Câtă încredere mai aveți în third parties

Având în vedere treaba de mai sus plus alte incidente (unele postate și pe forum), voi mai aveți un sâmbure de încredere în third parties (package managere - nu contează care)?

Eu unul mi-am pierdut increderea. Pur și simplu descarci o bibliotecă nevinovată la prima vedere, darrrrrr un carcalac este ascus pe undeva și așteaptă momentul potrivit și apoi, booom!

Sunt conștient că există si repo-uri interne și echipe de securitate (primesc pe mail la muncă alerte de securitate când o vulnerabilitate este descoperită)care verifică fiecare lib, darrr… să zicem că tot tragi un pachet dintr-un repo public.

Discuția HN


Poate wishfull thinking și comunitatea.

1 Like

Salut,

De aia faci hardening si folosesti manageri de dependinte corect, in care pui pana si versiunea ceea mai mica.

De ex in HTML poti sa incluzi hashul librariei si te folosesti de CORS.

Din tehnici vechi, la fiecare download verifici hash-ul fisierului downloadat (site-urile bune ti le arata)

Iar la nivelul devilor, incepi sa apreciezi Git-ul sau orice sistem de versionare unde commit-urile se fac “semnate” Git - Signing Your Work

Doar ca pentru asta, inseamna un pic mai multa responsabilitate de la toata lumea implicata (binenteles, nimeni nu sharuieste acesele primite…)

2 Likes

890 votes and 237 comments so far on Reddit

pachetul ăsta este folosit în vue-cli.

O să ajungem în situații extreme, cum ar fi să… scriem cod.

noi nu folosim librarii externe decat daca n-avem de ales (adica daca efortul sa scrii tu chestia respectiva este mult/infinit mai mare decat sa incarci ceva existent care merge ok si e ce-ti trebuie).

te poti proteja in diverse moduri, dar nu total, evident.

leftpad :smiley:

Problema e că unele dintre aceste pachete externe fac parte din tooling, nu neapărat din cod…

Version locking-ul e mandatory si verificat in pipeline, toate versiunile existente sunt in Artifactory si SW360, plus verificate cu Fossology. Deci nu mai avem treaba cu ce e extern. Chiar si local la node am artifactory setat.

Dupa exista scan la imaginile de docker in AWS si scan in pipeline cu sonarqube.

Ce a ajuns softul, unelte sa controlezi uneltele folosite in business logic.

2 Likes

incredere de fapt e cum isi justifica lenea developerii