Комментарии 9
О личности Цзя Тана практически ничего не известно.
вот и прекрасный маркер для предотвращения атак в будущем. Если о человеке ровно ничего нет в современном мире - это скорее всего сознательно скрывающийся и ему нечего делать в мейнтейнерах.
А попытка хакера создать себе многолетнюю репутацию на нескольких ресурсах - это кратное увеличение затрат и времени, а заодно и увеличение шанса его раскрытия.
Вообще, хорошая демонстрация всему миру, что раз система сборки сама является совокупностью тьюринг-полных языков - то и она может быть источником вирусов. А "совокупность" только ухудшает процесс проверки, потому что позволяет разделить вирус на малозначащие сами по себе части, где анализ каждой части отдельно ничего не выявит.
А почему автор текста считает, что целевая атака была предотвращена? Откуда мы знаем, что являлось конечной целью?
Бесплатный сыр бывает только в мышеловке
Баунтисорс-подобные организации в помощь.
Нужна новая функция? Закажи. Для
многие технологические гиганты, зарабатывающие миллиарды на использовании свободного ПО
лишние пара килобаксов для того, чтобы профи за пару вечеров написали что уж там нужно — это копейки.
Нужна безопасность? Закажи аудит. Если человек не
Если о человеке ровно ничего нет в современном мире - это скорее всего сознательно скрывающийся и ему нечего делать в мейнтейнерах.
а более-менее имеет в опенсорсе имя — его аудиту можно верить.
Баунтисорц-подход решает и ту, и другую функцию. Вопрос сугубо организационный. Пока, насколько я знаю, БС всего один, но уже нарицательный для принципа как такового.
лишние пара килобаксов ... — это копейки.
Как правило именно за эти копейки корпорасты удавиться готовы. Как-то так исторически сложилось, что приобрести новый автомобиль/заказать дорогой ремонт в кабинете генерального/нанять Киркорова на корпоратив - это достойная трата денег. Обновить 15-летний сервер, на котором крутится сервис приносящий деньги - "сколько-сколько? Миллион рублей?! больше полмиллиона не дам, как хочешь!"
Кто конкретно эти "копейки" жмет - высшее руководство, или исполнители рангом пониже, или даже сильно пониже - определить затрудняюсь, но вот такой подход - "Фигассе, два килобакса за два дня! Харя не треснет?" - ваще не удивляет.
Значит, баунтисорц не должен слишком светить, один чел добавил фичу или Почтенная Уважаемая Большая Организация :-D
Ей отдать можно хоть 20 килобаксов, она же Почтенная, корона при этом с корпораста не падает :-D
Вообще я не удивлён абсолютно приматным принципам принятия решений у корпорастов — мозг там не участвует, всё решает размер Самцового Пятна Вокруг Хвоста или что там у них статус обозначает, у павианов этих.
Это абсолютно нормально для структур, в которых для восхождения по лестнице важен не столько мозг, решающий всё более и более сложные управленческие задачи (а руководить хотя бы 10 людьми — та ещё пазла), сколько умение орудовать локтями и показывать остальным приматам, что имеешь это пятно ничуть не меньше, чем у них!
Собственно, это в целом и обуславливает принятие огромными корпорациями феноменально идиотских решений — их внутри, в глубине этой шоблы выделил из организма какой-то идиот с очень маленьким мозгом и очень большим пятном вокруг хвоста :-D
И мы ещё удивляемся, что с такими животными не хотят инопланетяне на контакт идти. Да с идиотизма этого вот мышления бледнотиков даже я под столом валяюсь, хотя вроде бы сам биологически того…
А что если...
Уставший соло-мейнтейнер годами ведет проект, который используют все. Абсолютно все, и огромные корпорации с триллионными оборотами, и целые государства.
В какой-то момент уставший разработчик решает захватить мир. Но аккаунт уже привязан к реальной личности. Тут начинается многоходовочка, создается несколько новых аккаунтов, с которых сидит один человек и разыгрывает настоящее представление.
Все это конечно просто полет моей фантазии)
Если код проприетарный - хрен пойми как его исследовать, но зато понятно к кому претензии. А если open source - все наоборот - исследовать легче, но не к кому претензии предъявлять.
Сколько еще таких мелких либ используется, сколько еще таких сюрпризов будет...
Как один разработчик предотвратил крупнейшую кибератаку: история взлома XZ Utils