forum.opennet.ru - "Google опубликовал результат аудита используемых пакетов на языке Rust" (67)

"Google опубликовал результат аудита используемых пакетов на языке Rust"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Google опубликовал результат аудита используемых пакетов на языке Rust"	+/–
Сообщение от opennews (ok), 23-Май-23, 22:57
Компания Google опубликовала результаты аудита 389 crate-пакетов, используемых в проектах ChromiumOS и Fuchsia, в которых допускается разработка на языке Rust. Для использования в своих проектах предоставлен файл для проверки зависимостей при помощи команды cargo vet на предмет соответствия требованиям к безопасности, корректности и тестированию... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59187
Ответить \| Правка \| Cообщить модератору

Оглавление

И в чем суть отчета , Kuromi (ok), 22:57 , 23-Май-23, (1) +21

Почитай, kleemhead (?), 23:00 , 23-Май-23, (2) –14

Скрыто модератором, Аноним (-), 00:59 , 24-Май-23, (8) +6

Раньше, это когда еще Сишные дыры аудировали, приходилось в отчётах всё это как-, f95 (ok), 23:05 , 23-Май-23, (3) –4
Нет никакого отчёта Есть предоставленные гуглом маркировки 389 пакетов, которые, warlock66613 (ok), 23:09 , 23-Май-23, (4) +5

Можно список этих 389 пакетов, а то раста и карго в системе нет , Аноним (10), 03:40 , 24-Май-23, (10) –2

Конечно специально для тех кто больше заголовка осилить не может ловите ссылку h, Аноним (14), 06:08 , 24-Май-23, (14) +3

Выражаю особую благодарность тому, кто любит делать чужую работу , Аноним (10), 07:36 , 24-Май-23, (22)

Помощь интеллектуально неодаренным наша обязанность , Аноним (14), 13:05 , 24-Май-23, (59)

Интеллектуалы ленивые люди, поэтому любят смотреть как другие делают работу за н, Аноним (10), 16:48 , 24-Май-23, (70)

Раст -- это круто Его пакетный менеджер -- тоже Его пакеты -- как повезёт, см, topin89 (ok), 23:21 , 23-Май-23, (5) +10

В Gentoo, лет 15 назад, разрабы дистрибутива выполняли эту работу И моё мнение,, Аноним (16), 06:42 , 24-Май-23, (16) –3

ну и очень зря, припаривает пересобирать каждый rX , dannyD (?), 07:24 , 24-Май-23, (21)

Не в супер-стабильной ветки дело Достаточно вернутся к старой политике безопасн, Аноним (27), 09:02 , 24-Май-23, (27)

Баги фиксить все равно надо даже в Hardened системах Хоть эксплуатация дыр знач, Аноним (81), 08:40 , 25-Май-23, (81)

Это _другие_ пакеты Они не имеют отношения к пакетам дистрибутивов Линукс если, warlock66613 (ok), 08:57 , 25-Май-23, (82)
Мейнтейнеры дистров не справляются Попробуй что-нибудь типа репов пакетов ruby , Аноним (-), 20:37 , 25-Май-23, (87)

Видимо так накодили , что понадобился аудит , Bob (??), 05:59 , 24-Май-23, (12) +1

TLTR Прогнали аудит по используемым пакетам с зависимостями, расставили тэги Д, Карлос Сношайтилис (ok), 23:55 , 23-Май-23, (6) +1
Просто в голос Это документ для sox аудита, скорее бюрократическая мишура чтобы , Аноним (7), 00:57 , 24-Май-23, (7) +4
Интересно, когда этот самый карго долбанёт, что будут делать эти, которые сейчас, Аноним (9), 01:24 , 24-Май-23, (9) +4

Отправят недовольных читать AS IS в лицензии , n00by (ok), 06:29 , 24-Май-23, (15) +3
гошную репу пока не долбанула, а на ней пол инета крутится докер облака , Mail (?), 06:48 , 24-Май-23, (17) –1

Смелое заявление В каждом апдейте что-нибудь по шифрованию подкручивают Да и ги, Брат Анон (ok), 07:12 , 24-Май-23, (19)

Так уже было же Растоманы просто сказали что карго это не часть раста раньше ж, Аноним (54), 12:33 , 24-Май-23, (54)

В таком случае где почитать про использование раста без карго , user (??), 20:06 , 24-Май-23, (72) –1

А толку, если на нем даже пакетный менеджер написать не могут А разговоров то б, Аноним (7), 22:19 , 24-Май-23, (75) –1

Скрыто модератором, фтщтшь (?), 13:03 , 24-Май-23, (58)

Спорим они сначала словили из какого-то пакета вирь, а уже потом провели аудит , Аноним (14), 06:03 , 24-Май-23, (13) +1

Скорее всего нет, аудит обычно ежегодно делаются а то и чаще, смотря какой ауди, Аноним (54), 12:34 , 24-Май-23, (55) +1

Репа появилась в марте этого года Если они делали это внутри что вряд ли, зачем, Аноним (14), 13:09 , 24-Май-23, (60) –1

Почему вряд ли Аудит растом не ограничивается , Аноним (7), 22:21 , 24-Май-23, (76) +1

Гугл осмелился поставить под сомнение безопасность раста , Аноним (18), 06:55 , 24-Май-23, (18) +1

ДА как он смеет , Аноним (64), 14:56 , 24-Май-23, (64) –1
очевидно, безопасность крейтов в общем хранилище-свалке, которые могут быть напи, Аноним (84), 19:23 , 25-Май-23, (84)

Это не отчёт Это Филькина грамота Кроме количества пакетов метрик тут больше н, Брат Анон (ok), 07:13 , 24-Май-23, (20) +1

Потому что это для бюрократов Что-то вроде а вы следите за рисками в зависимост, Аноним (54), 12:37 , 24-Май-23, (56)

А если либа с нужным функционалом не помечена как безопасная, что тогда , YetAnotherOnanym (ok), 07:44 , 24-Май-23, (23) –1

Тогда у тебя два варианта , Котофалк (?), 09:33 , 25-Май-23, (83)
проверяешь ее и ее зависимости сам, всю иерархию Очевидно же, не , Аноним (84), 19:24 , 25-Май-23, (85)

Самое главное не забыли https github com google supply-chain blob main CODE_O, Аноним (24), 08:12 , 24-Май-23, (24) +1

Инфы тут побольше чем в отчете наверное все задумывалось для этого файла, полуандерталец (?), 08:34 , 24-Май-23, (25) –1
Ты чё, э, а кто ж по-твоему свободку защищать будет , КО (?), 09:15 , 24-Май-23, (31) –1

Максим, ну серьезно Ну опубликовала И что Какие выводы там представлены Что с, Аноним (28), 09:02 , 24-Май-23, (28) –1

Новость про то, что опубликованный список можно подключить к своему проекту и не, Аноним (53), 12:28 , 24-Май-23, (53) +1

То есть аудит каким-то образом учитывает и будущие изменения в зависимостях , Аноним (28), 16:17 , 24-Май-23, (69)
ну зачем же врать Там авторы крейтов мамой клянутся, что вредный код в будущем , Аноним (84), 19:33 , 25-Май-23, (86)

о чем новость где выводы , жявамэн (ok), 09:10 , 24-Май-23, (29) –1
Да как нормально поставить этот Rust без мутных install sh, которые неизвестно ч, Пряник (?), 09:14 , 24-Май-23, (30) –1

Твоя слакварь уже устарела, пользуйся пакетными менеджерами , Анониссимус (?), 09:50 , 24-Май-23, (33)
Эм ты не в состоянии прочитать содержимое install sh чтобы понять что он дела, Анонин (?), 10:38 , 24-Май-23, (34) +1

Не в Мак, а в Точку , Аноним (49), 11:25 , 24-Май-23, (49) +1
Интересный наброс, но скажите, вы при каждом запуске читаете скриптовые портянки, Аноним (52), 12:27 , 24-Май-23, (52) –1

Вообще-то да Но предпочитаю докер или уже в виртуалке запускать , Аноним (54), 12:40 , 24-Май-23, (57) +1
А вот расскажите лучше зачем ее читать КАЖДЫЙ раз Ты запускаешь ее всего ОДИН ра, Анонимусс (?), 13:58 , 24-Май-23, (61) +1

Обычно установку чего-то заворачивают в скрипт, чтобы скрыть ужас который там тв, Пряник (?), 16:15 , 24-Май-23, (68)

Прэлестно, просто прелэстно , Аноним (74), 22:01 , 24-Май-23, (74) +1

389 пакетов Это если раньше надо было вывести мсгбокс то люди искали какой там , Аноним (50), 11:52 , 24-Май-23, (50)

ПОПА 8212 Пакетно-Ориентированная Программная Архитектура, Аноним (63), 14:29 , 24-Май-23, (63) +4

Раст это прошлый век, где новость про mojo , Аноним (54), 13:59 , 24-Май-23, (62) –1

Скрыто модератором, Анонин (?), 15:01 , 24-Май-23, (65) +1
С mojo и карбон не уплачено , Аноним (67), 15:12 , 24-Май-23, (67)
Mojo пока что не опенА так в телеге есть канал - там побольше новостей про него, Hck3r (?), 20:22 , 24-Май-23, (73)

А вместе с тем главная гугла на https github com google говорит Top languages, Аноним (24), 19:47 , 24-Май-23, (71) –1

Мозилла тоже много чего говорила, Аноним (7), 22:22 , 24-Май-23, (77)
Странно, а где же карбон и можо, Аноним (78), 22:30 , 24-Май-23, (78) –1

Скрыто модератором, Аноним (-), 07:31 , 25-Май-23, (79)

Сообщения [Сортировка по времени | RSS]

1. "Google опубликовал результат аудита используемых пакетов на ..." +21 +/–

Сообщение от Kuromi (ok), 23-Май-23, 22:57

И в чем суть отчета?

Ответить | Правка | Наверх | Cообщить модератору

2. "Google опубликовал результат аудита используемых пакетов на ..." –14 +/–

Сообщение от kleemhead (?), 23-Май-23, 23:00

Почитай

Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором +6 +/–

Сообщение от Аноним (-), 24-Май-23, 00:59

https://github.com/google/supply-chain/blob/main/audits.toml
Почитал. И?

Ответить | Правка | Наверх | Cообщить модератору

3. "Google опубликовал результат аудита используемых пакетов на ..." –4 +/–

Сообщение от f95 (ok), 23-Май-23, 23:05

Раньше, это когда еще Сишные дыры аудировали, приходилось в отчётах всё это как-то суммаризировать и расписывать. Сейчас конечно никаких проблем возникнуть не может в принципе, а отчеты мы формируем для обратной совместимости

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Google опубликовал результат аудита используемых пакетов на ..." +5 +/–

Сообщение от warlock66613 (ok), 23-Май-23, 23:09

Нет никакого отчёта. Есть предоставленные гуглом маркировки 389 пакетов, которые можно использовать для себя.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. "Google опубликовал результат аудита используемых пакетов на ..." –2 +/–

Сообщение от Аноним (10), 24-Май-23, 03:40

Можно список этих 389 пакетов, а то раста и карго в системе нет.

Ответить | Правка | Наверх | Cообщить модератору

14. "Google опубликовал результат аудита используемых пакетов на ..." +3 +/–

Сообщение от Аноним (14), 24-Май-23, 06:08

Конечно специально для тех кто больше заголовка осилить не может ловите ссылку https://github.com/google/supply-chain/blob/main/audits.toml

Ответить | Правка | Наверх | Cообщить модератору

22. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (10), 24-Май-23, 07:36

Выражаю особую благодарность тому, кто любит делать чужую работу! )

Ответить | Правка | Наверх | Cообщить модератору

59. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (14), 24-Май-23, 13:05

Помощь интеллектуально неодаренным наша обязанность!

Ответить | Правка | Наверх | Cообщить модератору

70. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (10), 24-Май-23, 16:48

Интеллектуалы ленивые люди, поэтому любят смотреть как другие делают работу за них.

Ответить | Правка | Наверх | Cообщить модератору

5. "Google опубликовал результат аудита используемых пакетов на ..." +10 +/–

Сообщение от topin89 (ok), 23-Май-23, 23:21

"Раст -- это круто. Его пакетный менеджер -- тоже. Его пакеты -- как повезёт, смотреть надо. Мы посмотрели 389 из них, так что вам необязательно. Но предлагаем быть как мы: смотреть другие пакеты и делиться результатами. Наш результат пригоден для `cargo vet`. Продолжение следует. Присоединяйтесь."

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Google опубликовал результат аудита используемых пакетов на ..." –3 +/–

Сообщение от Аноним (16), 24-Май-23, 06:42

> Для использования в своих проектах предоставлен файл для проверки зависимостей при помощи команды cargo vet на предмет соответствия требованиям к безопасности, корректности и тестированию.
> Применение "cargo vet" позволяет гарантировать, что в проекте используются только проверенные зависимости, которые удовлетворяют заранее определённым условиям.
В Gentoo, лет 15 назад, разрабы дистрибутива выполняли эту работу. И моё мнение, что это работа именно разрабов дистрибутивов. Чтобы не было дублирования обмен патчами и координация в багтрекере конкретной программы приветствуется.
> результаты аудита 389 crate-пакетов
Советую разделять пакеты более чем на две категории по стабильности и безопасности.
1. Проверена аутентичность и целостность архива исходных текстов. (Верификация подписи OpenPGP по белому списку открытых ключей). Тестирование безошибочной сборки и работы программы в локальных репах (оверлеи Gentoo). Добавление патчей по функциональности.
2. Добавление версии пакета в нестабильную ветвь дистрибутива, для конкретной архитектуры. Публичное тестирование не менее 30 дней. Добавление стабилизирующих патчей.
3. Добавление версии пакета в стабильную ветвь дистрибутива, для конкретной архитектуры. Добавление патчей безопасности.
4. Добавление версии пакета в супер-стабильную ветвь дистрибутива после проведения рецензирования/аудита кода, для конкретной архитектуры. (Хотели в Gentoo её сделать, но 15 лет назад упустили момент с большим обёмом доверительного, рецензированного и проверенного кода. Пакеты сменили разрабов, люди рецензировавшие код и проводившие аудит разбежались. Смысла для сегодняшней супер-стабильной ветки уже нет.)

Ответить | Правка | Наверх | Cообщить модератору

21. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от dannyD (?), 24-Май-23, 07:24

>>Смысла для сегодняшней супер-стабильной ветки уже нет.
ну и очень зря, припаривает пересобирать каждый rX.

Ответить | Правка | Наверх | Cообщить модератору

27. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (27), 24-Май-23, 09:02

>> Смысла для сегодняшней супер-стабильной ветки уже нет.
> ну и очень зря, припаривает пересобирать каждый rX.
Не в супер-стабильной ветки дело. Достаточно вернутся к старой политике безопасности. Причина, частого пересбора -rN в неверной текущей политике безопасности:
Старая, сильная и правильная, политика безопасности: https://wiki.gentoo.org/wiki/Project:Hardened
"make Gentoo viable for highly secure, high stability"
Новая, слабенькая, политика безопасности: https://wiki.gentoo.org/wiki/Project:Security
"to ensure that vulnerabilities in software accessible through the Portage tree are found and fixed"

Ответить | Правка | Наверх | Cообщить модератору

81. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (81), 25-Май-23, 08:40

Баги фиксить все равно надо даже в Hardened системах. Хоть эксплуатация дыр значительно затруднена, но их наличие на стабильность работы при вирусной атаке будет влиять отрицательно. Hardened система дает больше времени для разработки, проверке и стабилизации патчей, плюс закрывает 0-day дыры.

Ответить | Правка | Наверх | Cообщить модератору

82. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от warlock66613 (ok), 25-Май-23, 08:57

> И моё мнение, что это работа именно разрабов дистрибутивов.
Это _другие_ пакеты. Они не имеют отношения к пакетам дистрибутивов Линукс (если не говорить о сильно экзотических дистрибутивах а-ля NixOS).

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

87. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (-), 25-Май-23, 20:37

> В Gentoo, лет 15 назад, разрабы дистрибутива выполняли эту работу. И моё мнение, что это работа именно разрабов дистрибутивов. Чтобы не было дублирования обмен патчами и координация в багтрекере конкретной программы приветствуется.
Мейнтейнеры дистров не справляются. Попробуй что-нибудь типа репов пакетов ruby использовать или для common-lisp'а, да хоть для пайтона. Там у них какие-то древнючие версии пакетов, и далеко не все пакеты. Вот до чего руки дошли, то они и опакетили, а всё остальное часто доступно только если забить на системный пакетный менагер вообще.
И зачем мне мейнтейнеры дистров в багтрекере с их идеями поддерживать какие-то допотопные системы? Им надо, пускай они и заморачиваются, бекпортируют или любой другой мастурбацией занимаются. Юзеры -- другое дело, их интересы стоит учесть, но мейнтейнеры дистров здесь просто ненужная прослойка, которая мешает всем. То есть, если бы они справлялись бы с программерскими репами, откуда я могу тягать реализации алгоритмов и структур данных под свои нужды, и были бы готовы расширять поддержку  в ответ на мои нужды, то с ними можно было бы разговаривать. Но когда они от меня хотят, чтобы я даунгрейдил версии... да шли бы они знаешь куда? Не могут опакетить, их проблемы. Я appimage сформирую, и пускай они дальше не опакечивают. Кому они нужны?
> Советую разделять пакеты более чем на две категории по стабильности и безопасности.
Открой данные отчёта и ты увидишь, что там сильно более двух категорий. Они по нескольким осям классифицируют, и для каждого пакета несколько градаций. Прям идеальная система прямо как тебе хочется. Ты зря нос воротишь.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

12. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Bob (??), 24-Май-23, 05:59

Видимо так "накодили", что понадобился аудит...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Карлос Сношайтилис (ok), 23-Май-23, 23:55

TLTR: Прогнали аудит по используемым пакетам с зависимостями, расставили тэги. Делайте с этим чо хотите, мы своим PM отчитались.

Ответить | Правка | Наверх | Cообщить модератору

7. "Google опубликовал результат аудита используемых пакетов на ..." +4 +/–

Сообщение от Аноним (7), 24-Май-23, 00:57

Просто в голос.
Это документ для sox аудита, скорее бюрократическая мишура чтобы успокоить акционеров (ну и какой-никакой порядок для совсем уж беззаботных компаний), чем реальная польза безопасности. Буквально метки "а вот тут для расшифровки 2ух человек достаточно, если два тимлида сговорятся, то могут узнать наш страшный секрет". Потом отдел ИБ (обычно отдельный бюрократический отдел ИБ, созданный чисто для бюрократии) на встрече с внешними аудиторами (бюрократы, которым платят денежку за видимость компетенции) обсуждают что в теории можно улучшить и в итоге делают отчёт что в компании работали не полные неандертальцы и не используют md5 в паролях. Этим отчетом потом хвалится топ менеджмент.
На самом же деле все эти проверки в основном поверхностны и нередко делаются руками проверяемых. Само собой любой мало-мальский разработчик работающий приличное время в компании знает где при разработке оставили костыли и не заменили/умолчали/решили оставить как есть. По различным причинам далеко не все из них доходят до ИБ, а от них далеко не все доходят до аудиторов.
Но видимо растоманы все же совсем дегенераты и не знают этого, они просто увидели слово аудит, слово безопасность, и сразу слепили новость бесполезную чуть более чем для всех. Ну какой язык, такие и разработчики.

Ответить | Правка | Наверх | Cообщить модератору

9. "Google опубликовал результат аудита используемых пакетов на ..." +4 +/–

Сообщение от Аноним (9), 24-Май-23, 01:24

Интересно, когда этот самый карго долбанёт, что будут делать эти, которые сейчас "безопасный" код клепают? Сейчас же все проверки и вся "безопасность" по сути в одних руках?

Ответить | Правка | Наверх | Cообщить модератору

15. "Google опубликовал результат аудита используемых пакетов на ..." +3 +/–

Сообщение от n00by (ok), 24-Май-23, 06:29

Отправят недовольных читать "AS IS" в лицензии.

Ответить | Правка | Наверх | Cообщить модератору

17. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от Mail (?), 24-Май-23, 06:48

гошную репу пока не долбанула, а на ней пол инета крутится (докер/облака)

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

19. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Брат Анон (ok), 24-Май-23, 07:12

Смелое заявление.
В каждом апдейте что-нибудь по шифрованию подкручивают. Да и гитхаб задолбал меня письмами счастья: в вашей репе используется версия гошечки, которая имеет уязвимость в стандартной либе, номер уязвимости держите.

Ответить | Правка | Наверх | Cообщить модератору

54. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (54), 24-Май-23, 12:33

Так уже было же. Растоманы просто сказали что карго это не часть раста (раньше же говорили наоборот), что раст хороший, а кто там карго делает они не вдупляют. То же и про уязвимые растоманские либы говорят.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

72. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от user (??), 24-Май-23, 20:06

В таком случае где почитать про использование раста без карго?

Ответить | Правка | Наверх | Cообщить модератору

75. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от Аноним (7), 24-Май-23, 22:19

А толку, если на нем даже пакетный менеджер написать не могут. А разговоров то было...

Ответить | Правка | Наверх | Cообщить модератору

58. Скрыто модератором +/–

Сообщение от фтщтшь (?), 24-Май-23, 13:03

просто разворачивай свое локально карго и живи без забот

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Аноним (14), 24-Май-23, 06:03

Спорим они сначала словили из какого-то пакета вирь, а уже потом провели аудит.

Ответить | Правка | Наверх | Cообщить модератору

55. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Аноним (54), 24-Май-23, 12:34

Скорее всего нет, аудит обычно ежегодно делаются (а то и чаще, смотря какой аудит).

Ответить | Правка | Наверх | Cообщить модератору

60. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от Аноним (14), 24-Май-23, 13:09

Репа появилась в марте этого года. Если они делали это внутри что вряд ли, зачем это выкладывать наружу.

Ответить | Правка | Наверх | Cообщить модератору

76. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Аноним (7), 24-Май-23, 22:21

Почему вряд ли?
Аудит растом не ограничивается.

Ответить | Правка | Наверх | Cообщить модератору

18. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Аноним (18), 24-Май-23, 06:55

Гугл осмелился поставить под сомнение  безопасность раста?

Ответить | Правка | Наверх | Cообщить модератору

64. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от Аноним (64), 24-Май-23, 14:56

ДА как он смеет!?

Ответить | Правка | Наверх | Cообщить модератору

84. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (84), 25-Май-23, 19:23

очевидно, безопасность крейтов в общем хранилище-свалке, которые могут быть написаны кем угодно, а я не самого языка, но тебе вбросить на вентилятор надо, иначе "жисть не всласть"...

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

20. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Брат Анон (ok), 24-Май-23, 07:13

Это не отчёт. Это Филькина грамота. Кроме количества пакетов метрик тут больше нет.

Ответить | Правка | Наверх | Cообщить модератору

56. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (54), 24-Май-23, 12:37

Потому что это для бюрократов.
Что-то вроде "а вы следите за рисками в зависимостях?", "да, следим, вот у нас даже отчетик есть".

Ответить | Правка | Наверх | Cообщить модератору

23. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от YetAnotherOnanym (ok), 24-Май-23, 07:44

> Применение "cargo vet" позволяет гарантировать, что в проекте используются только проверенные зависимости, которые удовлетворяют заранее определённым условиям
А если либа с нужным функционалом не помечена как безопасная, что тогда?

Ответить | Правка | Наверх | Cообщить модератору

83. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Котофалк (?), 25-Май-23, 09:33

Тогда у тебя два варианта... ©

Ответить | Правка | Наверх | Cообщить модератору

85. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (84), 25-Май-23, 19:24

проверяешь ее и ее зависимости сам, всю иерархию. Очевидно же, не?

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

24. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Аноним (24), 24-Май-23, 08:12

Самое главное не забыли:
https://github.com/google/supply-chain/blob/main/CODE_OF_CON...

Ответить | Правка | Наверх | Cообщить модератору

25. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от полуандерталец (?), 24-Май-23, 08:34

Инфы тут побольше чем в отчете наверное все задумывалось для этого файла

Ответить | Правка | Наверх | Cообщить модератору

31. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от КО (?), 24-Май-23, 09:15

Ты чё, э, а кто ж по-твоему "свободку" защищать будет?!

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

28. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от Аноним (28), 24-Май-23, 09:02

Максим, ну серьезно.
> опубликовала результаты
Ну опубликовала. И что? Какие выводы там представлены? Что с этим делать? Все хорошо или все плохо? Кто под угрозой или кто в безопасности? Новость просто не несет смысловой нагрузки: абзац про "опубликовала результаты", и абзац про cargo vet.

Ответить | Правка | Наверх | Cообщить модератору

53. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Аноним (53), 24-Май-23, 12:28

Новость про то, что опубликованный список можно подключить к своему проекту и не думать о том, что в очередном обновлении может прилететь вредоносное изменение. Аудит проведён перед использованием, поэтому его можно трактовать как белый список, пакеты с проблемами в Google  сразу отбраковываются. Другое дело, что список отбракованных пакетов они не опубликовали.

Ответить | Правка | Наверх | Cообщить модератору

69. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (28), 24-Май-23, 16:17

> не думать о том, что в очередном обновлении может прилететь вредоносное изменение
То есть аудит каким-то образом учитывает и будущие изменения в зависимостях?

Ответить | Правка | Наверх | Cообщить модератору

86. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (84), 25-Май-23, 19:33

> и не думать о том, что в очередном обновлении может прилететь вредоносное изменение
ну зачем же врать. Там авторы крейтов мамой клянутся, что вредный код в будущем не запихнут или что всю эту систему не взломают через сторонние уязвимости? Гугловцы только на текущий, проверенный код могут дать заключение. Ведь любой код, в который позже прилетали вредоносные изменения, до момента прилета был чистым и "никто и не думал!".

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

29. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от жявамэн (ok), 24-Май-23, 09:10

о чем новость?
где выводы?

Ответить | Правка | Наверх | Cообщить модератору

30. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от Пряник (?), 24-Май-23, 09:14

Да как нормально поставить этот Rust без мутных install.sh, которые неизвестно что наворотят, пусть даже и без рута? Вот nodejs скачал бинарник, кинул куда хочешь, прописал $PATH и запускаешь без всяких побочных эффектов (кроме папки node_modules на несколько гигов).

Ответить | Правка | Наверх | Cообщить модератору

33. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Анониссимус (?), 24-Май-23, 09:50

Твоя слакварь уже устарела, пользуйся пакетными менеджерами.

Ответить | Правка | Наверх | Cообщить модератору

34. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Анонин (?), 24-Май-23, 10:38

Эм... ты не в состоянии прочитать содержимое install.sh чтобы понять что он делает?
Может тебе лучше завязывать с компами и пойти в мак?

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

49. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Аноним (49), 24-Май-23, 11:25

Не в Мак, а в Точку.

Ответить | Правка | Наверх | Cообщить модератору

52. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от Аноним (52), 24-Май-23, 12:27

>Эм... ты не в состоянии прочитать содержимое install.sh чтобы понять что он делает?
Интересный наброс, но скажите, вы при каждом запуске читаете скриптовые портянки? Ведь эта растопортянка из интернета в любой момент может измениться.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

57. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Аноним (54), 24-Май-23, 12:40

Вообще-то да. Но предпочитаю докер или уже в виртуалке запускать.

Ответить | Правка | Наверх | Cообщить модератору

61. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Анонимусс (?), 24-Май-23, 13:58

А вот расскажите лучше зачем ее читать КАЖДЫЙ раз?
Ты запускаешь ее всего ОДИН раз и он ставит rustup.
Вот один раз и прочитаешь его.
Причем это можно сделать просто в их гите https://github.com/rust-lang/rustup/blob/master/rustup-init.sh
А дальше работаешь с rustup - все обновления, настройка и переключение версий, тулчейнов и тд. идут через него.
Более того, тебе не обязательно даже скрипт запускать. Можно скачать сам rustup-init, проверить его sha и запустить. https://rust-lang.github.io/rustup/installation/other.html
Если и этого мало - собираешь с сорцов https://github.com/rust-lang/rustup и используешь его.
Вариантов просто куча, выбирай любой.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

68. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Пряник (?), 24-Май-23, 16:15

Обычно установку чего-то заворачивают в скрипт, чтобы скрыть ужас который там творится за одной красивой командой. Очень показательные примеры: Zimbra и ISPmanager. Их инсталлеры столько всего воротят, что требуют даже установки поверх чистой системы.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

74. "Google опубликовал результат аудита используемых пакетов на ..." +1 +/–

Сообщение от Аноним (74), 24-Май-23, 22:01

> Да как нормально поставить этот Rust без мутных install.sh,
...
> Вот nodejs скачал бинарник,
Прэлестно, просто прелэстно.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

50. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (50), 24-Май-23, 11:52

389 пакетов. Это если раньше надо было вывести мсгбокс то люди искали какой там это функцией делается. То теперь я так понимаю ищут пакет где ктото написал вывод мсгбокса.... О новый чудный мир, о новые правила....

Ответить | Правка | Наверх | Cообщить модератору

63. "Google опубликовал результат аудита используемых пакетов на ..." +4 +/–

Сообщение от Аноним (63), 24-Май-23, 14:29

ПОПА — Пакетно-Ориентированная Программная Архитектура

Ответить | Правка | Наверх | Cообщить модератору

62. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от Аноним (54), 24-Май-23, 13:59

Раст это прошлый век, где новость про mojo?

Ответить | Правка | Наверх | Cообщить модератору

65. Скрыто модератором +1 +/–

Сообщение от Анонин (?), 24-Май-23, 15:01

Примерно там же где новости про карбон))

Ответить | Правка | Наверх | Cообщить модератору

67. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (67), 24-Май-23, 15:12

С mojo и карбон не уплачено.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

73. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Hck3r (?), 24-Май-23, 20:22

Mojo пока что не опен
А так в телеге есть канал - там побольше новостей про него

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

71. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от Аноним (24), 24-Май-23, 19:47

А вместе с тем главная гугла на https://github.com/google говорит:
Top languages
Python  C++  Go  Java  JavaScript
Других языков не просматривается.

Ответить | Правка | Наверх | Cообщить модератору

77. "Google опубликовал результат аудита используемых пакетов на ..." +/–

Сообщение от Аноним (7), 24-Май-23, 22:22

Мозилла тоже много чего говорила

Ответить | Правка | Наверх | Cообщить модератору

78. "Google опубликовал результат аудита используемых пакетов на ..." –1 +/–

Сообщение от Аноним (78), 24-Май-23, 22:30

Странно, а где же карбон и можо

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

79. Скрыто модератором +/–

Сообщение от Аноним (-), 25-Май-23, 07:31

mojo - моко.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Google опубликовал результат аудита используемых пакетов на ..."	+21 +/–
Сообщение от Kuromi (ok), 23-Май-23, 22:57
И в чем суть отчета?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Google опубликовал результат аудита используемых пакетов на ..."	–14 +/–
	Сообщение от kleemhead (?), 23-Май-23, 23:00
	Почитай
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. Скрыто модератором	+6 +/–
	Сообщение от Аноним (-), 24-Май-23, 00:59
	https://github.com/google/supply-chain/blob/main/audits.toml Почитал. И?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Google опубликовал результат аудита используемых пакетов на ..."	–4 +/–
	Сообщение от f95 (ok), 23-Май-23, 23:05
	Раньше, это когда еще Сишные дыры аудировали, приходилось в отчётах всё это как-то суммаризировать и расписывать. Сейчас конечно никаких проблем возникнуть не может в принципе, а отчеты мы формируем для обратной совместимости
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	4. "Google опубликовал результат аудита используемых пакетов на ..."	+5 +/–
	Сообщение от warlock66613 (ok), 23-Май-23, 23:09
	Нет никакого отчёта. Есть предоставленные гуглом маркировки 389 пакетов, которые можно использовать для себя.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	10. "Google опубликовал результат аудита используемых пакетов на ..."	–2 +/–
	Сообщение от Аноним (10), 24-Май-23, 03:40
	Можно список этих 389 пакетов, а то раста и карго в системе нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Google опубликовал результат аудита используемых пакетов на ..."	+3 +/–
	Сообщение от Аноним (14), 24-Май-23, 06:08
	Конечно специально для тех кто больше заголовка осилить не может ловите ссылку https://github.com/google/supply-chain/blob/main/audits.toml
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (10), 24-Май-23, 07:36
	Выражаю особую благодарность тому, кто любит делать чужую работу! )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (14), 24-Май-23, 13:05
	Помощь интеллектуально неодаренным наша обязанность!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	70. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (10), 24-Май-23, 16:48
	Интеллектуалы ленивые люди, поэтому любят смотреть как другие делают работу за них.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Google опубликовал результат аудита используемых пакетов на ..."	+10 +/–
	Сообщение от topin89 (ok), 23-Май-23, 23:21
	"Раст -- это круто. Его пакетный менеджер -- тоже. Его пакеты -- как повезёт, смотреть надо. Мы посмотрели 389 из них, так что вам необязательно. Но предлагаем быть как мы: смотреть другие пакеты и делиться результатами. Наш результат пригоден для `cargo vet`. Продолжение следует. Присоединяйтесь."
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	16. "Google опубликовал результат аудита используемых пакетов на ..."	–3 +/–
	Сообщение от Аноним (16), 24-Май-23, 06:42
	> Для использования в своих проектах предоставлен файл для проверки зависимостей при помощи команды cargo vet на предмет соответствия требованиям к безопасности, корректности и тестированию. > Применение "cargo vet" позволяет гарантировать, что в проекте используются только проверенные зависимости, которые удовлетворяют заранее определённым условиям. В Gentoo, лет 15 назад, разрабы дистрибутива выполняли эту работу. И моё мнение, что это работа именно разрабов дистрибутивов. Чтобы не было дублирования обмен патчами и координация в багтрекере конкретной программы приветствуется. > результаты аудита 389 crate-пакетов Советую разделять пакеты более чем на две категории по стабильности и безопасности. 1. Проверена аутентичность и целостность архива исходных текстов. (Верификация подписи OpenPGP по белому списку открытых ключей). Тестирование безошибочной сборки и работы программы в локальных репах (оверлеи Gentoo). Добавление патчей по функциональности. 2. Добавление версии пакета в нестабильную ветвь дистрибутива, для конкретной архитектуры. Публичное тестирование не менее 30 дней. Добавление стабилизирующих патчей. 3. Добавление версии пакета в стабильную ветвь дистрибутива, для конкретной архитектуры. Добавление патчей безопасности. 4. Добавление версии пакета в супер-стабильную ветвь дистрибутива после проведения рецензирования/аудита кода, для конкретной архитектуры. (Хотели в Gentoo её сделать, но 15 лет назад упустили момент с большим обёмом доверительного, рецензированного и проверенного кода. Пакеты сменили разрабов, люди рецензировавшие код и проводившие аудит разбежались. Смысла для сегодняшней супер-стабильной ветки уже нет.)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от dannyD (?), 24-Май-23, 07:24
	>>Смысла для сегодняшней супер-стабильной ветки уже нет. ну и очень зря, припаривает пересобирать каждый rX.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (27), 24-Май-23, 09:02
	>> Смысла для сегодняшней супер-стабильной ветки уже нет. > ну и очень зря, припаривает пересобирать каждый rX. Не в супер-стабильной ветки дело. Достаточно вернутся к старой политике безопасности. Причина, частого пересбора -rN в неверной текущей политике безопасности: Старая, сильная и правильная, политика безопасности: https://wiki.gentoo.org/wiki/Project:Hardened "make Gentoo viable for highly secure, high stability" Новая, слабенькая, политика безопасности: https://wiki.gentoo.org/wiki/Project:Security "to ensure that vulnerabilities in software accessible through the Portage tree are found and fixed"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (81), 25-Май-23, 08:40
	Баги фиксить все равно надо даже в Hardened системах. Хоть эксплуатация дыр значительно затруднена, но их наличие на стабильность работы при вирусной атаке будет влиять отрицательно. Hardened система дает больше времени для разработки, проверке и стабилизации патчей, плюс закрывает 0-day дыры.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от warlock66613 (ok), 25-Май-23, 08:57
	> И моё мнение, что это работа именно разрабов дистрибутивов. Это _другие_ пакеты. Они не имеют отношения к пакетам дистрибутивов Линукс (если не говорить о сильно экзотических дистрибутивах а-ля NixOS).
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	87. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (-), 25-Май-23, 20:37
	> В Gentoo, лет 15 назад, разрабы дистрибутива выполняли эту работу. И моё мнение, что это работа именно разрабов дистрибутивов. Чтобы не было дублирования обмен патчами и координация в багтрекере конкретной программы приветствуется. Мейнтейнеры дистров не справляются. Попробуй что-нибудь типа репов пакетов ruby использовать или для common-lisp'а, да хоть для пайтона. Там у них какие-то древнючие версии пакетов, и далеко не все пакеты. Вот до чего руки дошли, то они и опакетили, а всё остальное часто доступно только если забить на системный пакетный менагер вообще. И зачем мне мейнтейнеры дистров в багтрекере с их идеями поддерживать какие-то допотопные системы? Им надо, пускай они и заморачиваются, бекпортируют или любой другой мастурбацией занимаются. Юзеры -- другое дело, их интересы стоит учесть, но мейнтейнеры дистров здесь просто ненужная прослойка, которая мешает всем. То есть, если бы они справлялись бы с программерскими репами, откуда я могу тягать реализации алгоритмов и структур данных под свои нужды, и были бы готовы расширять поддержку в ответ на мои нужды, то с ними можно было бы разговаривать. Но когда они от меня хотят, чтобы я даунгрейдил версии... да шли бы они знаешь куда? Не могут опакетить, их проблемы. Я appimage сформирую, и пускай они дальше не опакечивают. Кому они нужны? > Советую разделять пакеты более чем на две категории по стабильности и безопасности. Открой данные отчёта и ты увидишь, что там сильно более двух категорий. Они по нескольким осям классифицируют, и для каждого пакета несколько градаций. Прям идеальная система прямо как тебе хочется. Ты зря нос воротишь.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	12. "Google опубликовал результат аудита используемых пакетов на ..."	+1 +/–
	Сообщение от Bob (??), 24-Май-23, 05:59
	Видимо так "накодили", что понадобился аудит...
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

6. "Google опубликовал результат аудита используемых пакетов на ..."	+1 +/–
Сообщение от Карлос Сношайтилис (ok), 23-Май-23, 23:55
TLTR: Прогнали аудит по используемым пакетам с зависимостями, расставили тэги. Делайте с этим чо хотите, мы своим PM отчитались.
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Google опубликовал результат аудита используемых пакетов на ..."	+4 +/–
Сообщение от Аноним (7), 24-Май-23, 00:57
Просто в голос. Это документ для sox аудита, скорее бюрократическая мишура чтобы успокоить акционеров (ну и какой-никакой порядок для совсем уж беззаботных компаний), чем реальная польза безопасности. Буквально метки "а вот тут для расшифровки 2ух человек достаточно, если два тимлида сговорятся, то могут узнать наш страшный секрет". Потом отдел ИБ (обычно отдельный бюрократический отдел ИБ, созданный чисто для бюрократии) на встрече с внешними аудиторами (бюрократы, которым платят денежку за видимость компетенции) обсуждают что в теории можно улучшить и в итоге делают отчёт что в компании работали не полные неандертальцы и не используют md5 в паролях. Этим отчетом потом хвалится топ менеджмент. На самом же деле все эти проверки в основном поверхностны и нередко делаются руками проверяемых. Само собой любой мало-мальский разработчик работающий приличное время в компании знает где при разработке оставили костыли и не заменили/умолчали/решили оставить как есть. По различным причинам далеко не все из них доходят до ИБ, а от них далеко не все доходят до аудиторов. Но видимо растоманы все же совсем дегенераты и не знают этого, они просто увидели слово аудит, слово безопасность, и сразу слепили новость бесполезную чуть более чем для всех. Ну какой язык, такие и разработчики.
Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Google опубликовал результат аудита используемых пакетов на ..."	+4 +/–
Сообщение от Аноним (9), 24-Май-23, 01:24
Интересно, когда этот самый карго долбанёт, что будут делать эти, которые сейчас "безопасный" код клепают? Сейчас же все проверки и вся "безопасность" по сути в одних руках?
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Google опубликовал результат аудита используемых пакетов на ..."	+3 +/–
	Сообщение от n00by (ok), 24-Май-23, 06:29
	Отправят недовольных читать "AS IS" в лицензии.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Google опубликовал результат аудита используемых пакетов на ..."	–1 +/–
	Сообщение от Mail (?), 24-Май-23, 06:48
	гошную репу пока не долбанула, а на ней пол инета крутится (докер/облака)
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	19. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Брат Анон (ok), 24-Май-23, 07:12
	Смелое заявление. В каждом апдейте что-нибудь по шифрованию подкручивают. Да и гитхаб задолбал меня письмами счастья: в вашей репе используется версия гошечки, которая имеет уязвимость в стандартной либе, номер уязвимости держите.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Google опубликовал результат аудита используемых пакетов на ..."	+/–
	Сообщение от Аноним (54), 24-Май-23, 12:33
	Так уже было же. Растоманы просто сказали что карго это не часть раста (раньше же говорили наоборот), что раст хороший, а кто там карго делает они не вдупляют. То же и про уязвимые растоманские либы говорят.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	72. "Google опубликовал результат аудита используемых пакетов на ..."	–1 +/–
	Сообщение от user (??), 24-Май-23, 20:06
	В таком случае где почитать про использование раста без карго?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Google опубликовал результат аудита используемых пакетов на ..."	–1 +/–
	Сообщение от Аноним (7), 24-Май-23, 22:19
	А толку, если на нем даже пакетный менеджер написать не могут. А разговоров то было...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. Скрыто модератором	+/–
	Сообщение от фтщтшь (?), 24-Май-23, 13:03
	просто разворачивай свое локально карго и живи без забот
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору

13. "Google опубликовал результат аудита используемых пакетов на ..."	+1 +/–
Сообщение от Аноним (14), 24-Май-23, 06:03
Спорим они сначала словили из какого-то пакета вирь, а уже потом провели аудит.
Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Google опубликовал результат аудита используемых пакетов на ..."	+1 +/–
	Сообщение от Аноним (54), 24-Май-23, 12:34
	Скорее всего нет, аудит обычно ежегодно делаются (а то и чаще, смотря какой аудит).
	Ответить \| Правка \| Наверх \| Cообщить модератору