What's new
Runion

This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!

Стоит ли слепо доверять открытым исходникам? | Should we blindly trust open source?

Все на свете читать не реально, все проверить не реально, быть уверенным что ничего не пропустил при чтении и проверке - тупо.
Значит все что можно помещаешь в оффлайновом контейнере и делаешь запросы в этот контейнер.
Чем раньше научитесь разделять то чему нужен с онлайн с тем чему не нужен, тем лучше, так же стоит заботиться о том что бы вся инфа которая попадает в онлайн контейнер была не чуствительна к у течкам.
Учитесь тунелировать трафик и не допускать пересечения сетей которые не должны пересекаться, например у оффлайн контейнера не должно быть возможности сканировать клиентов, дмз и строгие правила на направленность соеденений, это когда например входящие разрешены а исходящие нет и трафик тунелируется через сеть посередине.
Посыл такой - разделяйте и властвуйте =)
 
Всем следует быть внимательными к изложенному здесь автором.

Объяснено очень подробно.

Приветствую вас.
 
I have heard of high quality and well-known offensive security tools on GitHub being backdoored to expose black hats IP, etc. Think EvilGinx easter egg headers taken to the next step. always a good idea to review tools and understand them on a deeper level
 
Дело в том, что нейроночки госдепа уже во всю пишут кодесы.
А настройки нейроночек госдепа позволяют контроллировать какой код будет написан нейроночками; задавать тактику и стратегию.

Так что многие проекты с гита загибаются на глазах...
 
Whisper сказал(а):
А это возможно просматривать все? Постоянно держать руку на пульсе вирешарка? Если нет, то кодер решает проблему того что не может делать аудит всего, иным способом. Естественно тут две стороны медали, мы должны знать как не вляпаться нам и как поиметь тех кто не заморачивался защитой.
Нажмите, чтобы раскрыть...
Ну для таких целей в больших компаниях и имеются безопасники, которые регулярно просматривают все внешние зависимости и инспектируют обновления.
 
Обычно в больших компаниях используют свой git/svn со всеми зависимостями нужных версий. И как правило эти версии на N лет отстают от latest. И в основном боятся не столько шкафчиков, сколько BSOD-a. Но даже если где-то используются свежие зависимости, разрабы ограничиваются чекером, который встроен в пакетный менеджер, и мониторингом security alerts. В остальном процедура не отличается от обычной dev-test-staging-prod.

Думаю в энтерпрайзе за пойманного таким образом зверька никто отвечать не будет. Поэтому копаться и что-то выискивать можно в первый рабочий день, но затем придет осознание, что дело это весьма неблагодарное, а рабочих задач меньше не становится.
 
Top