Безопасны ли репозитории AstraLinux

AlexG

New member
Сообщения
12
#1
Товарищи разработчики, пожалуйста, подскажите ответы (не нашёл их в доках):
  1. Проверяете ли код пакетов при добавлении и обновлении в вашем репозитории? Интересуют все ветки: main, contrib, non-free.
  2. Есть ли различие в проверке пакетов, которые добавляются в репозитории для CE и SE?
  3. Это ручная проверка или с помощью автоматизированных систем?
Коллеги из Alt Linux прямо говорят на форуме, что они не проверяют пакеты на наличие вредоносов в своих репозиториях. Они утверждают, что лишь следят за зависимостями и пересобирают пакеты под их хитрую систему rpm+apt.
 
Последнее редактирование:

Карл

New member
Сообщения
132
#2
я не разработчик астры, но думаю что не проверяется
тут ведь будет нарушение gpl если они не покажут исходники
 

AlexG

New member
Сообщения
12
#3
будет нарушение gpl если они не покажут исходники
Под словом "проверка" не имею в виду "сокрытие" кода.

Под "проверкой" понимаю анализ всего кода на возможные вредоносные функции (направленные против пользователей из РФ) с целью удаления этих функций или их обезвреживание при переносе пакетов из Дебиан в репозиторий Астры.
 

Карл

New member
Сообщения
132
#4
1. я даже не могу себе представить объем работ по анализу всего кода как во временном, так и денежном исчислении
2. а что значит "направленные против пользователей из РФ" - ты действительно думаешь, что в открытый софт буду добавлять код типа "если ты из РФ, то сделать чтото вредное " ?
3. патчи к коду gpl должны быть выложены в открытый доступ - а раз их нет, то значит проверка не делается или нарушают gpl
 

Montfer

New member
Сообщения
1 888
#5
1. я даже не могу себе представить объем работ по анализу всего кода как во временном, так и денежном исчислении
2. а что значит "направленные против пользователей из РФ" - ты действительно думаешь, что в открытый софт буду добавлять код типа "если ты из РФ, то сделать чтото вредное " ?
3. патчи к коду gpl должны быть выложены в открытый доступ - а раз их нет, то значит проверка не делается или нарушают gpl
да, после начала сво некоторые программисты добавляли проверку ip адреса. была даже таблица таких программ

https://www.google.com/amp/s/habr.com/ru/amp/post/656205/
 

Карл

New member
Сообщения
132
#8
ну да, полтора землекопа ненужных проектов )
хоть ктото один из известных проектов такое себе позволил ?
 

Montfer

New member
Сообщения
1 888
#9
хз, я видел таблицу, когда только начинали ее составлять. т. к. особо по гитхабам не шарюсь, для меня эти проекты были неизвестны. а насколько они популярны в it-среде, не знаю.
сейчас, насколько вижу, таблица сильно разрослась и обзавелась владками
 

Карл

New member
Сообщения
132
#10
я не увидел ничего известного опенсорсного
ну Claws Mail добавил флаг на свой сайт, не более

меня больше печалит наплевательское отношение астры к пользователям, по разным вопросам начиная от сайта (https://habr.com/ru/post/686172/); тут на форуме редко кто отвечает из них, или вон обновление выкатили для SE где "удобно" сделали прилипание курсора в fly
по этому факту уже ясно что им трудно даже за своим софтом уследить - куда уж до проверок "чужого"
 

AlexG

New member
Сообщения
12
#11
Товарищи разработки, пожалуйста, ответьте на мои вопросы. А то в этом топике уже обсуждают GPL и прилипающие курсоры, а не заданный вопрос.

------------------------------------------
патчи к коду gpl должны быть выложены в открытый доступ
Зачем упоминаете про GPL почти в каждом сообщении? Все программы, которые взяты из репозиториев Дебиана, и так находятся в открытом виде, в репозитории Астры. При чём тут вообще GPL? У Астры даже ядро изменено, есть версия "hardened", в которой код точно-точно изменён относительно публичного. И что? GPL нарушается? Нет! Перестаньте уже писать про GPL, Вы только отвлекаете от вопроса. Оффтопик.

я даже не могу себе представить объем работ по анализу всего кода как во временном, так и денежном исчислении
Проверять - это не писать с нуля. Проверка большого количества кода для нас - это уже давно не диковинка. Достаточно упомянуть про версию ядра 5.10, которую проверял институт (ИСП РАН). Работа организована, слажена, деньги на неё тратятся.

выкатили для SE где "удобно" сделали прилипание курсора в fly
Карл, Вы зря иронизируете, сравнивая угрозу от полного уничтожения информации с "прилипанием" курсора. Пожалуйста, без оффтопиков.

ну да, полтора землекопа ненужных проектов
Были поражены проекты, которые находятся в самом низу пирамиды, из которых состоят другие проекты. К примеру, Vue.js использует пакет node-ipc! Так он с февраля затирает весь диск, если запускается на сервере в РФ или Белоруссии.
 
Последнее редактирование:

Montfer

New member
Сообщения
1 888
#12
я не увидел ничего известного опенсорсного
ну Claws Mail добавил флаг на свой сайт, не более

меня больше печалит наплевательское отношение астры к пользователям, по разным вопросам начиная от сайта (https://habr.com/ru/post/686172/); тут на форуме редко кто отвечает из них, или вон обновление выкатили для SE где "удобно" сделали прилипание курсора в fly
по этому факту уже ясно что им трудно даже за своим софтом уследить - куда уж до проверок "чужого"
да, типо все вопросы решай в тп, а нет тп - мучайся сам как хочешь.
про прилипание весело получилось, да... теперь окно без рамки не хочется делать...
 

Montfer

New member
Сообщения
1 888
#13
Товарищи разработки, пожалуйста, ответьте на мои вопросы. А то в этом топике уже обсуждают GPL и прилипающие курсоры, а не заданный вопрос.

------------------------------------------


Зачем упоминаете про GPL почти в каждом сообщении? Все программы, которые взяты из репозиториев Дебиана, и так находятся в открытом виде, в репозитории Астры. При чём тут вообще GPL? У Астры даже ядро изменено, есть версия "hardened", в которой код точно-точно изменён относительно публичного. И что? GPL нарушается? Нет! Перестаньте уже писать про GPL, Вы только отвлекаете от вопроса. Оффтопик.



Проверять - это не писать с нуля. Проверка большого количества кода для нас - это уже давно не диковинка. Достаточно упомянуть про версию ядра 5.10, которую проверял институт (ИСП РАН). Работа организована, слажена, деньги на неё тратятся.



Карл, Вы зря иронизируете, сравнивая угрозу от полного уничтожения информации с "прилипанием" курсора. Пожалуйста, без оффтопиков.



Были поражены проекты, которые находятся в самом низу пирамиды, из которых состоят другие проекты. К примеру, Vue.js использует пакет node-ipc! Так он с февраля затирает весь диск, если запускается на сервере в РФ или Белоруссии.
разрабов тут нет, никто тебе не ответит.
если успокоит, то перед добавлением в репу идет проверка на совместимость
 

Карл

New member
Сообщения
132
#14
К примеру, Vue.js использует пакет node-ipc! Так он с февраля затирает весь диск, если запускается на сервере в РФ или Белоруссии.
и к чему это привело ? "В репозитории node-ipc сейчас происходит драма, автор удаляет комментарии, а пользователи GitHub ищут ПО, использующее этот пакет." https://habr.com/ru/news/t/656219/

интересно и как так весь диск затирается, если сервер обычно под пользователем www-data работает

а пока ждем ответа разработчика, можем и поговорить )
 

oko

New member
Сообщения
1 052
#15
to all
Primo, сам по себе прецедент вставки пусть и призывов или иной "левой" функции в opensource-проекты заставляет задуматься о других векторах атак. С другой стороны, чего ждать от софта, который пилят энтузиасты и проверяют такие же энтузиасты сообщества? Как говорится, софт предоставлен "as is" - все остальное проблемы эксплуатантов...
Secundo, анализировать ручным методом каждый патч или весь исходник - это, конечно, нереально. Но есть готовые средства автоматизации такого процесса (как минимум статические/динамические анализаторы кода на предмет выявления уязвимостей + песочницы по методу "черного ящика" + сравнение КС между пакетом из репозитория и пакетом, собранным вручную из исходников и т.д.)...
Tertio, если в ОС, имеющей все сертификаты всех наших регуляторов по максимальным классам защиты (SE-редакция), внезапно появятся библиотеки/пакеты/файлы/функции, не относящиеся к заявленному функционалу (особенно, в части защиты информации) пусть и без явного вреда, - полетят головы. Конечно, возможны варианты "прикрытия мягких мест", но, imho, внимание к ALSE сейчас слишком пристальное, чтобы халявить...
Quatro, к CE-редакции предыдущий пункт рассуждений, разумеется, не относится. Вообще не понимаю, как сейчас ее можно юзать при условии, что реализация (разработка, сопровождение, продажа и т.д.) данной ОС фактически заморожено и все изменения носят скорее косметический характер...
Last, с недавних пор РБТ даже инфу об устранении конкретных уязвимостей в ALSE в общем доступе не публикует. Также модуль экстрасенсорики подсказывает, что в части соблюдения GPL и иных международных соглашений все повторяет небезызвестную ситуацию с МСВС (что на текущий момент, imho, оправдано, учитывая сложившуюся международную ситуацию). Поэтому ждать ответов на подобные вопросы конкретно на форуме (да и от техподдержки, т.е. не от руководства РБТ), imho, бессмысленно...
 

Карл

New member
Сообщения
132
#16
С другой стороны, чего ждать от софта, который пилят энтузиасты и проверяют такие же энтузиасты сообщества? Как говорится, софт предоставлен "as is" - все остальное проблемы эксплуатантов...
так ведь "as is" весь софт тут и есть - как дебиана так и астры )
или венда (которая не "as is" ) за чтото отвечает перед пользователем ? )
 

oko

New member
Сообщения
1 052
#17
to Карл
Если юр.лицо (компания-разработчик, корпорации и т.п.) просит денег за свое поделие пусть даже с припиской "as is", с нее можно стребовать контрибуцию в случае невыполнения обязательств, нарушения безопасности по вине ее софта и т.д. Долго, муторно, сложно, но можно. И, что важно, юр.лицо тем самым рискует оное лицо потерять, что неизменно скажется и на продажах, и на прибыли...
А вот к автору opensource pet-проектной либы (под GPL ли, под Apache ли, да хоть под BSD лицензию), которую он пилит в свободное время и выкладывает на тот же github и которую всякие дебилы/лентяи-разработчики тянут в такие же opensource-проекты, в результате чего в солидной конторе принтер начинает плеваться листами с надписью "Руки прочь от ...!!!" - претензий вообще не предъявишь. Разве что найти лично и морду набить. Аналогичная ситуация с сообществом подобных энтузиастов - разница только в глубине поисков нужной для бития морды, ага...

ЗЫ Впрочем наш СВОшный год наглядно доказал: договоренности = пшик, доверия ни к кому никогда нет, человек человека люпусом ест. Невзирая на бесчисленные попытки последних столетий в гуманность/законность/прочее. Поздравляю, товарищи, мы (человечество в целом) не только от "короны" по-быстрому избавились, но и обратно к феодализму вернулись...

ЗЗЫ Меня всегда другое поражало: неужто народ ожидал чего-то другого? Как в контексте международных отношений, так и в контексте разработки и использования ПО? Внезапно как с луны свалились: ой, оказывается, в opensource может быть вредоносный код; оказывается, авторы различного ПО - не беспристрастные единороги, блюющие радугой; оказывается, любой компонент нужно заранее проверять самостоятельно (или хотя бы взвешивать риски для себя) перед употреблением. Как дети малые, право слово...
 

oko

New member
Сообщения
1 052
#19
to Карл
Вывод всегда зависит от ситуации и условий: "чисто для себя" можно любой софт юзать, если фактические риски отсутствуют. А вот лепить что-то невнятное и непроверенное в подсистему управления критическими процессами - это надо быть либо очень смелым, либо очень глупым...
imho, дома 21 Мяту обновлять начал только в июле, предварительно собрав статистику по открытым источникам, об отсутствии явных выявленных "подарочков". А рабочие Debian исключительно в части патчей в openssl и прочих критичных сервисах, доступных извне. И то каждый раз внимательно читаю release notice, ага...
 

Карл

New member
Сообщения
132
#20
А вот лепить что-то невнятное и непроверенное в подсистему управления критическими процессами - это надо быть либо очень смелым, либо очень глупым...
ты может не поверишь, но именно астра вызывает у меня именно эти чувства