Программирование[11]

[Rintz]

Привет, или маленькие любители экстремизма (осуждаю) 

[BassN1vrot]

экстремист_номер_1
экстремист_номер_2

meta

дефрель лейтенант фсб

игил
талибан
фбк
навальный
гитлер

не, ну форумом знатный клоун заведует

Изменено 30 марта 2022 пользователем BassN1vrot

[CriErr]

Форум в рамках закона 

[GoldRobot]

Я даже не понимаю троллите вы, или все реально так.

[Jaskier]

Всем привет. Такой вопрос: применяются ли какие-либо меры по безопасносте при работе с opensource решениями в ваших кампаниях?
Понятно, что универсального решения нет и все стараются уменьшать область привелегий приложений, но мб есть интересные решения которые запомнились?
У нас сейчас стоит такой вопрос  и я вот думаю в сторону добавления в CI job, которая бы при билде собирала все зависимости и отправляла в заранее написанный сервис, который смотрит на даты версий и если с моменты релиза либы не прошло X утвержденного времении то мы фейлим pipeline. 
Остальное останется на совести разрабов т.к все в кубере, то не очень критично.
Еще используем nexus как прокси кеш для сторонних пакетов и свой docker-registry. Вот думаю как еще можно усилить защиту.

[BassN1vrot]

Jaskier написал 10 минут назад:

Всем привет. Такой вопрос: применяются ли какие-либо меры по безопасносте при работе с opensource решениями в ваших кампаниях?
Понятно, что универсального решения нет и все стараются уменьшать область привелегий приложений, но мб есть интересные решения которые запомнились?
У нас сейчас стоит такой вопрос  и я вот думаю в сторону добавления в CI job, которая бы при билде собирала все зависимости и отправляла в заранее написанный сервис, который смотрит на даты версий и если с моменты релиза либы не прошло X утвержденного времении то мы фейлим pipeline. 
Остальное останется на совести разрабов т.к все в кубере, то не очень критично.
Еще используем nexus как прокси кеш для сторонних пакетов и свой docker-registry. Вот думаю как еще можно усилить защиту.

а зачем эта джоба, если есть своё хранилище артефактов?

[Jaskier]

BassN1vrot написал Только что:

Jaskier написал 12 минут назад:

Всем привет. Такой вопрос: применяются ли какие-либо меры по безопасносте при работе с opensource решениями в ваших кампаниях?
Понятно, что универсального решения нет и все стараются уменьшать область привелегий приложений, но мб есть интересные решения которые запомнились?
У нас сейчас стоит такой вопрос  и я вот думаю в сторону добавления в CI job, которая бы при билде собирала все зависимости и отправляла в заранее написанный сервис, который смотрит на даты версий и если с моменты релиза либы не прошло X утвержденного времении то мы фейлим pipeline. 
Остальное останется на совести разрабов т.к все в кубере, то не очень критично.
Еще используем nexus как прокси кеш для сторонних пакетов и свой docker-registry. Вот думаю как еще можно усилить защиту.

а зачем эта джоба, если есть своё хранилище артефактов?

Чтобы свежие релизы opensource либ которые попали в наше хранилище пролежали там в карантине и не использовались при деплое. Сейчас у нас закрыта подгрузка в nexus и мы руками закачиваем недостающие пакеты, но так как там есть зависимости зависимостей это очень проблематично и затратно в ручную проверять. Вот появилась идея сделать своего рода временный карантин, чтобы уменьшить вероятность подхватить что-либо из свежих релизов типа такого:  https://github.com/vuejs/vue-cli/issues/7054 но понятно что решение не идельно.

[ShadesOfGrey]

фиксируете версию пакетов до конкретной версии c точностью до версии патча (желательно до релизов старше 24 февраля)

 

можно упороться и node_modules закоммитить в репу и сидеть с ними 

[Ramil]

да кто такой этот ваш экстремист нахуй 

[Jaskier]

ShadesOfGrey написал 7 минут назад:

фиксируете версию пакетов до конкретной версии c точностью до версии патча (желательно до релизов старше 24 февраля)

 

можно упороться и node_modules закоммитить в репу и сидеть с ними 

Не это слишком дорого т.к оч много проектов + на разных языках т.е помимо npm еще пакеты nuget, composer, go, maven, pypi...

Изменено 30 марта 2022 пользователем Jaskier

[BassN1vrot]

все зависимости на стенды должны из хранилища артефактов подтягиваться. Локально можно что угодно делать. Не тащить много зависимостей. Двигаться в сторону парадигмы not invented here

Изменено 30 марта 2022 пользователем BassN1vrot

[kijupsik]

Jaskier said 1 hour ago:

ShadesOfGrey said 1 hour ago:

фиксируете версию пакетов до конкретной версии c точностью до версии патча (желательно до релизов старше 24 февраля)

 

можно упороться и node_modules закоммитить в репу и сидеть с ними 

Не это слишком дорого т.к оч много проектов + на разных языках т.е помимо npm еще пакеты nuget, composer, go, maven, pypi...

 

Я конечно не эксперт, но подозреваю, что когда у тебя пакет drop table users в базу пошлёт, то выйдет дороже 

[Jaskier]

BassN1vrot написал 1 час назад:

все зависимости на стенды должны из хранилища артефактов подтягиваться. Локально можно что угодно делать. Не тащить много зависимостей. Двигаться в сторону парадигмы not invented here

 

Да согласен, но как бы ты поступил с наполнением своего хранилища, если у тебя 100+ проектов на разных языках? В ручную не вариант наверное.

 

 

kijupsik написал 1 час назад:

Jaskier написал 2 часа назад:

ShadesOfGrey написал 2 часа назад:

фиксируете версию пакетов до конкретной версии c точностью до версии патча (желательно до релизов старше 24 февраля)

 

можно упороться и node_modules закоммитить в репу и сидеть с ними 

Не это слишком дорого т.к оч много проектов + на разных языках т.е помимо npm еще пакеты nuget, composer, go, maven, pypi...

 

Я конечно не эксперт, но подозреваю, что когда у тебя пакет drop table users в базу пошлёт, то выйдет дороже 

Я тоже не эксперт, вот и интересно кто-нибудь эти процессы вообще контролирует или забивают. А если конкретно до твоего примера докопаться  

То я думал что вроде щас приложения работают от юзера без привелегийна drop (в postgres) или это всеравно не поможет? 

[kijupsik]

Да я на самом деле не знаю, так, чтобы доебаться написал, не обращай внимания) 

[CriErr]

Вариант блокировать все апдейта и откатывать до конфликта звучит адекватно.

[Just.Doit]

Jaskier написал 3 часа назад:

если у тебя 100+ проектов на разных языках?

если ты при этом не гугл и не можете себе позволить NIH то можешь вешаться чо

 

ибо развел зоопарк - ебись с ним как хочешь

вообще не иметь фикса версий это какая-то дикая шляпа

[CriErr]

Just.Doit написал 42 минуты назад:

Jaskier написал 4 часа назад:

если у тебя 100+ проектов на разных языках?

если ты при этом не гугл и не можете себе позволить NIH то можешь вешаться чо

 

ибо развел зоопарк - ебись с ним как хочешь

вообще не иметь фикса версий это какая-то дикая шляпа

А че они не могут скачать все что надо и потом подставлять свои проверенные версии ? Это тип неебисески сложно сделать? Ато Я ваще хз как это работает, ща всю жизнь 10 пакетов ставил и один раз по ошибке весь буст.

[DomikTS-]

Всем привет, хороший уголок в некогда хорошем форуме.

 

сидел тут с 2008го, потом к аккаунту доступ потерял, создал этот.

 

решил уйти и удалить аккаунт, кому будет интересно на любые темы пообщаться - добавляйтесь в телеграм - @NikoDaWixa

 

[ShadesOfGrey]

CriErr написал 10 часов назад:

Just.Doit написал 11 часов назад:

Jaskier написал 15 часов назад:

если у тебя 100+ проектов на разных языках?

если ты при этом не гугл и не можете себе позволить NIH то можешь вешаться чо

 

ибо развел зоопарк - ебись с ним как хочешь

вообще не иметь фикса версий это какая-то дикая шляпа

А че они не могут скачать все что надо и потом подставлять свои проверенные версии ? Это тип неебисески сложно сделать? Ато Я ваще хз как это работает, ща всю жизнь 10 пакетов ставил и один раз по ошибке весь буст.

Это называется лень

[Stepa_Babikov]

Привет, расскажите плиз как правильно действовать в ситуации.

Дано: 

Я - тестер( то есть особо за меня держаться не будут), зп повысили 2 месяца назад, суммарно 100к. Есть оффер в другую компанию на 250к. Но по своим причинам я не особо хочу уходить с текущего места. Как можно добиться повышения, имея на руках оффер в 2.5 раза больше, учитывая что недавно и так было повышение?