makrushin Feb 2 at 14:41

На GitHub больше 1 000 уязвимых репозиториев: в чём суть угрозы и что с этим делать

8 min

7.8K

МТС corporate blogInformation Security*GitHub*Cloud services*

✏️ Technotext 2023

+20

Comments 8

kovserg Feb 2 at 14:53

1300 / 6349287 = 0.999795 то есть 99.98% владельцев репозиториев могут спать спокойно?

AlexBaggins Feb 2 at 16:30

Могут, если в их коде нет ссылок на уязвимые. И великан Галиаф был повержен небольшим Давидом)

Kahelman Feb 3 at 14:38

Большая часть из уязвимых репозитариев это «hello world” проекты?

Это действительно но страшная угроза….

Давно уже писали что ставить код из он Лайн репозитарев так себе идея. Для вас форе придумали, формацией и ставьте из «своих» репозитариев. А то в один прекрасный момент автор новую фичу выкатит которая с вами не совместима и привет.

muxa_ru Feb 10 at 22:17

99.98%

Какое-то количество уже могло быть УЖЕ зарегистрировано повторно и данная методика их не покажет.

AlexBaggins Mar 6 at 12:13

Да, эта методика только на битые ссылки. Но если мониторить постоянно, новые всегда попадутся

N-Cube Feb 11 at 09:55

Так себе решение: если валидный репозиторий исчез и на следующий день заменен на фейковый, то шансов это обнаружить практически нет. А выход простой и очевидный - не тащить все подряд в свой проект и использовать зависимости только из «белого списка», то есть такие, которые существуют давно и известны. Скажем, если репозиторий библиотеки numpy внезапно исчезнет (по любой причине) - мы в тот же день прочитаем это в новостях на всех технических ресурсах. Если проект не «одноразовый», то поддержка низкокачественных зависимостей и так обойдется дороже, чем поискать качественные библиотеки или написать нужный функционал самому.

AlexBaggins Mar 6 at 12:14

за один день новый репозиторий на месте удалённого не возникнет

seniorjoker Feb 13 at 13:49

Эксплойтить, конечно же!