сообщение от Аноним (8), 06-Апр-22, 04:55   +/
А у тебя где конфиги? В единственном экземпляре в /etc без лога аудита? Кроме локалхоста своего что-нибудь видел?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #12

9. Сообщение от X86 (ok), 06-Апр-22, 08:08   +1 +/
"Иногда" надо заменить на "очень часто".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #13, #14

11. Сообщение от Тфьу (?), 06-Апр-22, 16:09   +/
раз было так: организация с приватными репами, человек по привычке сделал реп, закинул туда какие-то свои настройки, ну и ключи AWS. реп по умолчанию публичный создается. вот и получилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

12. Сообщение от пох. (?), 06-Апр-22, 17:18   +/
В /etc/, да. Без ненужного лога ненужно, который читать будет примерно никто и никогда.

А твои ключи - сегодня достались всему миру, потому что "реп по умолчанию паблик", ой, ну недоглядели, ну бываит, разработчиков много, люди имеють право на ошибку (люди?! Какие еще люди?! Хвост в штанину просунул и думает - сойдет!)

А мои не достались, потому что у макакеров нет к ним доступа вообще, и они никогда не попадут ни в какой "реп".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #16

13. Сообщение от пох. (?), 06-Апр-22, 17:19   +/
это ни разу не ошибка. Это современный стиль разработки и адми...ой, простите, девоп-подхода. Администрирование это ваше - позапрошлый век, им никто давно не занимается, некогда, спринт не ждет!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #15

14. Сообщение от Аноним (8), 07-Апр-22, 04:22   +/
Если очень часто, то тем более нужны меры. Но я с такими не работаю, я их всех тебе оставил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

15. Сообщение от Аноним (8), 07-Апр-22, 04:29   +/
Я больше 20 лет админю, начинал с хтонических санов, z/OS и прочей нечисти. До сих пор поражаюсь, что не перевелись идиоты, которые хотят обратно к этому откатиться. Любое изменение занимало месяцы, при этом качество кода поддерживалось вручную, от форматирования до выявления типовых ошибок. Вместо прогона статического анализатора на каждый коммит, Александр и Валерий по пятницам шерстили свешие коммиты в CVS (!) в поисках обращений к неинициализированным переменным, выходов за пределы массивов и так далее. Мартышкин труд, на который убиты годы чьей-то жизни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #18

16. Сообщение от Аноним (8), 07-Апр-22, 04:32   +/
Да и локалхост твой тоже никому, в общем-то, не сдался. Но речь про бизнес-решения, где и лог читать надо, и неподписанные правильным ключом коммиты дальше дев-кластера не попадут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #17

17. Сообщение от пох. (?), 07-Апр-22, 09:49   +/
> Да и локалхост твой тоже никому, в общем-то, не сдался. Но речь
> про бизнес-решения

админ локалхоста п-дит мне тут про "бизнес решения" виденные им только в фантазиях, как мило.

>, где и лог читать надо, и неподписанные правильным ключом
> коммиты дальше дев-кластера не попадут.

а подписанные правильным ключом коммиты с ключами - уютно лежат для всеобщего обозрения. Да, у великих админов дев-кластеров оно примерно так и есть.

Причем они ничему не учатся, ибо необучаемы. Ну вот, зато шитхаб о вас позаботился, бизнесрешатели подвальные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #19

18. Сообщение от пох. (?), 07-Апр-22, 10:06   +/
> обратно к этому откатиться. Любое изменение занимало месяцы, при этом качество

поэтому говенные иногда успевали похоронить до выкладывания в прод. Бизнес и по сей день примерно так и работает - continuous desintegration это для лохов-конечных пользователей, а за подобное обращение с деньгами хозяев можно и под децимацию угодить.

> кода поддерживалось вручную, от форматирования до выявления типовых ошибок. Вместо прогона

зато все ключи от всего не выкладывались на шитхаб автоматически и без всяких сомнений. Впрочем, автоформатировалки кода существуют примерно с середины 80х. Как и триггеры в cvs. Что вы ими не умели пользоваться - опять же говорит только о вашей неквалифицированности, гордо пронесенной через пол-века.

Безусловно ваши нужные и полезные изменения важнее донести до прода сию секунду, чем обеспечить безопасность этого самого прода. К счастью, так думают еще не везде, но, к сожалению, эпоха одноразовых (нуль разовых потому что рушатся при первом же проходе поезда - зато очень-очень быстро чинятся) мостов уже наступила.

В прямом смысле тоже - потому что технологические системы тоже делают так же и теми же руками. Только вопрос времени когда что-то невиртуальное и очень ядовитое йапнет не в Индии а в так называемой цивилизованной стране.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

19. Сообщение от Аноним (3), 07-Апр-22, 19:32   +/
Ну не дуйся ты так, через каких лет десять доверят и тебе что-то кроме замены картриджей. А там глядишь и эникейство доверят. Не всю же жизнь тебе в датацентре полы мести.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру