Как стать автором
Поиск
Написать публикацию
Обновить

Путаница зависимостей. Как я взломал Apple, Microsoft и десятки других компаний

Время на прочтение10 мин
Количество просмотров15K
Блог компании SkillfactoryИнформационная безопасность*Тестирование IT-систем*DNS*Тестирование веб-сервисов*
Перевод
Всего голосов 27: ↑22 и ↓5+24
Комментарии6

Комментарии 6

Собственно, почему я не люблю все эти менеджеры и cdn: нельзя быть уверенным, что в ответ прилетит то, что ты ожидаешь, а может и вовсе не прилетит.
Да, оно полезно, удобно и хорошо. Но лишь до тех пор, пока что-то не сломается (привет ркн) или кто-то не найдет дырку.

Всего голосов 3: ↑3 и ↓0+3
Пожалуйста, поймите, лучше перевести техническую статью никак, чем гугл переводчиком. За ссылку на оригинал спасибо.
Всего голосов 6: ↑4 и ↓2+2

В данном случае я бы сказал спасибо и за кросс-пост. “Executive summary” прекрасно показан в картинке про JFrog. Огромная дыра в неожиданном месте с абсолютно тривиальной реализацией атаки.

Всего голосов 2: ↑1 и ↓10
Вот очень классная статья на ту же тему: habr.com/ru/company/ruvds/blog/346442
Тоже перевод.

Эта статья не такая интересная, на мой взгляд. :)

Всего голосов 1: ↑1 и ↓0+1

Хм, вообще любопытно. 4 года назад работал в компании, где у нас были npm пакеты как результат нашей работы. Хранились они в артефактори. И когда тебе нужны были какие-то внешние зависимости, ты создавал тикет, который автоматически валидировался системой, проверялась лицензия запрашиваемого модуля (совместимо ли использование с коммерческим ПО) и запрошенный пакет добавлялся во внутренее хранилище артефактов. Уже с ними происходила дальнейшая сборка наших пакетов на CI/CD. А тут выходит, что в нашей компании система была более продумана, чем в этих гигантах, которые просто брали всё сразу из сети? Это очень и очень странно...

Всего голосов 3: ↑3 и ↓0+3
Я работал примерно в десяти компаниях, и примерно везде с зависимостями обращались плюс-минус как вы описываете — т.е. брать внешние конечно можно, но они проходят процесс проверки, т.е. через некий staging репозиторий. Более того, я не очень знаком с JFrog, а вот авторы Nexus из Sonatype, во всяком случае в его коммерческой версии, уделяют этой теме достаточно много внимания, например, Nexus проверяют артефакты на известные уязвимости и т.п. А брать артефакты из сети — и в продакшн, это за гранью разумного. Я такое безобразие много лет не видел.
Всего голосов 2: ↑2 и ↓0+2
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr