forum.opennet.ru - "Утечка токена для полного доступа к GitHub-репозиториям проекта Python" (112)

"Утечка токена для полного доступа к GitHub-репозиториям проекта Python"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Утечка токена для полного доступа к GitHub-репозиториям проекта Python"	+/–
Сообщение от opennews (?), 12-Июл-24, 10:10
Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен, предоставляющий доступ с правами администратора к репозиториям Python, PyPI и Python Software Foundation на GitHub. Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61531
Ответить \| Правка \| Cообщить модератору

Оглавление

Расскажите ему про gitignore , randomize (?), 10:10 , 12-Июл-24, (1) +12

И про то что в гите можно смотреть что ты коммитаешь, а не коммитать весь треш, Аноним (9), 10:33 , 12-Июл-24, (9)

Скрыто модератором, Аноним (16), 10:55 , 12-Июл-24, (16) +13
тока в Git токен не попал - а вот в бинарник попал 8212 что нам напоминает п, Xasd7 (?), 12:16 , 12-Июл-24, (34) +9

Воот, теперь-то все как надо, теперь оно и в гит попадет Потом конечно будет уд, нах. (?), 12:56 , 12-Июл-24, (51) +3

В этой новости прекрасно все Начиная от комита в гит левого мусора, которого та, Аноним (-), 23:09 , 12-Июл-24, (100) +5

Так токен же вроде в docker-образе нашли а не в гите, нет , mickvav (?), 16:06 , 13-Июл-24, (114)
ви таки имеете что-то против гомо-нигг после прочтения КоК а , Бывалый Смузихлёб (ok), 19:14 , 16-Июл-24, (134)

Ты правда думаешь что питон-девелопер способен это понять , Илья (??), 03:10 , 13-Июл-24, (104)

dockerignore, Волк (?), 11:49 , 12-Июл-24, (29) +7
Скорее про dockerignore, анон (?), 21:08 , 12-Июл-24, (92)
на собесе расскажут, hr (??), 23:20 , 12-Июл-24, (101)

смотрите, как я умею , Аноним (3), 10:12 , 12-Июл-24, (3) +19

Это какой-то позор , Аноним (36), 12:16 , 12-Июл-24, (36) +2

Позорище, Вы забыли заполнить поле Name (?), 14:29 , 12-Июл-24, (58)

Смотрите как могу , Аноним (5), 10:27 , 12-Июл-24, (5)

дрянная идея Это контейнер который будет большинством обезьянок использоваться , нах. (?), 11:22 , 12-Июл-24, (26) +2

В пакетном менеджере Nix этой проблемы нет перед сборкой все неигнорируемые фай, Аноним (6), 10:28 , 12-Июл-24, (6) +2

ты не поверишь, но в докере тоже сборщик не видит игнорируемые файлы, mimocrocodile (?), 10:47 , 12-Июл-24, (13)

Видит Другое дело, что у докера свой собственный dockerignore, который конечно, Аноним (6), 11:15 , 12-Июл-24, (22) +3

А что его синхронизировать, если git поддерживает симлинки , Аноним (52), 12:59 , 12-Июл-24, (52)

Docker не поддерживает dockerignore в подпапках У gitignore больше синтаксиса , 9392012938к8282 (?), 09:16 , 13-Июл-24, (111) +1

Люди не готовы к будущему , Соль земли (?), 10:48 , 12-Июл-24, (14) +2
Да во всех дистрах сто лет уже собирают пакеты и, соответственно, ПО в clean c, Аноним (103), 02:54 , 13-Июл-24, (103)

Там ровно это и имеется, при сборке пакета он не может обращаться к чему-либо кр, morphe (?), 04:38 , 13-Июл-24, (107) +2

Там самый обычный, только костыльный, chroot без изоляции find nix -name curl, Аноним (118), 22:03 , 14-Июл-24, (118) –1

Да что ты такое несёшьТам и userns, и netns, и mountns, и seccomp, и монтируются, morphe (?), 23:22 , 14-Июл-24, (119) +1

Анализ показывает что всем пофиг на эти токены и дыры типа выхода за границы буф, Аноним (7), 10:30 , 12-Июл-24, (7) +1
А зачем pyc файлы в гит добавлять 0_0, Соль земли (?), 10:46 , 12-Июл-24, (11) +1

Скрыто модератором, Аноним (16), 10:59 , 12-Июл-24, (18) +9

Скрыто модератором, Соль земли (?), 15:04 , 12-Июл-24, (65) +2

Перевод с питона на русский , Tron is Whistling (?), 09:43 , 13-Июл-24, (112) +1

Жёваный стыд , Аноним (12), 10:46 , 12-Июл-24, (12) +3

а вы точно разработчик Скажите что-нибудь на разработческом - дайте мне токе, нах. (?), 11:13 , 12-Июл-24, (20) +6

дайте рута на прод , anonymplusplus (?), 13:25 , 12-Июл-24, (53) +2
Переписка из чатика python software foundation , Вы забыли заполнить поле Name (?), 14:31 , 12-Июл-24, (59) +1
- дайте мне токен с полным доступом ко ВСЕМУ Эт только уровня принципалов, все, OpenEcho (?), 14:42 , 12-Июл-24, (61)

- Docker-образ с токеномДевляпс-ляпс-ляпс , Tron is Whistling (?), 10:56 , 12-Июл-24, (17) +4

и один ключ от всех дверей - даже не под ковриком, а просто в замке всегда торчи, нах. (?), 11:12 , 12-Июл-24, (19)

Всё на месте https durbin ee , Аноним (3), 12:10 , 12-Июл-24, (33) +4

а, и точно, всьо Этого - точно в директора , нах. (?), 12:48 , 12-Июл-24, (43)

и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно , Аноним (21), 11:14 , 12-Июл-24, (21) +5

не специалисты а цельные директора по инфраструктуре Т е тот самый человек, кот, нах. (?), 11:19 , 12-Июл-24, (24) +4

где Вы видали вменямых топтунов , Аноним (38), 12:21 , 12-Июл-24, (38) +2
ван Россум ушёл в Microsoft, вот результат, Аноним (79), 16:54 , 12-Июл-24, (79)

ну блин, у чувака - пенсия, дача, рыбалка С токенами и дыркерами вон этот пуст, нах. (?), 18:46 , 12-Июл-24, (84)

Э нет Напоссал и сбежал Так не пойдет, так что - вот - брыкающегося и хрипящег, Аноним (-), 22:45 , 12-Июл-24, (96)

Извините, им лениво заморачиваться с приземленными вещами типа обработки ошибок , Аноним (-), 22:43 , 12-Июл-24, (95)

В большой проект требуется директор по инфраструктуре Требования к кандидату - , Аноним (25), 11:19 , 12-Июл-24, (25) +3

А квота для minorities у вас есть , нах. (?), 11:25 , 12-Июл-24, (27)

Они и так проходят по квоте, у них один из ведущих разработчиков не так давно ст, Аноним (52), 15:37 , 12-Июл-24, (70)

а потом - е6анулось а мы удивляемся, чего у них один токен от всех замков Жги, нах. (?), 18:47 , 12-Июл-24, (85) +1

Требования к гендеру , Аноним (32), 12:07 , 12-Июл-24, (32) +1

Как оно могло прокешироваться Изменил исходник, значит и содержимое кеша должно, n00by (ok), 11:31 , 12-Июл-24, (28)

может даже и запускал - в уже собранном докер-контейнере А в образе спокойно леж, нах. (?), 11:49 , 12-Июл-24, (30) +1

Токен это нормально же Во-первых, ныне 2к24 Во-вторых, это не os system sudo , n00by (ok), 16:58 , 12-Июл-24, (80)

Запуск не вызывает ребилд контейнера Но более важный вопрос с какого рожна, обр, Карлос Сношайтилис (ok), 12:25 , 12-Июл-24, (41) +1

вообще-то должен бы был - но текущего контейнера А образ где был в дыркер хапе, нах. (?), 12:54 , 12-Июл-24, (49)

Отлаживать удобно локально, а продовая сборка должна выполняться автоматически и, Карлос Сношайтилис (ok), 13:52 , 12-Июл-24, (56) +2

Так в каком именно месте в этой схеме технологическое отверстие Это зиродей или, n00by (ok), 16:51 , 12-Июл-24, (78) +1

ему не надо исполняться Надо просто кому-то неленивому посмотреть что там понак, нах. (?), 18:50 , 12-Июл-24, (86)

Если ему не надо исполняться, зачем он тогда вообще нужен Об этом кто-то вообщ, n00by (ok), 20:08 , 12-Июл-24, (89)

это кэш, блжд Оставшийся от предыдущего запуска место совершенно ожидаемое, куч, нах. (?), 20:30 , 14-Июл-24, (117)

Вопрос не что , а зачем Зачем что-то оставшееся копируется куда-то, ещё и , n00by (ok), 05:51 , 16-Июл-24, (132)

потому что COPY allthishit tar а в нем целиком хомяк или вообще вся виртуалочка, нах. (?), 08:23 , 16-Июл-24, (133)

Пароли ненадёжно, говорили они Нужно по ключам, токенам Главная проблема пароле, Аноним (32), 12:03 , 12-Июл-24, (31) +2

что значит по недосмотру Оно и может быть только в коде или данных в этом код, нах. (?), 12:52 , 12-Июл-24, (48) +1
Да токены по большому счету только защита от паролей класса маша , 12345678 , , OpenEcho (?), 14:49 , 12-Июл-24, (62)
А пароли по недосмотру оказываются в ps aux , Соль земли (?), 15:07 , 12-Июл-24, (66)

там и токен окажется, не вижу никакой разницы Тут вон уже насоветовали совать ег, нах. (?), 18:52 , 12-Июл-24, (87) +1

В каком- то смысле, тебя услышали, aname (?), 12:30 , 15-Июл-24, (121)

да, но можно же было сделать - КРОСИВО и дыркерфайл закомитить кстати в гит, од, нах. (?), 20:47 , 15-Июл-24, (126)

Может скоро и такое узреем, aname (?), 21:08 , 15-Июл-24, (131)

Какого хрена вообще переменные окружения сохраняются в файл с прокешированным ба, Аноним (39), 12:21 , 12-Июл-24, (39) –1

В новости шесть параграфов Четвёртый - код, который отвечает на твой вопрос Ты с, Карлос Сношайтилис (ok), 12:28 , 12-Июл-24, (42) +1

После заголовка, aname (?), 12:30 , 15-Июл-24, (122)

Что-то я не понял Можно же указывать время жизни токена Указал время жизни в м, 111 (??), 12:24 , 12-Июл-24, (40)

Как какие - через месяц же сломается все, вот какие , нах. (?), 12:50 , 12-Июл-24, (45) +3

что сломается , 111 (??), 16:11 , 12-Июл-24, (74)

всё, что не ясно , Ахз (?), 00:51 , 13-Июл-24, (102)

У меня ничего не ломается Всё работает , 111 (??), 09:11 , 15-Июл-24, (120)

Имели в виду sabotage, но клавишей промахнулись , Аноним (52), 12:56 , 12-Июл-24, (50) +6
Виновник - саботажник, который должен быть с позором уволен 1 Почему вообще так, Аноним (52), 13:26 , 12-Июл-24, (54) +3

не саботажник, а директор Сам кого хочешь уволит это вопрос который директору з, нах. (?), 16:17 , 12-Июл-24, (75)

Скрыто модератором, Аноним (55), 13:47 , 12-Июл-24, (55) +2
вы понимаете что произошло, питон полностью скомпрометирован, его теперь только , Аноним (57), 13:55 , 12-Июл-24, (57) +3

И сколько тогда реальных программистов останется , OpenEcho (?), 14:51 , 12-Июл-24, (63)

А какая связь Столько же и останется, сколько было, реальных-то , Аноним (67), 15:16 , 12-Июл-24, (67) +3

10-0, OpenEcho (?), 15:50 , 12-Июл-24, (72)
ну, а кодить тогда кто будет Реальные - заняты Кто пиццей торгует, кто чем Са, нах. (?), 16:18 , 12-Июл-24, (76) +1

соображающие люди это давно поняли, поэтому 70 корпорат приложений - на Java, Аноним (79), 17:04 , 12-Июл-24, (81)

java разработчики точно такие же питонисты, даже ещё в большем неадеквате Вот п, Аноним (108), 04:41 , 13-Июл-24, (108)

Там тоже нашли токен от всех реп , aname (?), 12:33 , 15-Июл-24, (123)

Чукча не читатель Там токен от всего прода, Аноним (108), 17:22 , 15-Июл-24, (125)

только у дура4ков которые логают нефильтрованный юзеринпут , нах. (?), 20:49 , 15-Июл-24, (127)

Чему вы не рады Каждый мог поправить питон как надо Вы упустили свой шанс, вот, Вы забыли заполнить поле Name (?), 14:33 , 12-Июл-24, (60) +5
И зачем Как теперь получать доступ с правами администратора ко всем репозитори, Аноним (67), 14:58 , 12-Июл-24, (64) +1
docker упрощает деплоймент, ога очердной костыль и точка отказа, penetrator (?), 15:19 , 12-Июл-24, (68) +2
а жаль типичный современный айти разработчики, которые не знают, как на низком, crypt (ok), 15:35 , 12-Июл-24, (69) +3

дык они и провели аудит активностей ничего не аудитится, потому что аудитлог с, нах. (?), 20:50 , 15-Июл-24, (128)

Попытался представить себе последствия если бы токен нашли blackhat Индустрию д, Аноним (71), 15:47 , 12-Июл-24, (71)

С чего ты решил, что пронесло Как-то не очень верится в честное слово этих това, Аноним (73), 16:06 , 12-Июл-24, (73) +4

да, я вот тоже хорошо информированный оптимист Как будто они - умеют Тебя б так, нах. (?), 20:51 , 15-Июл-24, (129)

то ли ещё будет , Аноним (79), 16:50 , 12-Июл-24, (77)
Тебя бы так пронесло, подумал Борман ц , n00by (ok), 17:12 , 12-Июл-24, (82) +1

Скрыто модератором, Аноним (-), 22:40 , 12-Июл-24, (93)
Я просто оставлю это здесь https mastodon social EWDurbin 110531653383028239, Mim (ok), 03:25 , 13-Июл-24, (105) –2
Вот, сам признался что занимался саботажем, все бы так, Аноним (108), 04:37 , 13-Июл-24, (106) +1
Я думал, что такая нацеленность на результат ещё не везде со стороны молодых, да, Ыеуз0 (?), 07:20 , 13-Июл-24, (110)

это эджизм Давайте тебя заканселим , нах. (?), 20:50 , 13-Июл-24, (115)

А вы токен для этого предъявите, aname (?), 12:34 , 15-Июл-24, (124)

И ни слова извинений и посыпания головы пеплом Ваще пофиг Главное в конце напи, Аноним (113), 14:25 , 13-Июл-24, (113)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от randomize (?), 12-Июл-24, 10:10 +12 +/–

Расскажите ему про .gitignore.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #29, #92, #101

3. Сообщение от Аноним (3), 12-Июл-24, 10:12 +19 +/–

> пост директора по инфраструктуре
"смотрите, как я умею!"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

5. Сообщение от Аноним (5), 12-Июл-24, 10:27 +/–

Смотрите как могу:
> -B     : don't write .pyc files on import; also PYTHONDONTWRITEBYTECODE=x

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

6. Сообщение от Аноним (6), 12-Июл-24, 10:28 +2 +/–

> не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ
В пакетном менеджере Nix этой проблемы нет: перед сборкой все неигнорируемые файлы копируются в /nix/store, так что сборщик видит только реально исходные тексты. Любопытно, но так никто и не догнал Nix ни в этом, ни во всех остальных отношениях. Хотя Nix из далекого 2004.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #14, #103

7. Сообщение от Аноним (7), 12-Июл-24, 10:30 +1 +/–

Анализ показывает что всем пофиг на эти токены и дыры типа выхода за границы буфера. Это только маленьких детей пугать.

Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Аноним (9), 12-Июл-24, 10:33 +/–

И про то что в гите можно смотреть что ты коммитаешь, а не коммитать весь треш

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #16, #34, #100, #104

11. Сообщение от Соль земли (?), 12-Июл-24, 10:46 +1 +/–

А зачем ".pyc" файлы в гит добавлять? 0_0

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #112

12. Сообщение от Аноним (12), 12-Июл-24, 10:46 +3 +/–

> По сообщению представителей репозитория PyPI токен был создан в 2023 году для разработчика ewdurbin (Ee Durbin), который занимает в организации Python Software Foundation пост директора по инфраструктуре.
Жёваный стыд.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

13. Сообщение от mimocrocodile (?), 12-Июл-24, 10:47 +/–

> перед сборкой все неигнорируемые файлы копируются в /nix/store, так что сборщик видит только реально исходные тексты
ты не поверишь, но в докере тоже сборщик не видит игнорируемые файлы

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #22

14. Сообщение от Соль земли (?), 12-Июл-24, 10:48 +2 +/–

Люди не готовы к будущему.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

16. Сообщение от Аноним (16), 12-Июл-24, 10:55 Скрыто ботом-модератором +13 +/–

чушь несете! какой gitignore! речь про docker-образ.
мамкины программисты!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

17. Сообщение от Tron is Whistling (?), 12-Июл-24, 10:56 +4 +/–

- Docker-образ с токеном
Девляпс-ляпс-ляпс.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

18. Сообщение от Аноним (16), 12-Июл-24, 10:59 Скрыто ботом-модератором +9 +/–

ещё один! вы что-ли там совсем читать разучились? в какой гит?
> Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен ...
по буквам "обнаружили в составе Docker-образа"!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #65

19. Сообщение от нах. (?), 12-Июл-24, 11:12 +/–

и один ключ от всех дверей - даже не под ковриком, а просто в замке всегда торчит.
ну зато нигры-норкоманы очень важны для человечества. Про фрипластелин что-то не вижу только. Недоработочка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #33

20. Сообщение от нах. (?), 12-Июл-24, 11:13 +6 +/–

"а вы точно разработчик? Скажите что-нибудь на разработческом!"
"- дайте мне токен с полным доступом ко ВСЕМУ!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #53, #59, #61

21. Сообщение от Аноним (21), 12-Июл-24, 11:14 +5 +/–

"и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. Перед публикацией написанного кода токен был удалён, но разработчик не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ"
Специалисты которых мы заслужили! Так победим! xD

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #95

22. Сообщение от Аноним (6), 12-Июл-24, 11:15 +3 +/–

Видит. Другое дело, что у докера свой собственный .dockerignore, который конечно же никто не будет синхронизировать с .gitignore. Отсюда имеем, что имеем ("it's what it's").

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #52

24. Сообщение от нах. (?), 12-Июл-24, 11:19 +4 +/–

не специалисты а цельные директора по инфраструктуре.
Т.е. тот самый человек, который должен был первым йопнуть кулаком по столу со словами "какой на... общий ключ от всех дверей?! Вы что тут - совсем ухи поели?! Быстро накодить проверку чтоб такие ключи вообще сразу блокировались при попытке их создать."

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #38, #79

25. Сообщение от Аноним (25), 12-Июл-24, 11:19 +3 +/–

В большой проект требуется директор по инфраструктуре. Требования к кандидату:
- Уверенное знание Python
- Опыт работы с контейнерами
- Желание развиваться (будет плюсом)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #32

26. Сообщение от нах. (?), 12-Июл-24, 11:22 +2 +/–

дрянная идея. Это контейнер который будет большинством обезьянок использоваться as-is.
Вот то что байткод брался из хомяка горе-разработчика вместо компиляции в закрытом окружении докера - это конечно минус.
Но ничуть бы не помогло от гения-директора обходящего защиту от роботов патамуштамагу. Он бы и руками не забыл добавить внутрь образа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

27. Сообщение от нах. (?), 12-Июл-24, 11:25 +/–

А квота для minorities у вас есть?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #70

28. Сообщение от n00by (ok), 12-Июл-24, 11:31 +/–

> разработчик не учёл, что упоминание токена прокэшировалось
> в предкомпилированном файле с байткодом, который затем
> попал в docker-образ.
Как оно могло прокешироваться? Изменил исходник, значит и содержимое кеша должно измениться при запуске? Или он не проверял (не запускал)? Не проверял, потому что не изменял исходник вручную, а откатил коммит?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #41

29. Сообщение от Волк (?), 12-Июл-24, 11:49 +7 +/–

.dockerignore

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

30. Сообщение от нах. (?), 12-Июл-24, 11:49 +1 +/–

может даже и запускал - в уже собранном докер-контейнере.
А в образе спокойно лежал и пах старый бинарник.
Что образ при сборке не компилился - ну на фоне существования "токена-от-ВСЕГО" - право же ж, такая мелочь. Некогда, некогда ждать пока он скомпилируется, девляп-ляп-ляп-ляп и в продакшн!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #80

31. Сообщение от Аноним (32), 12-Июл-24, 12:03 +2 +/–

Пароли ненадёжно, говорили они. Нужно по ключам, токенам.
Главная проблема паролей - записывание их на бумажки и создание намеренно мастер-паролей. А вот это вот, по недосмотру оказывается в коде, в данных.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #62, #66

32. Сообщение от Аноним (32), 12-Июл-24, 12:07 +1 +/–

Требования к гендеру?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

33. Сообщение от Аноним (3), 12-Июл-24, 12:10 +4 +/–

Всё на месте https://durbin.ee/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #43

34. Сообщение от Xasd7 (?), 12-Июл-24, 12:16 +9 +/–

тока в Git токен не попал :-)
а вот в бинарник попал — что нам напоминает правило:
не нужно ВООБЩЕ в открытый доступ выкладывать то что скомпилировано на твоём лаптопе — выкладывай в паблик только то что скомпилировала общий сборочный конвеер  на сервере

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #51

36. Сообщение от Аноним (36), 12-Июл-24, 12:16 +2 +/–

Это... какой-то позор?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #58

38. Сообщение от Аноним (38), 12-Июл-24, 12:21 +2 +/–

> не специалисты а цельные директора по инфраструктуре.
> Т.е. тот самый человек
где Вы видали вменямых топтунов?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

39. Сообщение от Аноним (39), 12-Июл-24, 12:21 –1 +/–

>Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом.
Какого хрена вообще переменные окружения сохраняются в файл с прокешированным байткодом?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

40. Сообщение от 111 (??), 12-Июл-24, 12:24 +/–

Что-то я не понял. Можно же указывать время жизни токена? Указал время жизни в месяц — и всё! Какие проблемы?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

41. Сообщение от Карлос Сношайтилис (ok), 12-Июл-24, 12:25 +1 +/–

Запуск не вызывает ребилд контейнера.
Но более важный вопрос: с какого рожна, образ заливается с машины разраба, а не собирается на билд-сервере?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #49, #78

42. Сообщение от Карлос Сношайтилис (ok), 12-Июл-24, 12:28 +1 +/–

В новости шесть параграфов.
Четвёртый - код, который отвечает на твой вопрос.
Ты смог прочитать только три параграфа? Или сдался сразу после картинки?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #122

43. Сообщение от нах. (?), 12-Июл-24, 12:48 +/–

> Всё на месте https://durbin.ee/
а, и точно, всьо.
Этого - точно в директора!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

45. Сообщение от нах. (?), 12-Июл-24, 12:50 +3 +/–

Как какие - через месяц же сломается все, вот какие!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #74

48. Сообщение от нах. (?), 12-Июл-24, 12:52 +1 +/–

что значит "по недосмотру"? Оно и может быть только в коде или данных в этом коде, в том и принципиальное отличие от пароля, который должен бы быть только в голове, ну или хотя бы вот, на листочке приклеенном к монитору, как у меня.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

49. Сообщение от нах. (?), 12-Июл-24, 12:54 +/–

вообще-то должен бы был - но текущего контейнера. А образ где был (в дыркер хапе) там и лежит, всем на радость.
> Но более важный вопрос: с какого рожна, образ заливается с машины разраба, а не собирается на
> билд-сервере?
ну это ж ах...еть удобно отлаживать, да?


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #56

50. Сообщение от Аноним (52), 12-Июл-24, 12:56 +6 +/–

>обнаружили в составе Docker-образа "cabotage-app"
Имели в виду sabotage, но клавишей промахнулись.

Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от нах. (?), 12-Июл-24, 12:56 +3 +/–

Воот, теперь-то все как надо, теперь оно и в гит попадет. Потом конечно будет удалено, новым комитом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

52. Сообщение от Аноним (52), 12-Июл-24, 12:59 +/–

А что его синхронизировать, если git поддерживает симлинки?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #111

53. Сообщение от anonymplusplus (?), 12-Июл-24, 13:25 +2 +/–

> "а вы точно разработчик? Скажите что-нибудь на разработческом!"
дайте рута на прод

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

54. Сообщение от Аноним (52), 12-Июл-24, 13:26 +3 +/–

Виновник - саботажник, который должен быть с позором уволен.
>Токен предоставлял доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa
1. Почему вообще такой токен был сгенерирован? Зачем этому токену доступ к пушу кода?
> в процессе разработки инструментария cabotage-app5 на своей локальной системе столкнулся с ограничениями интенсивности доступа к API GitHub при выполнении функции автоматизированной загрузки файлов из GitHub, и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код.
2. Виновник якобы тестировал свой недокод на особо важно проде особо важной организации с особо важными репозиториями.
3. Питоньи библиотеки для работы с GitHub API подхватывают токен автоматически из переменных окружения. Это сделано потому. что GitHub Actions ставит временный per-pipeline токен в переменную окружения, и он нужен почти всегда. Об этом знает каждый, кто работал с GitHub API и GitHub Actions из питона. Для того, чтобы предоставить токен, не нужно его хардкодить!
Для предотвращения ситуации нужно изменить модель токенов.
1. Одно разрешение - один токен.
2. В начале каждого токена должно быть в человекочитаемом виде захардкожено, какое разрешение он предоставляет. Предложение: 4 ASCII-символа на тип, потом вертикальная черта, потом сам токен.
3. либы получают не один токен, а ворох токенов.
4. Либы должны парсить начало токена и для каждый операции использовать нужный токен из набора
5. при генерации токена с вогрошом разрешений ... гитхаб должен отдавать конкатенацию индивидуальнох токенов, разделённых разделителями. Должно быть разрешено отправлять эту конкатенацию в качестве токена, бэкенд разделит и разберётся, какой из токенов подходит. Предложение - для конкатенации использовать двоеточие в качестве разделителя. При этом отправка таких токенов на бэкенд deprecated с самого начала, с жёсткой датой, когда это перестанет быть допустимо.
6. либы тоже должны уметь разделять контакенацию на ворох токенов, только для них это не deprecated, а штатный режим работы.
7. либы должны предоставлять API для сбора и разбора колбасы их токенов.
8. должен предоставляться CLI-инструмент для сбора и разбора колбасы их токенов.
9. Старые токены становятся deprecated, и очень вскоре после создания нового механизма инвалидируются. При этом переход на временные сардельки не требует изменений со стороны софта - только перегенерации токенов.
А теперь как это помешает засунуть весь ворох. Ответ - никак. От высокопоставленного саботажника не защитит ничего в принципе. Зато честному долбоящеру, которому до ужаса лень генерить новый токен, будет меньше стимулов засовывать универсальный высокопривелигированный токен (который теперь будет колбасой) в свой код, легче его разрезать инструментом и засунуть только нужный подтокен.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

55. Сообщение от Аноним (55), 12-Июл-24, 13:47 Скрыто ботом-модератором +2 +/–

Python - всё? Новость сделала мой день.

Ответить | Правка | Наверх | Cообщить модератору

56. Сообщение от Карлос Сношайтилис (ok), 12-Июл-24, 13:52 +2 +/–

Отлаживать удобно локально, а продовая сборка должна выполняться автоматически и не на машине разраба.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

57. Сообщение от Аноним (57), 12-Июл-24, 13:55 +3 +/–

вы понимаете что произошло, питон полностью скомпрометирован, его теперь только в помойку.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63, #81

58. Сообщение от Вы забыли заполнить поле Name (?), 12-Июл-24, 14:29 +/–

Позорище

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

59. Сообщение от Вы забыли заполнить поле Name (?), 12-Июл-24, 14:31 +1 +/–

Переписка из чатика python software foundation

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

60. Сообщение от Вы забыли заполнить поле Name (?), 12-Июл-24, 14:33 +5 +/–

Чему вы не рады? Каждый мог поправить питон как надо. Вы упустили свой шанс, вот и беситесь.

Ответить | Правка | Наверх | Cообщить модератору

61. Сообщение от OpenEcho (?), 12-Июл-24, 14:42 +/–

> "а вы точно разработчик? Скажите что-нибудь на разработческом!"
"- дайте мне токен с полным доступом ко ВСЕМУ!"
Эт только уровня принципалов, все что ниже, проще на "разработческом"
- "Равиндра, игеде здесь у вас кинопка NEXT-NEXT... ?"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

62. Сообщение от OpenEcho (?), 12-Июл-24, 14:49 +/–

> Нужно по ключам, токенам.
Да токены по большому счету только защита от паролей класса "маша", "12345678", т.к. народ неизлечим. Тоже самое что и с app-passwords от мелософта и гугли

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

63. Сообщение от OpenEcho (?), 12-Июл-24, 14:51 +/–

И сколько тогда реальных программистов останется?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #67

64. Сообщение от Аноним (67), 12-Июл-24, 14:58 +1 +/–

> удалён 11 июня 2024 года
И зачем? Как теперь получать "доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa"?

Ответить | Правка | Наверх | Cообщить модератору

65. Сообщение от Соль земли (?), 12-Июл-24, 15:04 +2 +/–

А докер образ создаётся CI/CD при выполнении пуша.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

66. Сообщение от Соль земли (?), 12-Июл-24, 15:07 +/–

А пароли по недосмотру оказываются в ps aux.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #87

67. Сообщение от Аноним (67), 12-Июл-24, 15:16 +3 +/–

А какая связь? Столько же и останется, сколько было, реальных-то.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #72, #76

68. Сообщение от penetrator (?), 12-Июл-24, 15:19 +2 +/–

> упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ
docker упрощает деплоймент, ога ))
очердной костыль и точка отказа

Ответить | Правка | Наверх | Cообщить модератору

69. Сообщение от crypt (ok), 12-Июл-24, 15:35 +3 +/–

> Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа
а жаль. типичный современный айти. разработчики, которые не знают, как на низком уровне работает их язык, дыркер... вот нашелся бы какой хакер на них.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #128

70. Сообщение от Аноним (52), 12-Июл-24, 15:37 +/–

Они и так проходят по квоте, у них один из ведущих разработчиков не так давно стало Alyssa-ой. Видимо, когда оно выбирало имя, смотрело на другую Alyssa-у. А казалось бы, сторонник "консервативных ценностей", работало раньше на Boeing Defence Australia, о чём гордо упоминает в своём резюме.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #85

71. Сообщение от Аноним (71), 12-Июл-24, 15:47 +/–

>Python, PyPI, Python Software Foundation
Попытался представить себе последствия если бы токен нашли blackhat. Индустрию долбануло бы.
На сей раз пронесло. Зато теперь плохие ребята знают еще одно место где надо искать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73, #77, #82

72. Сообщение от OpenEcho (?), 12-Июл-24, 15:50 +/–

> А какая связь? Столько же и останется, сколько было, реальных-то.
:))) 10-0

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

73. Сообщение от Аноним (73), 12-Июл-24, 16:06 +4 +/–

>На сей раз пронесло.
С чего ты решил, что пронесло? Как-то не очень верится в честное слово этих товарищей после такого эпичного обсера своих штанов. Кто же в этом признается, может они сейчас чтобы не наводить панику по тихому делают аудит?! Если все же пронесло - промолчат, а если нет - запасается попкорном.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #129

74. Сообщение от 111 (??), 12-Июл-24, 16:11 +/–

что сломается?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #102

75. Сообщение от нах. (?), 12-Июл-24, 16:17 +/–

> Виновник - саботажник, который должен быть с позором уволен.
не саботажник, а директор. Сам кого хочешь уволит!
> 1. Почему вообще такой токен был сгенерирован? Зачем этому токену доступ к
это вопрос который директору задавать нельзя.
> 3. Питоньи библиотеки для работы с GitHub API подхватывают токен автоматически из
> переменных окружения. Это сделано потому. что GitHub Actions ставит временный per-pipeline
они в дыркер автоматически не передаются. А документацию директору читать некогда.
> Для предотвращения ситуации нужно изменить модель токенов.
тебя не назначат директором, не волнуйся так.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

76. Сообщение от нах. (?), 12-Июл-24, 16:18 +1 +/–

> А какая связь? Столько же и останется, сколько было, реальных-то.
ну, а кодить тогда кто будет?!
Реальные - заняты. Кто пиццей торгует, кто чем. Самые ленивые - в нвидии, драйвер для линукса пилют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

77. Сообщение от Аноним (79), 12-Июл-24, 16:50 +/–

то ли ещё будет ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

78. Сообщение от n00by (ok), 12-Июл-24, 16:51 +1 +/–

Так в каком именно месте в этой схеме технологическое отверстие? Это зиродей или во всю уже эксплуатируют ситуацию, когда в исходнике написано одно, а кеш не когерентен и исполняется чёрти че?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #86

79. Сообщение от Аноним (79), 12-Июл-24, 16:54 +/–

ван Россум ушёл в Microsoft, вот результат

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #84

80. Сообщение от n00by (ok), 12-Июл-24, 16:58 +/–

Токен это нормально же. Во-первых, ныне 2к24. Во-вторых, это не os.system("sudo curl"), или как там оно делается на пихоне, "прокешировался". Печалит, что ни в 29a, ни в BHC уже не написать по этому поводу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

81. Сообщение от Аноним (79), 12-Июл-24, 17:04 +/–

>его теперь только в помойку
соображающие люди это давно поняли, поэтому 70% корпорат. приложений - на Java

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #108

82. Сообщение от n00by (ok), 12-Июл-24, 17:12 +1 +/–

> На сей раз пронесло.
Тебя бы так пронесло, подумал Борман (ц)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

84. Сообщение от нах. (?), 12-Июл-24, 18:46 +/–

ну блин, у чувака - пенсия, дача, рыбалка...
С токенами и дыркерами вон этот пусть пердолится... blm с фрипластелином. Понятно что Опоссум от них сбежал нафиг.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #96

85. Сообщение от нах. (?), 12-Июл-24, 18:47 +1 +/–

> Они и так проходят по квоте, у них один из ведущих разработчиков
> не так давно стало Alyssa-ой. Видимо, когда оно выбирало имя, смотрело
> на другую Alyssa-у. А казалось бы, сторонник "консервативных ценностей", работало раньше
> на Boeing Defence Australia, о чём гордо упоминает в своём резюме.
а потом - е6анулось... а мы удивляемся, чего у них один токен от всех замков.
Жги, Г-ди!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

86. Сообщение от нах. (?), 12-Июл-24, 18:50 +/–

> Так в каком именно месте в этой схеме технологическое отверстие? Это зиродей
> или во всю уже эксплуатируют ситуацию, когда в исходнике написано одно,
> а кеш не когерентен и исполняется чёрти че?
ему не надо исполняться. Надо просто кому-то неленивому посмотреть что там понакэшировалось. Такой нашелся. К сожалению, не сделал forced push пустого места с приветом blm и фрипластелинам с последующим gс, придется ждать следующего.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #89

87. Сообщение от нах. (?), 12-Июл-24, 18:52 +1 +/–

> А пароли по недосмотру оказываются в ps aux.
там и токен окажется, не вижу никакой разницы.Тут вон уже насоветовали совать его в environment
(лучше сразу в докерфайл - надежно, на века)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #121

89. Сообщение от n00by (ok), 12-Июл-24, 20:08 +/–

>> Так в каком именно месте в этой схеме технологическое отверстие? Это зиродей
>> или во всю уже эксплуатируют ситуацию, когда в исходнике написано одно,
>> а кеш не когерентен и исполняется чёрти че?
> ему не надо исполняться.
Если ему не надо исполняться, зачем он тогда вообще нужен?) Об этом кто-то вообще подумал?))
> Надо просто кому-то неленивому посмотреть что там понакэшировалось.
> Такой нашелся.
Наверное, дело было примерно так:
- Коллега, давайте таки поищем где-нибудь новый xz-троян!
- Не думаю, коллега, что кто-то будет ходить по проторенным дорожкам!
- Что же нам тогда делать?
- А давайте поищем в самом неожиданном месте!
- Гениальная идея! Предлагаю посмотреть .pyc файл!
- Во, точно! нашёл!
Ну не может же быть, что у них это дело поставлено на поток, и опубликовали эпичный но бесполезный для них фейл. Это конспирология! ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #117

92. Сообщение от анон (?), 12-Июл-24, 21:08 +/–

Скорее про .dockerignore

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

93. Сообщение от Аноним (-), 12-Июл-24, 22:40 Скрыто ботом-модератором +/–

> Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc"
> с прокэшированным скомпилированным байткодом.
Да куда питонистам байткод изучать? У них там полет мысли, высокие концепции, не до этого им. Вот прототипов бы скорей-быстрей!
> занимает в организации Python Software
> Foundation пост директора по инфраструктуре.
Какой ЯП такая и инфраструктура с директорами.
> Токен предоставлял доступ с правами администратора ко всем репозиториям
> и организациям проекта
Все правильно сделал. А потом питонисты удивляются что их считают, как бы это сказать, не гроссмейстерами, чтоли.

Ответить | Правка | Наверх | Cообщить модератору

95. Сообщение от Аноним (-), 12-Июл-24, 22:43 +/–

> Специалисты которых мы заслужили! Так победим! xD
Извините, им лениво заморачиваться с приземленными вещами типа обработки ошибок или подчистки за собой в байткоде - или хотя-бы настройки .gitignore, чтоли, как это нормальные разработчики делают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

96. Сообщение от Аноним (-), 12-Июл-24, 22:45 +/–

> С токенами и дыркерами вон этот пусть пердолится... blm с фрипластелином. Понятно
> что Опоссум от них сбежал нафиг.
Э нет! Напоссал и сбежал? Так не пойдет, так что - вот - брыкающегося и хрипящего его приволокли назад, объяснив что для него ад - уже начался: это гуано он будет разгребать вплоть до смерти или безумия, whichever comes 1st.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

100. Сообщение от Аноним (-), 12-Июл-24, 23:09 +5 +/–

> И про то что в гите можно смотреть что ты коммитаешь, а не коммитать весь треш
В этой новости прекрасно все. Начиная от комита в гит левого мусора, которого там быть вообще не должно, через доступ к инфраструктуре от души, а вишенкой на торте - КТО это все организовал. Это оглущительный успех питон-фаундации, кадровой политики и пиара, супер-комбо все в 1.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #114, #134

101. Сообщение от hr (??), 12-Июл-24, 23:20 +/–

на собесе расскажут

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

102. Сообщение от Ахз (?), 13-Июл-24, 00:51 +/–

всё, что не ясно ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #120

103. Сообщение от Аноним (103), 13-Июл-24, 02:54 +/–

Да во всех дистрах сто лет уже собирают пакеты (и, соответственно, ПО) в clean chroot. Причем, там chroot на стероидах. А тут опять какой-то стартап на армейской коленке освоил технологии "дидов" и выдаёт это за инновацию. Linux namespaces (bubblewrap, systemd-nspawn или что-нибудь ещё), хотя бы, к своей псевдоизоляции на симлинках прикрутитите, как у других, а потом выпендривайтесь, никсоё^Hводы. А то любая программа может прочитать и вызвать по абсолютному пути /nix/store/blablabla всё, что пожелает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #107

104. Сообщение от Илья (??), 13-Июл-24, 03:10 +/–

Ты правда думаешь что питон-девелопер способен это понять?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

105. Сообщение от Mim (ok), 13-Июл-24, 03:25 –2 +/–

Я просто оставлю это здесь.
https://mastodon.social/@EWDurbin/110531653383028239
> python, infra, cloud, etc. got a smol project you'd like to get whipped? contractin@durbin.ee

Ответить | Правка | Наверх | Cообщить модератору

106. Сообщение от Аноним (108), 13-Июл-24, 04:37 +1 +/–

>  Автор кода пояснил, что в процессе разработки инструментария cabotage-app5
Вот, сам признался что занимался саботажем, все бы так

Ответить | Правка | Наверх | Cообщить модератору

107. Сообщение от morphe (?), 13-Июл-24, 04:38 +2 +/–

Там ровно это и имеется, при сборке пакета он не может обращаться к чему-либо кроме своих зависимостей
Исключение - интернет, но в этом случае должен быть известен хеш полученного пакета, т.е чтобы curl вызвать нужно указать какой хеш будет у скачанного файла.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #118

108. Сообщение от Аноним (108), 13-Июл-24, 04:41 +/–

java разработчики точно такие же питонисты, даже ещё в большем неадеквате. Вот пример
https://en.wikipedia.org/wiki/Log4Shell

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #123

110. Сообщение от Ыеуз0 (?), 13-Июл-24, 07:20 +/–

Я думал, что такая нацеленность на результат ещё не везде со стороны молодых, да ранних (в основном молодых, как мне кажется). Ан нет. Условное "дайте мне рута, разбираться некогда, надо работать в локере на питоне и джанге" процветает уже везде.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #115

111. Сообщение от 9392012938к8282 (?), 13-Июл-24, 09:16 +1 +/–

Docker не поддерживает dockerignore в подпапках. У gitignore больше синтаксиса (но можно ограничиться подмножеством обоих).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

112. Сообщение от Tron is Whistling (?), 13-Июл-24, 09:43 +1 +/–

> А зачем ".pyc" файлы в гит добавлять? 0_0
Перевод с питона на русский.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

113. Сообщение от Аноним (113), 13-Июл-24, 14:25 +/–

И ни слова извинений и посыпания головы пеплом. Ваще пофиг. Главное в конце написать какое мы прекрасное комунити.

Ответить | Правка | Наверх | Cообщить модератору

114. Сообщение от mickvav (?), 13-Июл-24, 16:06 +/–

Так токен же вроде в docker-образе нашли а не в гите, нет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

115. Сообщение от нах. (?), 13-Июл-24, 20:50 +/–

это эджизм. Давайте тебя заканселим!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #124

117. Сообщение от нах. (?), 14-Июл-24, 20:30 +/–

> Если ему не надо исполняться, зачем он тогда вообще нужен?
это кэш, блжд. Оставшийся от предыдущего запуска.
> - А давайте поищем в самом неожиданном месте!
место совершенно ожидаемое, куча "исследователей безопастносте" развлекается grep X-Auth-Token и подобным по шитхабу и дыркерхапу, кто-то просто налажал с угадавом типа файла и случайно залез в бинарники (или не налажал и не случайно, а просто имел время и вдохновение - машина железная, пусть греп потрудится). А оно там возьми и найдись!

> Ну не может же быть, что у них это дело поставлено на поток, и опубликовали эпичный но
> бесполезный для них фейл.
атака на supply chain чуть ли не всей цивилизации пакости - и вдруг - бесполезная?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #132

118. Сообщение от Аноним (118), 14-Июл-24, 22:03 –1 +/–

> Там ровно это и имеется
Там самый обычный, только костыльный, chroot без изоляции.
> какой хеш
find /nix -name \*curl

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #119

119. Сообщение от morphe (?), 14-Июл-24, 23:22 +1 +/–

> Там самый обычный, только костыльный, chroot без изоляции.
Да что ты такое несёшь
Там и userns, и netns, и mountns, и seccomp, и монтируются в песочницу только зависимости, и доступа в песочницы не имеет никто кроме рута и nix демона.
Доступ в интернет доступен только для сборки тех пакетов, для которых прописан конечный хеш, скачиваемый файл = пакет который для сборки дёргает curl, чтобы скачать файл нужно заранее прописать хеш файла который будет скачан.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

120. Сообщение от 111 (??), 15-Июл-24, 09:11 +/–

> всё, что не ясно ?
У меня ничего не ломается. Всё работает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

121. Сообщение от aname (?), 15-Июл-24, 12:30 +/–

> лучше сразу в докерфайл
В каком- то смысле, тебя услышали

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #126

122. Сообщение от aname (?), 15-Июл-24, 12:30 +/–

После заголовка

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

123. Сообщение от aname (?), 15-Июл-24, 12:33 +/–

Там тоже нашли токен от всех реп?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #125

124. Сообщение от aname (?), 15-Июл-24, 12:34 +/–

А вы токен для этого предъявите

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

125. Сообщение от Аноним (108), 15-Июл-24, 17:22 +/–

Чукча не читатель? Там токен от всего прода

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #127

126. Сообщение от нах. (?), 15-Июл-24, 20:47 +/–

>> лучше сразу в докерфайл
> В каком- то смысле, тебя услышали
да, но можно же было сделать - КРОСИВО!
(и дыркерфайл закомитить кстати в гит, одним выстрелом отстрелить два яйца)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #131

127. Сообщение от нах. (?), 15-Июл-24, 20:49 +/–

> Чукча не читатель? Там токен от всего прода
только у дура4ков которые логают нефильтрованный юзеринпут.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

128. Сообщение от нах. (?), 15-Июл-24, 20:50 +/–

>> Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа
> а жаль. типичный современный айти. разработчики, которые не знают, как на низком
дык. они и провели аудит активностей. ничего не аудитится, потому что аудитлог стерт. Все хорошо и просто прекрасно.
> уровне работает их язык, дыркер... вот нашелся бы какой хакер на
> них.
главное чтоб нашедшиеся не передрались

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

129. Сообщение от нах. (?), 15-Июл-24, 20:51 +/–

>>На сей раз пронесло.
> С чего ты решил, что пронесло?
да, я вот тоже хорошо информированный оптимист.
> в этом признается, может они сейчас чтобы не наводить панику по
> тихому делают аудит?! Если все же пронесло - промолчат, а если
Как будто они - умеют?!
Тебя б так пронесло, подумал Мюллер.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

131. Сообщение от aname (?), 15-Июл-24, 21:08 +/–

>>> лучше сразу в докерфайл
>> В каком- то смысле, тебя услышали
> да, но можно же было сделать - КРОСИВО!
> (и дыркерфайл закомитить кстати в гит, одним выстрелом отстрелить два яйца)
Может скоро и такое узреем

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

132. Сообщение от n00by (ok), 16-Июл-24, 05:51 +/–

>> Если ему не надо исполняться, зачем он тогда вообще нужен?
> это кэш, блжд. Оставшийся от предыдущего запуска.
Вопрос не "что", а "зачем". Зачем что-то "оставшееся" копируется куда-то, ещё и автоматически.
>> - А давайте поищем в самом неожиданном месте!
> место совершенно ожидаемое, куча "исследователей безопастносте" развлекается grep X-Auth-Token
> и подобным по шитхабу и дыркерхапу, кто-то просто налажал с угадавом
> типа файла и случайно залез в бинарники (или не налажал и
> не случайно, а просто имел время и вдохновение - машина железная,
> пусть греп потрудится). А оно там возьми и найдись!
Или так и было задумано: массы нажимают левой пяткой кнопочку, кеш копируется. :) А лажали те, кто оптимизировал поиск, исключая неподходящие типы.
>> Ну не может же быть, что у них это дело поставлено на поток, и опубликовали эпичный но
>> бесполезный для них фейл.
> атака на supply chain чуть ли не всей цивилизации пакости - и
> вдруг - бесполезная?
По сравнению с остальными, про которые не написали в новостях.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #133

133. Сообщение от нах. (?), 16-Июл-24, 08:23 +/–

> Вопрос не "что", а "зачем". Зачем что-то "оставшееся" копируется куда-то, ещё и автоматически.
потому что COPY allthishit.tar /
а в нем целиком хомяк или вообще вся виртуалочка разработчика-директора, потому что таков путь.
Причем если после этого в том же докерфайле зачем-то еще запустить скопированное - оно кэш  перегенерит, но в нижнем слое оригинал-то останется на память.
> Или так и было задумано: массы нажимают левой пяткой кнопочку, кеш копируется.
ну дыркер примерно так и работает, но оно в staging копируется, насколько я понимаю - без явного ADD или COPY его содержимое в образ не попадет ни при каких условиях.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

134. Сообщение от Бывалый Смузихлёб (ok), 16-Июл-24, 19:14 +/–

> вишенкой на торте - КТО это все организовал
ви таки имеете что-то против гомо-нигг после прочтения КоК'а !?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от randomize (?), 12-Июл-24, 10:10	+12 +/–
Расскажите ему про .gitignore.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9, #29, #92, #101

3. Сообщение от Аноним (3), 12-Июл-24, 10:12	+19 +/–
> пост директора по инфраструктуре "смотрите, как я умею!"
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #36

5. Сообщение от Аноним (5), 12-Июл-24, 10:27	+/–
Смотрите как могу: > -B : don't write .pyc files on import; also PYTHONDONTWRITEBYTECODE=x
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #26

6. Сообщение от Аноним (6), 12-Июл-24, 10:28	+2 +/–
> не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ В пакетном менеджере Nix этой проблемы нет: перед сборкой все неигнорируемые файлы копируются в /nix/store, так что сборщик видит только реально исходные тексты. Любопытно, но так никто и не догнал Nix ни в этом, ни во всех остальных отношениях. Хотя Nix из далекого 2004.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13, #14, #103

7. Сообщение от Аноним (7), 12-Июл-24, 10:30	+1 +/–
Анализ показывает что всем пофиг на эти токены и дыры типа выхода за границы буфера. Это только маленьких детей пугать.
Ответить \| Правка \| Наверх \| Cообщить модератору

9. Сообщение от Аноним (9), 12-Июл-24, 10:33	+/–
И про то что в гите можно смотреть что ты коммитаешь, а не коммитать весь треш
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #16, #34, #100, #104

11. Сообщение от Соль земли (?), 12-Июл-24, 10:46	+1 +/–
А зачем ".pyc" файлы в гит добавлять? 0_0
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #18, #112

12. Сообщение от Аноним (12), 12-Июл-24, 10:46	+3 +/–
> По сообщению представителей репозитория PyPI токен был создан в 2023 году для разработчика ewdurbin (Ee Durbin), который занимает в организации Python Software Foundation пост директора по инфраструктуре. Жёваный стыд.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #20

13. Сообщение от mimocrocodile (?), 12-Июл-24, 10:47	+/–
> перед сборкой все неигнорируемые файлы копируются в /nix/store, так что сборщик видит только реально исходные тексты ты не поверишь, но в докере тоже сборщик не видит игнорируемые файлы
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #22

14. Сообщение от Соль земли (?), 12-Июл-24, 10:48	+2 +/–
Люди не готовы к будущему.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

16. Сообщение от Аноним (16), 12-Июл-24, 10:55 Скрыто ботом-модератором	+13 +/–
чушь несете! какой gitignore! речь про docker-образ. мамкины программисты!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

17. Сообщение от Tron is Whistling (?), 12-Июл-24, 10:56	+4 +/–
- Docker-образ с токеном Девляпс-ляпс-ляпс.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #19

18. Сообщение от Аноним (16), 12-Июл-24, 10:59 Скрыто ботом-модератором	+9 +/–
ещё один! вы что-ли там совсем читать разучились? в какой гит? > Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен ... по буквам "обнаружили в составе Docker-образа"!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #65

19. Сообщение от нах. (?), 12-Июл-24, 11:12	+/–
и один ключ от всех дверей - даже не под ковриком, а просто в замке всегда торчит. ну зато нигры-норкоманы очень важны для человечества. Про фрипластелин что-то не вижу только. Недоработочка.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #33

20. Сообщение от нах. (?), 12-Июл-24, 11:13	+6 +/–
"а вы точно разработчик? Скажите что-нибудь на разработческом!" "- дайте мне токен с полным доступом ко ВСЕМУ!"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #53, #59, #61

21. Сообщение от Аноним (21), 12-Июл-24, 11:14	+5 +/–
"и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. Перед публикацией написанного кода токен был удалён, но разработчик не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ" Специалисты которых мы заслужили! Так победим! xD
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24, #95

22. Сообщение от Аноним (6), 12-Июл-24, 11:15	+3 +/–
Видит. Другое дело, что у докера свой собственный .dockerignore, который конечно же никто не будет синхронизировать с .gitignore. Отсюда имеем, что имеем ("it's what it's").
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #52

24. Сообщение от нах. (?), 12-Июл-24, 11:19	+4 +/–
не специалисты а цельные директора по инфраструктуре. Т.е. тот самый человек, который должен был первым йопнуть кулаком по столу со словами "какой на... общий ключ от всех дверей?! Вы что тут - совсем ухи поели?! Быстро накодить проверку чтоб такие ключи вообще сразу блокировались при попытке их создать."
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21 Ответы: #38, #79

25. Сообщение от Аноним (25), 12-Июл-24, 11:19	+3 +/–
В большой проект требуется директор по инфраструктуре. Требования к кандидату: - Уверенное знание Python - Опыт работы с контейнерами - Желание развиваться (будет плюсом)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #27, #32

26. Сообщение от нах. (?), 12-Июл-24, 11:22	+2 +/–
дрянная идея. Это контейнер который будет большинством обезьянок использоваться as-is. Вот то что байткод брался из хомяка горе-разработчика вместо компиляции в закрытом окружении докера - это конечно минус. Но ничуть бы не помогло от гения-директора обходящего защиту от роботов патамуштамагу. Он бы и руками не забыл добавить внутрь образа.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

27. Сообщение от нах. (?), 12-Июл-24, 11:25	+/–
А квота для minorities у вас есть?!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #70

28. Сообщение от n00by (ok), 12-Июл-24, 11:31	+/–
> разработчик не учёл, что упоминание токена прокэшировалось > в предкомпилированном файле с байткодом, который затем > попал в docker-образ. Как оно могло прокешироваться? Изменил исходник, значит и содержимое кеша должно измениться при запуске? Или он не проверял (не запускал)? Не проверял, потому что не изменял исходник вручную, а откатил коммит?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #30, #41

29. Сообщение от Волк (?), 12-Июл-24, 11:49	+7 +/–
.dockerignore
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

30. Сообщение от нах. (?), 12-Июл-24, 11:49	+1 +/–
может даже и запускал - в уже собранном докер-контейнере. А в образе спокойно лежал и пах старый бинарник. Что образ при сборке не компилился - ну на фоне существования "токена-от-ВСЕГО" - право же ж, такая мелочь. Некогда, некогда ждать пока он скомпилируется, девляп-ляп-ляп-ляп и в продакшн!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28 Ответы: #80

31. Сообщение от Аноним (32), 12-Июл-24, 12:03	+2 +/–
Пароли ненадёжно, говорили они. Нужно по ключам, токенам. Главная проблема паролей - записывание их на бумажки и создание намеренно мастер-паролей. А вот это вот, по недосмотру оказывается в коде, в данных.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #48, #62, #66

32. Сообщение от Аноним (32), 12-Июл-24, 12:07	+1 +/–
Требования к гендеру?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

33. Сообщение от Аноним (3), 12-Июл-24, 12:10	+4 +/–
Всё на месте https://durbin.ee/
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #43

34. Сообщение от Xasd7 (?), 12-Июл-24, 12:16	+9 +/–
тока в Git токен не попал :-) а вот в бинарник попал — что нам напоминает правило: не нужно ВООБЩЕ в открытый доступ выкладывать то что скомпилировано на твоём лаптопе — выкладывай в паблик только то что скомпилировала общий сборочный конвеер на сервере
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #51

36. Сообщение от Аноним (36), 12-Июл-24, 12:16	+2 +/–
Это... какой-то позор?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #58

38. Сообщение от Аноним (38), 12-Июл-24, 12:21	+2 +/–
> не специалисты а цельные директора по инфраструктуре. > Т.е. тот самый человек где Вы видали вменямых топтунов?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24