Как стать автором
Обновить

Исследователь взломал системы 35 крупных IT-компаний путем атаки на цепочку зависимостей

Информационная безопасность *Open source *IT-инфраструктура *Софт IT-компании

Исследователю Алексу Бирсану удалось взломать внутренние системы более 35 крупных компаний, включая Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber, в ходе атаки на цепочку поставок программного обеспечения. Атака заключалась в загрузке вредоносного ПО в репозитории с открытым исходным кодом, включая PyPI, npm и RubyGems, которое попадало во внутренние приложения компании. При этом от целевой системы не требовалось никаких действий.

Читать далее
Всего голосов 18: ↑18 и ↓0 +18
Просмотры 8.4K
Комментарии 14

Исследователи утверждают, что 46 % пакетов PyPI содержат хотя бы одну уязвимость

Информационная безопасность *Python *Программирование *

Учёные из Университета Турку в Финляндии провели проверку пакетов PyPl на предмет наличия потенциально вредоносных конструкций. В ходе исследования они обнаружили, что почти в половине из проанализированных пакетов присутствует как минимум одна уязвимость. Чаще всего уязвимости связаны с обработкой исключений и использованием возможностей, допускающей подстановку кода.

Читать далее
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 2.9K
Комментарии 3

Исследователи обнаружили зловредные пакеты NPM, которые воруют токены Discord

Информационная безопасность *Node.JS *GitHub *DevOps *Социальные сети и сообщества

Фирма JFrog, занимающаяся безопасностью DevOps, обнаружила 17 новых вредоносных пакетов в репозитории npm (диспетчер пакетов Node.js), которые намеренно стремятся атаковать и украсть токены Discord пользователя.

Читать далее
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 3.1K
Комментарии 0

Яндекс.Маркет сэкономит 157 тонн упаковочной бумаги за год

Управление e-commerce *Экология

Компания «Яндекс» сообщила, что часть заказов из ее маркетплейса Яндекс.Маркет станут доставлять не в картонных коробках, а в непрозрачных курьерских пакетах, которые подлежат переработке. Таким образом компания намерена сэкономить за год 157 тонн упаковочной бумаги.

Читать далее
Всего голосов 8: ↑5 и ↓3 +2
Просмотры 2.4K
Комментарии 20

Некоторые пакеты в реестре PyPI оказались скомпрометированы из-за фишинга

Информационная безопасность *Open source *Python *

Некоторые пакеты PyPI оказались скомпрометированы из-за того, что разработчики попались на фишинговые письма. Фишинговая кампания была нацелена на тех, кто занимается поддержкой пакетов Python, опубликованных в реестре PyPI.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 1.6K
Комментарии 0

В NPM ввели обязательную двухфакторную аутентификацию для сопровождающих значимых пакетов

Информационная безопасность *Open source *GitHub *

GitHub внедрил обязательное применение в репозитории NPM двухфакторной аутентификации к учётным записям разработчиков, сопровождающих пакеты с более чем 1 млн загрузок в неделю или используемых в качестве зависимости у более чем 500 пакетов. 

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 1.3K
Комментарии 0

Пересборка пакетов для Ubuntu (Debian)

Настройка Linux *

Думаю, практически все понимают преимущества пакетных менеджеров над установкой при помощи ./configure && make && make install.

На примере недавно появившегося патча для Pidgin я хочу показать, как легко пересобирать пакеты в deb-based дистрибутивах.

Читать дальше →
Всего голосов 50: ↑45 и ↓5 +40
Просмотры 19K
Комментарии 28

Собираем deb-пакет. Часть 1

Настройка Linux *
В репозитариях Ubuntu собрано огромное количество программ и библиотек. На сайтах самих программ достаточно часто встречаются deb-пакеты, которые можно скачать и установить. Однако все же бывает ситуация, когда нужного ПО нет в репозитариях или на сайте нельзя скачать пакет для Ubuntu, или, наконец, в репозитарии есть старая версия, но она вас не устраивает тем, что в ней присутствует досадный баг или нет нужной функциональности.

Читать дальше →
Всего голосов 56: ↑50 и ↓6 +44
Просмотры 42K
Комментарии 45

Очистка Ubuntu от лишних приложений

Чулан
Как известно, наполнение CD-образа Убунты формируется по принципу «одна задача — одно приложение», и ничего сверх этого. Однако и приложения, которые находятся на CD, тоже нравятся не всем, и иногда возникает непреодолимое желание их удалить. Сразу возникает вопрос: а не потянет ли случайно эта программа за собой большую часть системы?
Это можно легко узнать. В описании к метапакету ubuntu-desktop (который сам по себе ничего не содержит, а просто имеет большое число зависимостей, которые и устанавливаются при установке системы), имеется строчка «Recommends», которая содержит пакеты, которые хоть и устанавливаются при установке системы, но которые можно безболезненно удалить, и они не потянут за собой жизненно необходимые пакеты.
Увидеть эту строчку можно так:
apt-cache show ubuntu-desktop | grep Recommends
Но в таком случае перед нами предстанет обширный довольно неудобный список пакетов, и в нем очень легко запутаться.
Сделаем проще. Наберем команду:
apt-cache show ubuntu-desktop | grep Recommends | grep ИМЯ_ПАКЕТА >/dev/null; echo $?
где ИМЯ_ПАКЕТА — это собственно имя пакета, которого мы хотим удалить.
Если в выводе команды будет 0, то программу можно удалить; если 1, то либо все-таки не стоит (так как оно, скорее всего, указано в зависимостях ubuntu-desktop), либо вы его вообще сами ставили.
Подобным образом я уже удалил gnome-games, rhythmbox, evolution и transmission. Полет нормальный.

Внимание! Перед удалением пакета внимательно посмотрите зависимости, которые могут удалиться вместе с ним. Если там указано какое-то другое важное приложение, то все-таки лучше пакет не трогать.
Всего голосов 14: ↑12 и ↓2 +10
Просмотры 1.7K
Комментарии 11

Познаём Java. Вторая чашка: собираем классы в кучки. Пробуем апплеты

Программирование *

Чем обусловлена структура Java?


Как вы уже слышали, Java проектировалась с рассчётом на совместимость со всем, чем только можно. Такое ограничение вынудило разработчиков Java сделать её такой, чтобы максимально упростить развёртывание приложений, при этом обеспечив логическую стройность языка.

Как происходит загрузка классов?


Читать дальше →
Всего голосов 59: ↑48 и ↓11 +37
Просмотры 78K
Комментарии 70

Вышла новая версия популярного пакета редактирования трехмерной графики Luxology Modo 401

Чулан
imageВчера увидела свет новая, уже четвёртая по счёту версия инновационного и популярного пакета создания и редактирования трехмерной графики Luxology Modo. Разработчики потратили почти полтора года на разработку новой версии программы и за это время она успела обрасти новыми и весьма полезными функциями, среди которых:
  • Волосы и мех.
  • Объемный свет.
  • Репликаторы.
  • Улучшенные превью и рендеринг.
  • Улучшенная анимация.
  • Улучшенный моделлинг.
  • Улучшенные рисование и скульптинг.



Побробнее с программой и всеми нововведениями можно ознакомиться в подробном описании на сайте разработчика www.luxology.com/modo/tour
К сожалению пробная версия программы пока не доступна, но по заверению разработчиков она будет доступна сразу как снизится нагрузка на серверы компании от скачивания дистрибутивов пользователями уже оплатившими продукт.

Я пользуюсь этим пакетом уже более 2х лет и готов ответить на любые вопросы и помочь в освоении. Если вы поработаете в нем хотя бы неделю, вам не захочется открывать макс или любой другой пакет моделирования.
Всего голосов 17: ↑15 и ↓2 +13
Просмотры 877
Комментарии 22

Debian-пакеты с человеческим лицом на примере Zabbix 1.8

Настройка Linux *
Написать эту статью меня заставили две вещи: во-первых, есть ощущение, что после статей типа "делаем debian-пакет на коленке", большинство хабравчан утвердятся во мнении, что debian-пакеты придумали извращенцы для извращенцев. Во-вторых, вышел zabbix 1.8 — замечательная система мониторинга, в которой, судя по новостям, наконец-то занялись проблемами юзабилити админского интерфейса.

Связывает два этих события то, что zabbix 1.8 пока нет в репозиториях убунты, а компилировать и ставить из исходников что-то на продакшн-серверах, это, конечно, недостойное джентльмена занятие. В общем, есть повод показать, как делаются debian-пакеты.

Итак, хе-хе, приступим :)

apt-get install dh-make devscripts cdbs libmysqlclient-dev libcurl4-gnutls-dev
wget sunet.dl.sourceforge.net/project/zabbix/ZABBIX%20Latest%20Stable/1.8/zabbix-1.8.tar.gz
tar zxvf zabbix-1.8.tar.gz
cd zabbix-1.8
dh_make --createorig


На вопрос dh_make, какого типа пакет мы хотим создать, нужно ответить «b» (cdbs). В результате будет создан шаблонный пакет, с кучей файлов в директории debian на все случаи жизни (большую часть мы потом удалим).

Создание пакетов — это все-таки немножко шаманство и магия. Дело в том, что более простые, чем zabbix, программы, уже на этом этапе можно заканчивать пакетировать. Т.е. если для установки программы нужно сделать только ./configure && make install, то все готово, можно собирать и ставить. Zabbix — несколько более сложный вариант, поэтому впереди еще несколько шагов:

Читать дальше →
Всего голосов 10: ↑8 и ↓2 +6
Просмотры 11K
Комментарии 15

Собираем установочные пакеты из Qt проектов по-взрослому

Qt *
Методом проб и ошибок я изобрел очередной велосипед, о котором и собираюсь рассказать Вам ниже.Речь пойдет о сборке пакетов из проектов Qt для Debian и Rpm based систем, Windows из под Ubuntu/Debian. В принципе метод весьма прост, поэтому, думаю, что при небольших изменениях он подойдет и для rpb based дистрибтивов, а для Windows систем потребуется установка cygwin.Кроме того эта тема очень мало обсуждается в интернете, хотя я бы не назвал сборку кроссплатформенных приложений в инсталяционные пакеты простой задачей.Кому будет интересен данный материал:
  • в первую очередь начинающим разработчикам Qt, которые хотят распространять свои приложения в удобном для пользователей виде;
  • разработчикам, использующих другие языки программирования (при небольших изменениях можно получить.
У меня есть уверенность в том, что все действия, описанные ниже, можно было бы сделать скриптом make, но и текущий вариант тоже неплох и имеет право на существование.Также, если Вы используете любой другой способ для автоматической сборки проектов, опишите его пожалуйста. Хотелось бы собрать в итоге как можно больше информации по этой теме.
Читать дальше →
Всего голосов 31: ↑30 и ↓1 +29
Просмотры 20K
Комментарии 18

Пакеты, системы, модули, библиотеки — КАКОГО?

Lisp *
Перевод


По моим наблюдениям, минимум раз в неделю в списке c.l.l или другом Lisp-списке «новички» путаются в том, что связано с пакетами. Говорят о «загрузке» пакета, «требовании» (requiring) пакета, удивляются тому, что после загрузки системы нужно пользоваться маркерами пакетов и т.д. Меня это раздражает, думаю также, что это может быть одной из причин, почему начинающие считают, что использование библиотек в Lisp сложнее, чем есть на самом деле.

Обычно я прекращаю попытки написать полезное объяснение, и, естественно, это объяснение очень простое. Я создал эту страницу, чтобы в следующий раз просто отправить сюда, вместо того, чтобы снова и снова объяснять одно и то же.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 6.1K
Комментарии 15

Кроссплатформенное приложение на Qt: Распространение

Блог компании iStodo Разработка веб-сайтов *Qt *
Туториал
Сборка дистрибутива — завершающий этап подготовки программы к выходу в свет. К сожалению, ни о какой стандартизации в этой области речи не идет, более того, на некоторых ОС (не будем показывать пальцем), так вообще целый зоопарк форматов.

Итак, в идеале нам нужны дистрибутивы:
  • Windows
  • OS X (.dmg)
  • OS X (.pkg — App Store)
  • Linux (.deb)
  • Linux (.rpm)
  • Linux (.tar.gz — universal)
Читать дальше →
Всего голосов 36: ↑34 и ↓2 +32
Просмотры 32K
Комментарии 39

Что нового в Vim 8

VIM *
В репозитории Vim на Github появился первый черновик документации для версии Vim 8.0. В нём указано, что исправлено большое количество багов и добавлено несколько новых фич.

Асинхронный ввод/вывод, каналы


Vim теперь умеет обмениваться сообщениями с другим процессом в фоне (например, с сервером Python). Сообщения принимаются и обрабатываются, когда Vim ожидает ввода символа.

С каналами связана широкая поддержка JSON, его легко использовать для коммуникации между процессами, что позволяет написать сервер на любом языке. Используются функции |json_encode()| и |json_decode()|.
Читать дальше →
Всего голосов 21: ↑17 и ↓4 +13
Просмотры 22K
Комментарии 26

Создание пакета Debian с нуля

Блог компании ua-hosting.company
Перевод
Создание пакета Debian с нуля является своего рода волшебным процессом. Вы могли бы начать гуглить с запросом “Создание пакета Debian с нуля” и получить множество результатов, ни один из которых не стал бы тем, который Вам необходим. Несомненно, Вы найдете большой обзор команд, которые используются в Debian и, если Вы роете достаточно глубоко, Вы сможете все же найти пару команд, которые помогут создать базовый пакет Debian, но не смогут объяснить, что происходит. Более подробную информацию о том, что все же «происходит» Вы можете получить, в данном посте мы попробуем это частично затронуть.

Читать дальше →
Всего голосов 51: ↑34 и ↓17 +17
Просмотры 35K
Комментарии 27

«Proof of Transit»: в IETF предложили новый подход для подтверждения пути сетевых пакетов

Блог компании VAS Experts Системное администрирование *IT-стандарты *Разработка систем связи *Стандарты связи *
В IETF (Internet Engineering Task Force) предлагают реализовать Proof of Transit (PoT) — «путевой журнал» для сетевых пакетов. Подробнее об инициативе и принципах работы PoT — под катом.

Читать дальше →
Всего голосов 23: ↑22 и ↓1 +21
Просмотры 7K
Комментарии 8

В Новой Зеландии запрещают пластиковые пакеты

Блог компании Madrobots Научно-популярное Экология


Не секрет, что количество пластиковых отходов год от года увеличивается. В океанах образуются целые острова из мусора, большую часть которого составляет именно пластик. По расчетам ученых за 65 лет человечество произвело более 8,3 млрд тонн пластиков разных видов. Около 60% общего объема пластика превратилось в отходы, которые загрязняют почву и воду.

Согласно прогнозам специалистов, к 2050 году масса произведенных пластиковых товаров общего употребления составил более 12 млрд тонн. И большая часть этих изделий станет мусором, отходами. Понимая проблему, правительства разных стран запрещают некоторые виды изделий — например, пакеты.
Читать дальше →
Всего голосов 74: ↑73 и ↓1 +72
Просмотры 37K
Комментарии 492

Сборка transport-пакета без установки MODX

CMS *MODX *
Из песочницы


Писать свои пакеты для MODX не просто для новичка, да и опытному разработчику иногда не сладко приходится. Но новичок пугается, а опытный разбирается :).

Эта заметка рассказывает о том, как можно написать и собрать пакет компонента для MODX без установки и настройки самого MODX. Уровень выше среднего, так что возможно придется поломать голову в отдельных случаях, но оно того стоит.

За подробностями прошу под кат.
Читать дальше →
Всего голосов 22: ↑18 и ↓4 +14
Просмотры 1.7K
Комментарии 3
1