В этом и проблема, что реальная репутация - это не звездочки на гитхабе.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Стоит ли слепо доверять открытым исходникам? | Should we blindly trust open source?
- Автор темы oceanaric
- Дата начала
Все на свете читать не реально, все проверить не реально, быть уверенным что ничего не пропустил при чтении и проверке - тупо.
Значит все что можно помещаешь в оффлайновом контейнере и делаешь запросы в этот контейнер.
Чем раньше научитесь разделять то чему нужен с онлайн с тем чему не нужен, тем лучше, так же стоит заботиться о том что бы вся инфа которая попадает в онлайн контейнер была не чуствительна к у течкам.
Учитесь тунелировать трафик и не допускать пересечения сетей которые не должны пересекаться, например у оффлайн контейнера не должно быть возможности сканировать клиентов, дмз и строгие правила на направленность соеденений, это когда например входящие разрешены а исходящие нет и трафик тунелируется через сеть посередине.
Посыл такой - разделяйте и властвуйте =)
Значит все что можно помещаешь в оффлайновом контейнере и делаешь запросы в этот контейнер.
Чем раньше научитесь разделять то чему нужен с онлайн с тем чему не нужен, тем лучше, так же стоит заботиться о том что бы вся инфа которая попадает в онлайн контейнер была не чуствительна к у течкам.
Учитесь тунелировать трафик и не допускать пересечения сетей которые не должны пересекаться, например у оффлайн контейнера не должно быть возможности сканировать клиентов, дмз и строгие правила на направленность соеденений, это когда например входящие разрешены а исходящие нет и трафик тунелируется через сеть посередине.
Посыл такой - разделяйте и властвуйте =)
Всем следует быть внимательными к изложенному здесь автором.
Объяснено очень подробно.
Приветствую вас.
Объяснено очень подробно.
Приветствую вас.
I have heard of high quality and well-known offensive security tools on GitHub being backdoored to expose black hats IP, etc. Think EvilGinx easter egg headers taken to the next step. always a good idea to review tools and understand them on a deeper level
Звёзды и прочую чепуху на гитхабе накрутить можно, всегда лучше самому код проверять, и не кликать на .sln файлы бездумно, иногда это может быть не solution file для студии, а малварь замаскированная под скрин сейвер
Stargazers Ghost Network - Check Point Research
Check Point Research identified a network of GitHub accounts (Stargazers Ghost Network) that distribute malware or malicious links via phishing repositories. The network consists of multiple accounts that distribute malicious links and malware and perform other actions such as starring, forking...
research.checkpoint.com
A cool tool I just found to check repos for backdoor using chatgpt
GitHub - referefref/gitdoorcheck: Static code analyser for backdoors and malicious code in git repos using OpenAI compatible LLM APIs
Static code analyser for backdoors and malicious code in git repos using OpenAI compatible LLM APIs - referefref/gitdoorcheck
github.com
ещё бывает что полезная нагрузка находится если перемотать далеко вправо, то есть после кучи табов, к этому нужно внимательно относиться если проект непопулярный/новый, в целом в таких проектах решает просто промотать код и посмотреть на наличие айпи адресов, запросов reuqests или закодированных строчек, а вот с pypi посложнее, но их вроде лучше начали модерировать, раньше даже от dependency можно было поймать малварь
upd: а да выше уже об этом написали, даже со скрином
upd: а да выше уже об этом написали, даже со скрином
Дело в том, что нейроночки госдепа уже во всю пишут кодесы.
А настройки нейроночек госдепа позволяют контроллировать какой код будет написан нейроночками; задавать тактику и стратегию.
Так что многие проекты с гита загибаются на глазах...
А настройки нейроночек госдепа позволяют контроллировать какой код будет написан нейроночками; задавать тактику и стратегию.
Так что многие проекты с гита загибаются на глазах...
про гитхаб хз, но вот гугл уже сам заявляет что 45% кода написано нейросетью у них
хотя на гитхабе тоже не мало в любом случае, тот же copilot уже какое-то время помогает генерировать код для девелоперов
Автору большое спасибо и за статью и за дополнительный поиск на Github. Тема поднята действительно важная. От себя могу добавить, что это будет популярно всегда. Ни один кодер на моей памяти никогда не просматривал содержимое подключаемых библиотек. ОСОБЕННО если библиотеки используются не первый раз. pip install .... и понеслось.
А это возможно просматривать все? Постоянно держать руку на пульсе вирешарка? Если нет, то кодер решает проблему того что не может делать аудит всего, иным способом. Естественно тут две стороны медали, мы должны знать как не вляпаться нам и как поиметь тех кто не заморачивался защитой.
Я когда заражал npm пакеты, при каждом заливе мне прилетали виртуальные боты которые видать проверяли код, но почему то не удаляли видать не находили вирус, но все же половина моих пакетов отлетело, и люди ставят на самом деле, не просто люди, а те которые с криптой работают. По итогу я имею несколько хостингов благодаря заражению пакетов. Не возможно точно проверить все, потому что к примеру на js, 1 пакет зависит от 10 других пакетов и кто будет проверять эту матрешку? Тут уже смотреть кто использует и как много, но точной гарантий тоже не даст. Я вообще придерживаюсь минимум пакетов использовать или писать свой инструментарий.
А это я говорю только о js, языков куча, пакетных менджеров тоже, да даже не с языками связанное а просто пакетных менеджеров тот же yay, pacman, apt, и прочие пакеты. Там тоже есть малварь
А что стоит за этой фразой?
Может - я делаю дохуя оверхед работы, велосипеды, параною, растрачиваю время и силы, и все равно не чувствую себя защищенным потому что знаю что не все проверил и не все контролирую. Ползаю в заранном лабиринте минотавра из которого нет выхода. Оно?
Возможно)
Давно видал подобную статью на другом форуме
Всегда чекаю код, прежде чем сделать "git clone", ведь любой раздолбай может туда засунуть свой "подарок".
Вопрос: что в твоём коде для сортировки файлов делает post и get?
Разраб: ну так надо.
А, ну тогда хорошо. Если надо, то надо
Всегда чекаю код, прежде чем сделать "git clone", ведь любой раздолбай может туда засунуть свой "подарок".
Вопрос: что в твоём коде для сортировки файлов делает post и get?
Разраб: ну так надо.
А, ну тогда хорошо. Если надо, то надо
Ну для таких целей в больших компаниях и имеются безопасники, которые регулярно просматривают все внешние зависимости и инспектируют обновления.
В тех самых больших компаниях у которых постоянные утечки и которых ставят на шкафчик?
Дохренища библиотек и взаимосвязей и все это постоянно обновляется, и как вообще быть, сначала апдейт а потом аудит, или аудит а потом апдейт =)
А если там там что то в бинаре? отдать команде реверсеров? отказаться от либы и всего что от нее зависит? не обновлять? Как же быть?
log4g не даст соврать эти смотрящие безопасники не зря едят свой хлеб.
Есть очевидный момент - умному такая работа как ковырятся во всяком говне нах не нужна, а лентяи и долбоебы все проебут как всегда.
Обычно в больших компаниях используют свой git/svn со всеми зависимостями нужных версий. И как правило эти версии на N лет отстают от latest. И в основном боятся не столько шкафчиков, сколько BSOD-a. Но даже если где-то используются свежие зависимости, разрабы ограничиваются чекером, который встроен в пакетный менеджер, и мониторингом security alerts. В остальном процедура не отличается от обычной dev-test-staging-prod.
Думаю в энтерпрайзе за пойманного таким образом зверька никто отвечать не будет. Поэтому копаться и что-то выискивать можно в первый рабочий день, но затем придет осознание, что дело это весьма неблагодарное, а рабочих задач меньше не становится.
Думаю в энтерпрайзе за пойманного таким образом зверька никто отвечать не будет. Поэтому копаться и что-то выискивать можно в первый рабочий день, но затем придет осознание, что дело это весьма неблагодарное, а рабочих задач меньше не становится.