oscript-library
oscript-library copied to clipboard
EvilBeaver
безопасность распространения пакетов
пересмотрел видео с Инфостарта - один из вопросов малого зала был про возможность поставки скрипттов в скомированном виде или дополнительных dll или еще чего либо.
и в этот момент я подумал, что не все такие как мы - кто-то может попытаться распространять вредоносный код.
в связи с чем думается необходимо каким-то образом реализовать подпись пакетов или их проверку и подтверждение... или как то еще.
то есть push на хаб пакета явно не должен быть анонимным.
P.S. Задача глобальная, но требующая проработки
push на хаб сейчас вообще отсутствует. @allustin а как с этим дела обстоят в том же питоне?
читаю сейчас как раз по питону, golang и ruby - как они с этим справляются.
для chokolatey точно есть статус пакета подтвержденный/не подтвержденный автор - который устанавливают модераторы хаба пакетов
@JohnyDeath хаб по прямым управлением @EvilBeaver - поэтому это к нему вопрос.
@EvilBeaver в python, ruby и golang все пакеты поставляются как zip исходники, даже когда идут с C++ вставками. Поэтому единственное что существует - это 2 вещи:
- подпись пакетов с помощью команд типа gem cert
- https для хабов пакетов.
отдельно существую сканеры которые стоят на хабах, которые фактически проверяют пакеты на вредоносные вставки - но про них пока ничего не нашел
@allustin хаб под моим управлением просто потому, что нет времени и возможностей сделать там нормальный портал, с юзерами, с веб-мордой, с REST для push и так далее. Я думаю, ты понимаешь, что у меня нет цели оставить его насовсем в таком виде, в котором он сейчас стихийно сложился.
@EvilBeaver понимаю конечно. поэтому и смотрел что есть на эту тему. с Web порталами сейчас сложно - они так скажем все накладывают особенности от той технологии которая выбрана в качестве Web языка разработки. Поэтому меня не покидает ощущение что нужно писать Web сервера на самом языке 1Script