Comments 43
а кто мешает взять код и продолжить собственными силами его развивать?
Они и развивают, даже правильного разраба наняли.
ну допустим вы форкнули сегодня версию 1.1
прошло 3 года и нашили в ней CVSS 10 (условно)
вам либо разбиратся в коде самим и править и не факт что выйдет, либо тянуть версию 5.0, которая уже ускакала, та поломана совместимость-интерфейсы и вот это все.
Никто не мешает периодически подтягивать в свой форк изменения из основной ветки (с пристальным code review).
(с пристальным code review)
Вот так и отстают от апстрима на три-четыре мажорных версии...
Вопрос в ресурсах на эту работу. В американском минобороны должны найтись.
в таком случае вы считаете орать и выть "шеф, всё пропало" это лучшее решение?
как по мне - взяли готовое на сегодня решение и вкладываетесь в развитие его, у вас же это вопрос национальной безопасности, не? или новую революцию в Занзибаре спонсировать деньги есть, а на поддержание библиотеки 100К в год нет? Я понимаю когда такие новости из РФ и раздолбайство как визитная карточка, но common это же цитадель демократии и финансовый моровой лидер, типа.
в таком случае вы считаете орать и выть "шеф, всё пропало" это лучшее решение?
в таком случае, как минимум, не надо выпускать пресс-релиз стиля "шэф, у нас русские в инраструктуре миноб".
прорабатывается риск, взвешивается создание отдела, который будет заниматься фигней созданием форков и/или исследованием стороннего кода, заимствованного из опенсорса. и уже потом, если признают необходимым, создадут отдел, проанализируют все пишем прессуху "МО в ударном порыве за 5-летку имени 2-го президенства Трампа сделало прорыв в безопасности, героически импортозаместив whatsapp/telegramm вписать нужное"
Ключевое слово - "типа"
Обнаружен фатальный, евпочя, недостаток...
Но эксперты по кибербезопасности предупреждают, что отсутствие контроля за столь критически важными проектами с открытым исходным кодом делает их уязвимыми для потенциального использования со стороны государственных структур
Опенсорс + SCA + SAST + возможность форка. Какой еще контроль вам нужен? Чтобы погромист был в шаговой доступности прикован к батарее?
Не понимаю этой паники. nodejs, насколько я помню, позволяет привязаться к конкретному коммиту. И не нужно бояться, что под видом v1.1 тебе подсунут v1.1+cve.
Битч современного мира, когда люди не могут понять как с этим работать они будут это стремится запретить. Этим миром правят старики, и это беда этого мира
В обычной ситуации популяции нужны и молодые и старые, чтобы уравновешивать друг друга. Но когда механизмы все сломаны, старики становятся проблемой, да. А проблемой они стали потому, что общество решило верить словам лжецов и наслаждаться ультраправыми идеологиями.
полно стран где у руля молодые и это абсолютно никак не влияет на качество. У стариков осторожность во главе и то куча ошибок в истории со смертями людей, а молодой что? Ой, я не знал, ой я не думал, ну так на то ты и молодой что пороху не нюхал. Должен быть баланс, горячие головы предлагают, а взвешенный старый ум принимает решение. Не застрахованы от ошибок, но все равно это сильно лучше чем отдавать всё на откуп розовощеким младенцам.
PS: битч - это англицизм относительно нехорошего слова, а то что вы хотели сказать - это "бич", это к вопросу о молодости.
полно стран где у руля молодые и это абсолютно никак не влияет на качество.
должен быть баланс (вы о нем пишите далее) а не перекос в одну из сторон
Должно быть единое мировое правительство во главе, разумеется, со мной (если санитары отпустят). Проблема не в возрасте или опыте, а в наличии госграниц и таможен, воздвигающих формальные барьеры между людьми и остальным миром.
а кто эти границы и прочие сейчас возводит?
Очень надеюсь, что никогда не будет единого мирового правительства. Сейчас условный Ходорковский может безопасно жить в Швейцарии, а условный Сноуден - в России.
Должна быть конкуренция систем. Независимые государства её криво и косо, но обеспечивают. А мировое правительство - это монополия на власть в масштабе земного шара. Крах рано или поздно будет феерический.
Это обязательно случится, когда каждый из членов такого утопического общества перестанет отличать себя от других. Но санитары, да, обязательно примут меры по надежной изоляции такой общины.
Проблема на много порядков больше, чем в посте. В современно мире используется огромное количество опенсорсного кода из разных источников. Кто контролирует эти репозитории часто толком неизвестно. Но мы по факту им доверяем. По сути есть условно 1000 человек, которым мы дали удаленный доступ к своим серверам и разрешили ставить написанные ими программы. В подавляющем большинстве это очень порядочные люди, поэтому наша ИТ-инфраструктура еще функционирует.
Тут дело не только в глубокой порядочности. Как правило авторы, сумевшие создать популярные open source решения, это весьма и весьма неглупые люди. И они прекрасно понимают, что анонимности в современном интернете просто не существует. И их репозитории неразрывно связаны с их именем. И вредоносный код, попавший в такой репозиторий, как минимум ударит по репутации автора. А как максимум может привести к уголовной ответственности, если будет нанёс ущерб и будет доказано, что автор получил прибыль от этого ущерба.
И вредоносный код, попавший в такой репозиторий, как минимум ударит по репутации автора
https://github.com/toxic-repos/toxic-repos
https://github.com/cncf/tag-security/tree/main/community/catalog/compromises
https://tag-security.cncf.io/community/catalog/compromises/
"Да, мы гады и портим имидж opensource. И что?" :)))
Была целая пачка историй с авторами пакетов, внедрявшими вредоносный код из политических соображений. Да, многие порядочные. Но достаточно десятка непорядочных украинцев.
никто никогда не просил меня манипулировать fast‑glob, вносить скрытые изменения в проект или собирать и делиться системными данными
Потому что никто не знал, что этим пользуется Минобороны США.
Ну вот, охота на ведьм в open source началась :(
никто никогда не просил меня манипулировать fast‑glob, вносить скрытые изменения в проект или собирать и делиться системными данными
Ну, вот теперь и "попросят". Хорошо, если как Воложа. А то могут и как Сергея Ирина. Hunted Labs подставили чувака... В общем, - беги Денис, беги!
There’s no quick and easy solution to replacing or fixing fast-glob. The best option is for mrmInc to add additional maintainers and oversight to the project, with new maintainers known to the open source community and living in democratic societies. This is the simplest solution that immediately protects the millions of projects that use fast-glob.
Отжим проекта по-демократически. Понятно, что прецедент с fast-glob это заказной вброс в инфополе, который лишь волны. Выбран не самый удачный кейс - фактов же нет - поэтому риторика напоминает советские газеты, чтобы притянуть эмоции читателям на за уши. Забавно еще то, что проект хостится у Microsoft, который владеет и GitHub, и npm. Но видимо этого недостаточно, чтобы его можно было считать подконтрольным демократии.
Намного интереснее меморандум DoD от 18.07.25, на который ссылаются авторы статей. Контрактами с данным департаментом повязан практически весь местный крупный бизнес. Поэтому, в реальности это означает локализацию ПО и официальное введение санкций ограничений на контакты с РФ и Китаем в области некогда свободного ПО. Конкретные рецепты будут озвучиваться в процессе приготовления лягушки, но сама цель уже определена.
Там ещë "democratic societies" можно интерпретировать как Синий Штат. То бишь всем республиканским Штатам запретят коммитилку, ибо у них негров линчуют. Или так, вот юзер демократ обосрал злых АБ, но нейронка нашла его коммент, адресованный АБ, и тупо заблочила юзера, т. к. подошло по наличию ключевому слову в переписке. И вот теперь юзер - нехороший человек, хотя он и ненавидит Маска и Ффлойду поклоняется.
А вообще весело, кроме заморских стран (Китай, Россия), под ограничения идут ещë и половина Штатов. Но до этой идеи им ещë расти. А так картина ясная - параноидальная шизофрения.
Не понял, почему автор на заявление "самым простым решением для Малиночкина было бы привлечь дополнительных сопровождающих и усилить надзор за проектом" не ответил "сделайте форк и [censored] сами. Наглость же несусветная – на халяву пользоваться плодами чужого труда и требовать, чтобы автор ещё чего-то дополнительно тебе обеспечил.
node.js для поиска файлов... дожили.
Был момент в Германии, когда тамошнее провительство продвигало лозунг "не покупайте ничего у евреев!". Современное американское провительство продвигает лозунг "не берите сделанное Русскими". Такие у меня для вас параллели...
Минобороны США использует открытую утилиту fast-glob разработчика из РФ, автор ответил на вопросы безопасности проекта