Перейти к публикации
  • Сейчас на странице   Всего пользователей: 1   (0 пользователей, 1 гость)

Rooster

Программирование[11]

var  

284 пользователя проголосовало

У вас нет прав на голосование в этом опросе, или на просмотр результатов опроса. Пожалуйста, войдите или зарегистрируйтесь для голосования в опросе.

Рекомендованные сообщения

Привет, или маленькие любители экстремизма (осуждаю) 

Поделиться сообщением


Ссылка на сообщение
(изменено)

экстремист_номер_1
экстремист_номер_2

meta

дефрель лейтенант фсб

игил
талибан
фбк
навальный
гитлер

не, ну форумом знатный клоун заведует


Изменено пользователем BassN1vrot

Поделиться сообщением


Ссылка на сообщение

Форум в рамках закона :teplolampovo:

Поделиться сообщением


Ссылка на сообщение

Я даже не понимаю троллите вы, или все реально так.

iMbanana и coNNNon понравилось это

ward написал 04.01.2022 в 02:54:

Hades для стада долбоебичей которые прокликивали Дэш и думали ебать они в артхаузнвй рогалик играют, не такие как все.

mazt3r написал 20.09.2019 в 11:27:

ласт оф ас - хуета для лисят и прочих мальчиков с вагиной между ног.

 

Поделиться сообщением


Ссылка на сообщение

Всем привет. Такой вопрос: применяются ли какие-либо меры по безопасносте при работе с opensource решениями в ваших кампаниях?
Понятно, что универсального решения нет и все стараются уменьшать область привелегий приложений, но мб есть интересные решения которые запомнились?
У нас сейчас стоит такой вопрос  и я вот думаю в сторону добавления в CI job, которая бы при билде собирала все зависимости и отправляла в заранее написанный сервис, который смотрит на даты версий и если с моменты релиза либы не прошло X утвержденного времении то мы фейлим pipeline. 
Остальное останется на совести разрабов т.к все в кубере, то не очень критично.
Еще используем nexus как прокси кеш для сторонних пакетов и свой docker-registry. Вот думаю как еще можно усилить защиту.

Поделиться сообщением


Ссылка на сообщение
Jaskier написал 10 минут назад:

Всем привет. Такой вопрос: применяются ли какие-либо меры по безопасносте при работе с opensource решениями в ваших кампаниях?
Понятно, что универсального решения нет и все стараются уменьшать область привелегий приложений, но мб есть интересные решения которые запомнились?
У нас сейчас стоит такой вопрос  и я вот думаю в сторону добавления в CI job, которая бы при билде собирала все зависимости и отправляла в заранее написанный сервис, который смотрит на даты версий и если с моменты релиза либы не прошло X утвержденного времении то мы фейлим pipeline. 
Остальное останется на совести разрабов т.к все в кубере, то не очень критично.
Еще используем nexus как прокси кеш для сторонних пакетов и свой docker-registry. Вот думаю как еще можно усилить защиту.

а зачем эта джоба, если есть своё хранилище артефактов?

Поделиться сообщением


Ссылка на сообщение
BassN1vrot написал Только что:
Jaskier написал 12 минут назад:

Всем привет. Такой вопрос: применяются ли какие-либо меры по безопасносте при работе с opensource решениями в ваших кампаниях?
Понятно, что универсального решения нет и все стараются уменьшать область привелегий приложений, но мб есть интересные решения которые запомнились?
У нас сейчас стоит такой вопрос  и я вот думаю в сторону добавления в CI job, которая бы при билде собирала все зависимости и отправляла в заранее написанный сервис, который смотрит на даты версий и если с моменты релиза либы не прошло X утвержденного времении то мы фейлим pipeline. 
Остальное останется на совести разрабов т.к все в кубере, то не очень критично.
Еще используем nexus как прокси кеш для сторонних пакетов и свой docker-registry. Вот думаю как еще можно усилить защиту.

а зачем эта джоба, если есть своё хранилище артефактов?

Чтобы свежие релизы opensource либ которые попали в наше хранилище пролежали там в карантине и не использовались при деплое. Сейчас у нас закрыта подгрузка в nexus и мы руками закачиваем недостающие пакеты, но так как там есть зависимости зависимостей это очень проблематично и затратно в ручную проверять. Вот появилась идея сделать своего рода временный карантин, чтобы уменьшить вероятность подхватить что-либо из свежих релизов типа такого:  https://github.com/vuejs/vue-cli/issues/7054 но понятно что решение не идельно.

Поделиться сообщением


Ссылка на сообщение

фиксируете версию пакетов до конкретной версии c точностью до версии патча (желательно до релизов старше 24 февраля)

 

можно упороться и node_modules закоммитить в репу и сидеть с ними 

Поделиться сообщением


Ссылка на сообщение

да кто такой этот ваш экстремист нахуй :megaffuu:

GoldRobot и sonac понравилось это

javascript:void(0);

Поделиться сообщением


Ссылка на сообщение
(изменено)
ShadesOfGrey написал 7 минут назад:

фиксируете версию пакетов до конкретной версии c точностью до версии патча (желательно до релизов старше 24 февраля)

 

можно упороться и node_modules закоммитить в репу и сидеть с ними 

Не это слишком дорого т.к оч много проектов + на разных языках т.е помимо npm еще пакеты nuget, composer, go, maven, pypi...


Изменено пользователем Jaskier

Поделиться сообщением


Ссылка на сообщение
(изменено)

все зависимости на стенды должны из хранилища артефактов подтягиваться. Локально можно что угодно делать. Не тащить много зависимостей. Двигаться в сторону парадигмы not invented here


Изменено пользователем BassN1vrot

Поделиться сообщением


Ссылка на сообщение
Jaskier said 1 hour ago:
ShadesOfGrey said 1 hour ago:

фиксируете версию пакетов до конкретной версии c точностью до версии патча (желательно до релизов старше 24 февраля)

 

можно упороться и node_modules закоммитить в репу и сидеть с ними 

Не это слишком дорого т.к оч много проектов + на разных языках т.е помимо npm еще пакеты nuget, composer, go, maven, pypi...

 

Я конечно не эксперт, но подозреваю, что когда у тебя пакет drop table users в базу пошлёт, то выйдет дороже 


65881.png

Поделиться сообщением


Ссылка на сообщение
BassN1vrot написал 1 час назад:

все зависимости на стенды должны из хранилища артефактов подтягиваться. Локально можно что угодно делать. Не тащить много зависимостей. Двигаться в сторону парадигмы not invented here

 

Да согласен, но как бы ты поступил с наполнением своего хранилища, если у тебя 100+ проектов на разных языках? В ручную не вариант наверное.

 

 

kijupsik написал 1 час назад:
Jaskier написал 2 часа назад:
ShadesOfGrey написал 2 часа назад:

фиксируете версию пакетов до конкретной версии c точностью до версии патча (желательно до релизов старше 24 февраля)

 

можно упороться и node_modules закоммитить в репу и сидеть с ними 

Не это слишком дорого т.к оч много проектов + на разных языках т.е помимо npm еще пакеты nuget, composer, go, maven, pypi...

 

Я конечно не эксперт, но подозреваю, что когда у тебя пакет drop table users в базу пошлёт, то выйдет дороже 

Я тоже не эксперт, вот и интересно кто-нибудь эти процессы вообще контролирует или забивают. А если конкретно до твоего примера докопаться :razumist: 

То я думал что вроде щас приложения работают от юзера без привелегийна drop (в postgres) или это всеравно не поможет? 

Поделиться сообщением


Ссылка на сообщение

Да я на самом деле не знаю, так, чтобы доебаться написал, не обращай внимания) 


65881.png

Поделиться сообщением


Ссылка на сообщение

Вариант блокировать все апдейта и откатывать до конфликта звучит адекватно.

Поделиться сообщением


Ссылка на сообщение
Jaskier написал 3 часа назад:

если у тебя 100+ проектов на разных языках?

если ты при этом не гугл и не можете себе позволить NIH то можешь вешаться чо

 

ибо развел зоопарк - ебись с ним как хочешь

вообще не иметь фикса версий это какая-то дикая шляпа


 

очень крутые котейки

RqvSzvr.png


Кому-то пизды дал - нужно сделать скрин обязательно. (с) Solo

Поделиться сообщением


Ссылка на сообщение
Just.Doit написал 42 минуты назад:
Jaskier написал 4 часа назад:

если у тебя 100+ проектов на разных языках?

если ты при этом не гугл и не можете себе позволить NIH то можешь вешаться чо

 

ибо развел зоопарк - ебись с ним как хочешь

вообще не иметь фикса версий это какая-то дикая шляпа

А че они не могут скачать все что надо и потом подставлять свои проверенные версии ? Это тип неебисески сложно сделать? Ато Я ваще хз как это работает, ща всю жизнь 10 пакетов ставил и один раз по ошибке весь буст.

Поделиться сообщением


Ссылка на сообщение

Всем привет, хороший уголок в некогда хорошем форуме.

 

сидел тут с 2008го, потом к аккаунту доступ потерял, создал этот.

 

решил уйти и удалить аккаунт, кому будет интересно на любые темы пообщаться - добавляйтесь в телеграм - @NikoDaWixa

 


Найди себе дело по душе и ты не будешь работать ни одного дня в своей жизни

Поделиться сообщением


Ссылка на сообщение
CriErr написал 10 часов назад:
Just.Doit написал 11 часов назад:
Jaskier написал 15 часов назад:

если у тебя 100+ проектов на разных языках?

если ты при этом не гугл и не можете себе позволить NIH то можешь вешаться чо

 

ибо развел зоопарк - ебись с ним как хочешь

вообще не иметь фикса версий это какая-то дикая шляпа

А че они не могут скачать все что надо и потом подставлять свои проверенные версии ? Это тип неебисески сложно сделать? Ато Я ваще хз как это работает, ща всю жизнь 10 пакетов ставил и один раз по ошибке весь буст.

Это называется лень

Поделиться сообщением


Ссылка на сообщение

Привет, расскажите плиз как правильно действовать в ситуации.

Дано: 

Я - тестер( то есть особо за меня держаться не будут), зп повысили 2 месяца назад, суммарно 100к. Есть оффер в другую компанию на 250к. Но по своим причинам я не особо хочу уходить с текущего места. Как можно добиться повышения, имея на руках оффер в 2.5 раза больше, учитывая что недавно и так было повышение?

Поделиться сообщением


Ссылка на сообщение

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Восстановить форматирование

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...

×
×
  • Создать...