безопасность распространения пакетов #26
Comments
|
возможно это дополняет в том числе #13 |
|
push на хаб сейчас вообще отсутствует. @allustin а как с этим дела обстоят в том же питоне? |
|
читаю сейчас как раз по питону, golang и ruby - как они с этим справляются. для chokolatey точно есть статус пакета подтвержденный/не подтвержденный автор - который устанавливают модераторы хаба пакетов |
|
Вы же не собираетесь пропускать "закрытые" пакеты? |
|
@JohnyDeath хаб по прямым управлением @EvilBeaver - поэтому это к нему вопрос. @EvilBeaver в python, ruby и golang все пакеты поставляются как zip исходники, даже когда идут с C++ вставками. Поэтому единственное что существует - это 2 вещи:
отдельно существую сканеры которые стоят на хабах, которые фактически проверяют пакеты на вредоносные вставки - но про них пока ничего не нашел |
|
@allustin хаб под моим управлением просто потому, что нет времени и возможностей сделать там нормальный портал, с юзерами, с веб-мордой, с REST для push и так далее. Я думаю, ты понимаешь, что у меня нет цели оставить его насовсем в таком виде, в котором он сейчас стихийно сложился. |
|
@EvilBeaver понимаю конечно. поэтому и смотрел что есть на эту тему. с Web порталами сейчас сложно - они так скажем все накладывают особенности от той технологии которая выбрана в качестве Web языка разработки. Поэтому меня не покидает ощущение что нужно писать Web сервера на самом языке 1Script |
пересмотрел видео с Инфостарта - один из вопросов малого зала был про возможность поставки скрипттов в скомированном виде или дополнительных dll или еще чего либо.
и в этот момент я подумал, что не все такие как мы - кто-то может попытаться распространять вредоносный код.
в связи с чем думается необходимо каким-то образом реализовать подпись пакетов или их проверку и подтверждение... или как то еще.
то есть push на хаб пакета явно не должен быть анонимным.
P.S. Задача глобальная, но требующая проработки
The text was updated successfully, but these errors were encountered: