forum.opennet.ru - "Инциденты с безопасностью в репозиториях PyPI и crates.io" (41)

"Инциденты с безопасностью в репозиториях PyPI и crates.io"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
Сообщение от opennews (??), 16-Апр-25, 15:25
Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63086
Ответить \| Правка \| Cообщить модератору

Оглавление

А у нас даже пароли в логи пишутся, начальник в курсе и ему всё равно , Аноним (3), 15:33 , 16-Апр-25, (3) +14

а нечего работать в спортлото, Аноним (5), 15:36 , 16-Апр-25, (5) +3

Почему Руководству все равно Значит такие нормы на предприятии , Ruslan (??), 15:47 , 16-Апр-25, (9)

Ему безразлично, но лишь потому что в случае взлома крайним станет кто-нибудь из, Анонимище (?), 17:54 , 16-Апр-25, (31) +3

У меня для тебя хреновые новости, но ты уже почти взрослый и тебе пора узнать пр, нах. (?), 10:21 , 17-Апр-25, (62)

1 Потому что работать на помойке это как минимум не уважать себя 2 Какой начал, Аноним (40), 18:53 , 16-Апр-25, (40)

А может он всё это соберется монетанезировать , Аноним (41), 19:14 , 16-Апр-25, (41)

а логи куда пишутся , Аноним (16), 16:20 , 16-Апр-25, (16)

логи используем вместо паролей, Аноним (5), 18:10 , 16-Апр-25, (33) +2

беги , Аноним (17), 16:22 , 16-Апр-25, (17) +1
Надеюсь не гос Если гос, сообщай в роскомнадзор, а сам меняй работу , Аноним (23), 17:04 , 16-Апр-25, (23) +1

а зачем ему это если бы хотел уже давно бы сменил он работу, а так он сидит в т, penetrator (?), 19:31 , 16-Апр-25, (44) –2

Скрыто модератором, нах. (?), 19:46 , 16-Апр-25, (46)

Ну ты даёшь - там вся команда за счёт этого кормится , 1 (??), 09:06 , 17-Апр-25, (59)

А иначе пришлось бы стикер с паролем к монитору клеить Начальник мудр , Аноним (67), 14:43 , 17-Апр-25, (67)

Успели получить CVE-индентификатор , Аноним (11), 15:55 , 16-Апр-25, (11) +5

конечно успели - эти торгаши цифирками продавали их оптом впрок , нах. (?), 19:48 , 16-Апр-25, (47)

Именно поэтому так важен труд ментейнеров дистрибутивов Особенно Debian, которы, Аноним (14), 16:12 , 16-Апр-25, (14) +3

Одна беда контроль у них собралось-запустилось , n00by (ok), 18:21 , 16-Апр-25, (36) +2

Вы буквально пересказали моё же сообщение, но умудрились выставить в негативном , Аноним (14), 18:33 , 16-Апр-25, (38)

Ровно то, что и сказал не надо делать вид, будто бы непосильный труд майнтайнер, n00by (ok), 19:17 , 16-Апр-25, (42) –1

Непосильный труд майнтайнеров поддерживает горение низа твоей спины , Аноним (63), 10:30 , 17-Апр-25, (63)

Ну и зачем Не, вот серьезно Кому и при каких обстоятельствах такое в башку взб, Аноним (20), 16:30 , 16-Апр-25, (20)

Вот вообще не понимаю кто придумал отправлять логи в стороннюю организацию И ка, fuggy (ok), 17:59 , 16-Апр-25, (32) +2

все кто держал логи в собственной - активно ищут работу потому что не логать вс, нах. (?), 19:50 , 16-Апр-25, (48)

в облаках логи хранить денежек тоже стоит не малых Я как то в Datadog логирован, myster (ok), 20:43 , 16-Апр-25, (50)

Не, ну если задача хранить события безопасности 25 лет по требованию ИБэ - то,, User (??), 07:52 , 17-Апр-25, (57) +1

Если периодически с ними работать, то нужно определиться за какой период держать, myster (ok), 10:46 , 17-Апр-25, (65)

Кому надо нужно было незаметно дать доступ куда надо, вот и сделали А то, что н, Аноним (34), 18:12 , 16-Апр-25, (34)
Возможно потому, что там не по одному куки выбирали для отправки в лог т е выб, Аноним (75), 19:07 , 18-Апр-25, (75)

То есть Python Package Index привязывал права к пользователю Тогда как следовал, n00by (ok), 18:24 , 16-Апр-25, (37)

Эти ответят Что подвезли из того и собираем , Аноним (51), 21:01 , 16-Апр-25, (51)
Ээээ если взять какой-нибудь group membership в AD - то там членство в группа, User (??), 08:15 , 17-Апр-25, (58)

Так вся эта концепция слабоконтролируемых репозиториев пакетов для программистов, Аноним (45), 19:37 , 16-Апр-25, (45)

Пока за жопу не укусят, ничего не измениться Пока не ломанули крейты в тихую, с, Аноним (49), 20:27 , 16-Апр-25, (49)

Вряд ли Из-за экономии Из Дев прямо в Прод DevOps же , Аноним (51), 21:04 , 16-Апр-25, (52)

Да фигня, мы из без ДевШлёпсов 25 лет почти сразу в прод пишем с минимальным тес, BorichL (ok), 14:47 , 17-Апр-25, (68) +1

Не хочется выглядеть пляшущим на костях , но Вас же предупреждали , Аноним (51), 21:06 , 16-Апр-25, (53)

Я второй раз за неделю сталкиваюсь с ситуацией, когда человек сначала заявляет, , Аноним (-), 07:35 , 18-Апр-25, (72) –1

А Мандат от Всевышнего на непогрешимость у них есть Больше, есть привилегии на, Аноним (51), 21:18 , 16-Апр-25, (54) –1
Не исключен случай, когда в адресном пространстве процесса размещена библиотечка, Аноним (51), 21:33 , 16-Апр-25, (55)

Сообщения [Сортировка по ответам | RSS]

3. Сообщение от Аноним (3), 16-Апр-25, 15:33 +14 +/–

А у нас даже пароли в логи пишутся, начальник в курсе и ему всё равно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #16, #17, #23, #67

5. Сообщение от Аноним (5), 16-Апр-25, 15:36 +3 +/–

а нечего работать в спортлото

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9

9. Сообщение от Ruslan (??), 16-Апр-25, 15:47 +/–

Почему? Руководству все равно. Значит такие нормы на предприятии.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #31, #40

11. Сообщение от Аноним (11), 16-Апр-25, 15:55 +5 +/–

Успели получить CVE-индентификатор? :)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

14. Сообщение от Аноним (14), 16-Апр-25, 16:12 +3 +/–

Именно поэтому так важен труд ментейнеров дистрибутивов. Особенно Debian, который имеет репозиторий с копиями исходников. Полная воспроизводимость и контроль сборки. Полагаться на такие pypi и crates не стоит.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

16. Сообщение от Аноним (16), 16-Апр-25, 16:20 +/–

а логи куда пишутся?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #33

17. Сообщение от Аноним (17), 16-Апр-25, 16:22 +1 +/–

беги!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

20. Сообщение от Аноним (20), 16-Апр-25, 16:30 +/–

> среди отправляемых данных присутствовало поле с содержимым Cookie "cargo_session", в котором находился сессионный ключ
Ну и зачем? Не, вот серьезно. Кому и при каких обстоятельствах такое в башку взбрендило? "Дай-ка буду в сентри сессию отправлять, потому что -- а почему бы и нет?"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #34, #75

23. Сообщение от Аноним (23), 16-Апр-25, 17:04 +1 +/–

Надеюсь не гос? Если гос, сообщай в роскомнадзор, а сам меняй работу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #44, #59

31. Сообщение от Анонимище (?), 16-Апр-25, 17:54 +3 +/–

Ему безразлично, но лишь потому что в случае взлома крайним станет кто-нибудь из его подчиненых. Поэтому надо бежать из такого заведения, от греха подальше

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #62

32. Сообщение от fuggy (ok), 16-Апр-25, 17:59 +2 +/–

Вот вообще не понимаю кто придумал отправлять логи в стороннюю организацию. И как это вообще согласовывается с политикой безопасности. При том что это бекенд где можно напрямую своё хранилище использовать, а не куча мобильных клиентов с которых нужно собирать логи. Да и при любой возможности нужно sentry.io блокировать на устройстве.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #48

33. Сообщение от Аноним (5), 16-Апр-25, 18:10 +2 +/–

логи используем вместо паролей

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

34. Сообщение от Аноним (34), 16-Апр-25, 18:12 +/–

Кому надо нужно было незаметно дать доступ куда надо, вот и сделали. А то, что не нашли случаев использования, так это они так говорят, стороннего аудита не было (и не будет).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

36. Сообщение от n00by (ok), 16-Апр-25, 18:21 +2 +/–

Одна беда: контроль у них "собралось-запустилось".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #38

37. Сообщение от n00by (ok), 16-Апр-25, 18:24 +/–

То есть Python Package Index привязывал права к пользователю? Тогда как следовало к организации. Сколько ещё подобных гениев создают ПО и одаряют им окружающих?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #58

38. Сообщение от Аноним (14), 16-Апр-25, 18:33 +/–

Вы буквально пересказали моё же сообщение, но умудрились выставить в негативном ключе. В pypi и crates вообще-то нет воспроизводимости. В crates так вообще сборок нет.
Так что вы пытались сказать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #42

40. Сообщение от Аноним (40), 16-Апр-25, 18:53 +/–

> Почему? Руководству все равно. Значит такие нормы на предприятии.
1) Потому что работать на помойке это как минимум не уважать себя.
2) Какой начальник - такой будет и коллектив.
3) Крайним потом окажется вовсе не начальник и сидеть придется не ему.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #41

41. Сообщение от Аноним (41), 16-Апр-25, 19:14 +/–

А может он всё это соберется монетанезировать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

42. Сообщение от n00by (ok), 16-Апр-25, 19:17 –1 +/–

Ровно то, что и сказал: не надо делать вид, будто бы непосильный труд майнтайнеров устраняет упомянутые в теме и прочие подобные возможные проблемы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #63

44. Сообщение от penetrator (?), 16-Апр-25, 19:31 –2 +/–

а зачем ему это? если бы хотел уже давно бы сменил он работу, а так он сидит в тепленьком скорее всего

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #46

45. Сообщение от Аноним (45), 16-Апр-25, 19:37 +/–

Так вся эта концепция слабоконтролируемых репозиториев пакетов для программистов - очень ненадёжная. А люди привыкают, проекты обрастают избыточными зависимостями, привязкой к интернету. Всё это очень неустойчиво выглядит для серьёзного применения (в долгосрочной перспективе).
Питон - это язык для быстрого прототипирования, но он настолько распространился благодаря гуглу, что его умудрились затащить даже туда куда не следовало бы.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

46. Сообщение от нах. (?), 16-Апр-25, 19:46 Скрыто ботом-модератором +/–

> если бы хотел уже давно бы сменил он работу
вылечился бы от рака, слетал на марс...
открою тебе, юнош, печальную истину: мир не собирается потакать твоим хотелкам.
Хочешь жрать (сегодня, а не когда у пятерочки кончится срок годности) - иди работай там, куда берут.
А не хочешь - можешь сидеть в холодном месте и сосать х`йца.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

47. Сообщение от нах. (?), 16-Апр-25, 19:48 +/–

конечно успели - эти торгаши цифирками продавали их оптом впрок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

48. Сообщение от нах. (?), 16-Апр-25, 19:50 +/–

> Вот вообще не понимаю кто придумал отправлять логи в стороннюю организацию.
все кто держал логи в собственной - активно ищут работу.
(потому что не логать все на свете девляпсам просто не приходит в голову. А бездонная хранилка бывает... но где-то вот там, в облачках. А в непотусторонних организациях каждый диск стоит денежку.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #50

49. Сообщение от Аноним (49), 16-Апр-25, 20:27 +/–

Пока за жопу не укусят, ничего не измениться. Пока не ломанули крейты в тихую, с последующим захватом всех проектов, ничего и не изменится.
Кстати, после той истории с хз, изменилось что нибудь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #52

50. Сообщение от myster (ok), 16-Апр-25, 20:43 +/–

в облаках логи хранить денежек тоже стоит не малых. Я как то в Datadog логирование настраивал, потом счёт не хилый за логи был у заказчика, но они сами так захотели.
ИМХО держать свою систему сбора логов проще и дешевле.
Тот же Sentry разворачивается в self-hosted варианте на изи. Правда, то как это выглядит - срамота, сколько же они в этом Sentry накрутили дичи, благо развернуть можно одним Docker Compose конфигом или Helm чартом и не смотреть туда, чтобы не портить себе нервы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #57

51. Сообщение от Аноним (51), 16-Апр-25, 21:01 +/–

Эти ответят: "Что подвезли из того и собираем."

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

52. Сообщение от Аноним (51), 16-Апр-25, 21:04 +/–

Вряд ли. Из-за экономии "Из Дев прямо в Прод". DevOps же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #68

53. Сообщение от Аноним (51), 16-Апр-25, 21:06 +/–

Не хочется выглядеть "пляшущим на костях", но "Вас же предупреждали" )

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #72

54. Сообщение от Аноним (51), 16-Апр-25, 21:18 –1 +/–

>Отмечается, что доступ к серверу мониторинга Sentry имели только отдельные участники команд, обслуживающих инфраструктуру проекта и репозиторий crates.io, которые и без того имеют привилегированный доступ к рабочим серверам crates.io.
А Мандат от Всевышнего на непогрешимость у них есть? )
Больше, есть привилегии над привилегиями и имперсоналити от лица Системы и Сервера. Были случае. Конкретные продукты упоминать не буду. Хотя, наверно, и так скроют сообщение.

Ответить | Правка | Наверх | Cообщить модератору

55. Сообщение от Аноним (51), 16-Апр-25, 21:33 +/–

Не исключен случай, когда в адресном пространстве процесса размещена библиотечка, которая способна вызвать обработчик "сброса этого дампа". Так прозрачно и регулярно.

Ответить | Правка | Наверх | Cообщить модератору

57. Сообщение от User (??), 17-Апр-25, 07:52 +1 +/–

Не, ну если задача "хранить события безопасности 25 лет" по требованию ИБэ - то, пожалуй, дешевле самому. А вот если с ними периодически работать приходится - да еще ни дай б-г в привязке к метрикам\трейсам, да с разделением по командам\средам - уже дискуссионно.
Периодически конечно в голову приходит мысль, что "а может не надо логгировать каждый чих с двух сторон каждой ноздри (И на всякий случАй - других отверстий - вдруг корреляция при чихании обнаружится?!)" - но каждый, каждый с-ка раз заканчивается это дело тем, что "шит - хаппенс!", а данных для анализа-то и нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #65

58. Сообщение от User (??), 17-Апр-25, 08:15 +/–

Ээээ... если взять какой-нибудь group membership в AD - то там членство в группах опредяляется атрибутом member группы... Но в атрибутах пользователя есть _вычисляемый_ memberof, который "вычисляется" не на лету, а при изменении member в группе - и да, для выписки kerberos ticket используется именно memberof пользователя (С нюансами в виде вложенности, но).
И да, с неконсистентностью member != memberof сталкивался лично - из группы пользователя удалили, а в memberof атрибуте пользователя членство есть и в тикете группа есть и права, сталбыть, тоже есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

59. Сообщение от 1 (??), 17-Апр-25, 09:06 +/–

Ну ты даёшь - там вся команда за счёт этого кормится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

62. Сообщение от нах. (?), 17-Апр-25, 10:21 +/–

У меня для тебя хреновые новости, но ты уже почти взрослый и тебе пора узнать правду: сбежать оттуда сможет снова только начальник. У раба цепь слишком короткая.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

63. Сообщение от Аноним (63), 17-Апр-25, 10:30 +/–

Непосильный труд майнтайнеров поддерживает горение низа твоей спины.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

65. Сообщение от myster (ok), 17-Апр-25, 10:46 +/–

Если периодически с ними работать, то нужно определиться за какой период держать активные логи доступными для анализа. Как только период определен, остальные логи можно складывать на холодное или ледяное S3 хранилище в облаке, там тарифы не такие дорогие за хранение.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

67. Сообщение от Аноним (67), 17-Апр-25, 14:43 +/–

> А у нас даже пароли в логи пишутся, начальник в курсе и ему всё равно.
А иначе пришлось бы стикер с паролем к монитору клеить. Начальник мудр.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

68. Сообщение от BorichL (ok), 17-Апр-25, 14:47 +1 +/–

Да фигня, мы из без ДевШлёпсов 25 лет почти сразу в прод пишем с минимальным тестированием и всё нормально так пашет. Прод рад быстрой реакции, а мы смелые парни, не то, что местные зассыхи!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

72. Сообщение от Аноним (-), 18-Апр-25, 07:35 –1 +/–

Я второй раз за неделю сталкиваюсь с ситуацией, когда человек сначала заявляет, что не хочет плясать на костях, а потом демонстрирует поведение, которое он, судя по всему, считает "пляской на костях". Что происходит? Майндконтроль со стороны инопланетян, и вы делаете не то, что хотите делать сами, а то, что хотят инопланетяне?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

75. Сообщение от Аноним (75), 18-Апр-25, 19:07 +/–

Возможно потому, что там не по одному куки выбирали для отправки в лог (т.е. выборочно), а сразу весь массив? Лень - не всегда двигатель прогресса.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. Сообщение от Аноним (3), 16-Апр-25, 15:33	+14 +/–
А у нас даже пароли в логи пишутся, начальник в курсе и ему всё равно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5, #16, #17, #23, #67

5. Сообщение от Аноним (5), 16-Апр-25, 15:36	+3 +/–
а нечего работать в спортлото
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #9

9. Сообщение от Ruslan (??), 16-Апр-25, 15:47	+/–
Почему? Руководству все равно. Значит такие нормы на предприятии.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #31, #40

11. Сообщение от Аноним (11), 16-Апр-25, 15:55	+5 +/–
Успели получить CVE-индентификатор? :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #47

14. Сообщение от Аноним (14), 16-Апр-25, 16:12	+3 +/–
Именно поэтому так важен труд ментейнеров дистрибутивов. Особенно Debian, который имеет репозиторий с копиями исходников. Полная воспроизводимость и контроль сборки. Полагаться на такие pypi и crates не стоит.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #36

16. Сообщение от Аноним (16), 16-Апр-25, 16:20	+/–
а логи куда пишутся?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #33

17. Сообщение от Аноним (17), 16-Апр-25, 16:22	+1 +/–
беги!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

20. Сообщение от Аноним (20), 16-Апр-25, 16:30	+/–
> среди отправляемых данных присутствовало поле с содержимым Cookie "cargo_session", в котором находился сессионный ключ Ну и зачем? Не, вот серьезно. Кому и при каких обстоятельствах такое в башку взбрендило? "Дай-ка буду в сентри сессию отправлять, потому что -- а почему бы и нет?"
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #32, #34, #75

23. Сообщение от Аноним (23), 16-Апр-25, 17:04	+1 +/–
Надеюсь не гос? Если гос, сообщай в роскомнадзор, а сам меняй работу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #44, #59

31. Сообщение от Анонимище (?), 16-Апр-25, 17:54	+3 +/–
Ему безразлично, но лишь потому что в случае взлома крайним станет кто-нибудь из его подчиненых. Поэтому надо бежать из такого заведения, от греха подальше
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #62

32. Сообщение от fuggy (ok), 16-Апр-25, 17:59	+2 +/–
Вот вообще не понимаю кто придумал отправлять логи в стороннюю организацию. И как это вообще согласовывается с политикой безопасности. При том что это бекенд где можно напрямую своё хранилище использовать, а не куча мобильных клиентов с которых нужно собирать логи. Да и при любой возможности нужно sentry.io блокировать на устройстве.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #48

33. Сообщение от Аноним (5), 16-Апр-25, 18:10	+2 +/–
логи используем вместо паролей
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

34. Сообщение от Аноним (34), 16-Апр-25, 18:12	+/–
Кому надо нужно было незаметно дать доступ куда надо, вот и сделали. А то, что не нашли случаев использования, так это они так говорят, стороннего аудита не было (и не будет).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

36. Сообщение от n00by (ok), 16-Апр-25, 18:21	+2 +/–
Одна беда: контроль у них "собралось-запустилось".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #38

37. Сообщение от n00by (ok), 16-Апр-25, 18:24	+/–
То есть Python Package Index привязывал права к пользователю? Тогда как следовало к организации. Сколько ещё подобных гениев создают ПО и одаряют им окружающих?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #51, #58

38. Сообщение от Аноним (14), 16-Апр-25, 18:33	+/–
Вы буквально пересказали моё же сообщение, но умудрились выставить в негативном ключе. В pypi и crates вообще-то нет воспроизводимости. В crates так вообще сборок нет. Так что вы пытались сказать?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #36 Ответы: #42

40. Сообщение от Аноним (40), 16-Апр-25, 18:53	+/–
> Почему? Руководству все равно. Значит такие нормы на предприятии. 1) Потому что работать на помойке это как минимум не уважать себя. 2) Какой начальник - такой будет и коллектив. 3) Крайним потом окажется вовсе не начальник и сидеть придется не ему.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #41

41. Сообщение от Аноним (41), 16-Апр-25, 19:14	+/–
А может он всё это соберется монетанезировать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #40

42. Сообщение от n00by (ok), 16-Апр-25, 19:17	–1 +/–
Ровно то, что и сказал: не надо делать вид, будто бы непосильный труд майнтайнеров устраняет упомянутые в теме и прочие подобные возможные проблемы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #38 Ответы: #63

44. Сообщение от penetrator (?), 16-Апр-25, 19:31	–2 +/–
а зачем ему это? если бы хотел уже давно бы сменил он работу, а так он сидит в тепленьком скорее всего
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #46

45. Сообщение от Аноним (45), 16-Апр-25, 19:37	+/–
Так вся эта концепция слабоконтролируемых репозиториев пакетов для программистов - очень ненадёжная. А люди привыкают, проекты обрастают избыточными зависимостями, привязкой к интернету. Всё это очень неустойчиво выглядит для серьёзного применения (в долгосрочной перспективе). Питон - это язык для быстрого прототипирования, но он настолько распространился благодаря гуглу, что его умудрились затащить даже туда куда не следовало бы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #49

46. Сообщение от нах. (?), 16-Апр-25, 19:46 Скрыто ботом-модератором	+/–
> если бы хотел уже давно бы сменил он работу вылечился бы от рака, слетал на марс... открою тебе, юнош, печальную истину: мир не собирается потакать твоим хотелкам. Хочешь жрать (сегодня, а не когда у пятерочки кончится срок годности) - иди работай там, куда берут. А не хочешь - можешь сидеть в холодном месте и сосать х`йца.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #44

47. Сообщение от нах. (?), 16-Апр-25, 19:48	+/–
конечно успели - эти торгаши цифирками продавали их оптом впрок.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

48. Сообщение от нах. (?), 16-Апр-25, 19:50	+/–
> Вот вообще не понимаю кто придумал отправлять логи в стороннюю организацию. все кто держал логи в собственной - активно ищут работу. (потому что не логать все на свете девляпсам просто не приходит в голову. А бездонная хранилка бывает... но где-то вот там, в облачках. А в непотусторонних организациях каждый диск стоит денежку.)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32 Ответы: #50

49. Сообщение от Аноним (49), 16-Апр-25, 20:27	+/–
Пока за жопу не укусят, ничего не измениться. Пока не ломанули крейты в тихую, с последующим захватом всех проектов, ничего и не изменится. Кстати, после той истории с хз, изменилось что нибудь?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #45 Ответы: #52

50. Сообщение от myster (ok), 16-Апр-25, 20:43	+/–
в облаках логи хранить денежек тоже стоит не малых. Я как то в Datadog логирование настраивал, потом счёт не хилый за логи был у заказчика, но они сами так захотели. ИМХО держать свою систему сбора логов проще и дешевле. Тот же Sentry разворачивается в self-hosted варианте на изи. Правда, то как это выглядит - срамота, сколько же они в этом Sentry накрутили дичи, благо развернуть можно одним Docker Compose конфигом или Helm чартом и не смотреть туда, чтобы не портить себе нервы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #48 Ответы: #57

51. Сообщение от Аноним (51), 16-Апр-25, 21:01	+/–
Эти ответят: "Что подвезли из того и собираем."
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #37

52. Сообщение от Аноним (51), 16-Апр-25, 21:04	+/–
Вряд ли. Из-за экономии "Из Дев прямо в Прод". DevOps же.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #49 Ответы: #68

53. Сообщение от Аноним (51), 16-Апр-25, 21:06	+/–
Не хочется выглядеть "пляшущим на костях", но "Вас же предупреждали" )
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #72

54. Сообщение от Аноним (51), 16-Апр-25, 21:18	–1 +/–
>Отмечается, что доступ к серверу мониторинга Sentry имели только отдельные участники команд, обслуживающих инфраструктуру проекта и репозиторий crates.io, которые и без того имеют привилегированный доступ к рабочим серверам crates.io. А Мандат от Всевышнего на непогрешимость у них есть? ) Больше, есть привилегии над привилегиями и имперсоналити от лица Системы и Сервера. Были случае. Конкретные продукты упоминать не буду. Хотя, наверно, и так скроют сообщение.
Ответить \| Правка \| Наверх \| Cообщить модератору