Уверен что никак. Чуть лучше ситуация с браузерными расширениями, но там тоже по большому счёту лажа.

Чуть лучше ситуация с браузерными расширениями, но там тоже по большому счёту лажа.

А чем лучше-то? Там мозила вот только зашевелилась. И все опять остались недовольны.

А чем лучше-то?

Тем что там есть автоматизированное тестирование в песочнице. Причём, давно и мозиллы и у гугла. Хотя, я всё равно не доверяю. Периодически защиту обходят.

За gem.

Summary of our Ruby Gem research

The RubyGems client has a «Gem Server Discovery» functionality, which uses a DNS SRV request for finding a gem server. This functionality does not require that DNS replies come from the same security domain as the original gem source, allowing arbitrary redirection to attacker controlled gem servers (aka: CVE-2015-3900).

CVE-2015-3900 allows an attacker to redirect a RubyGem client that is using HTTPS to an attacker-controlled gem server. This effectively bypasses HTTPS verification on the original HTTPS gem source allowing an attacker to force the user to install malicious/trojaned gems.

We wrote a fully functional «Gem Trojan-ing» service that demonstrates how an attacker could simply send Trojan Ruby gems transparently over the wire while the user was installing them.

Ruby gem signing is an obvious mitigation strategy for the above mentioned transport security issues. However, gem signing is not common in the Ruby gem ecosystem (not one of the top 10 gems are signed). See our blog post on how to sign gems here.

We demonstrated that even if you are using signed gems, by using CVE-2015-3900, you must be using the HighSecurity trust policy or gems can still be trojaned in transit due to a signing downgrade attack.

After getting CVE-2015-3900 fixed, we identified a bypass allowing attackers to redirect users to domains that end with the original security domain (aka: CVE-2015-4020). For example: attackercontrolledrubygems.org.

These issues affect the RubyGems client and any environment that embeds the RubyGems client. Ruby, JRuby, and Rubinius all embed the RubyGems client and are affected by CVE-2015-3900.

The mechanism for updating to a fixed version of RubyGems also uses the same vulnerable functionality we're trying to secure.

В pip наконец впилили проверку SSL сертификатов. Так что на старом питоне (< 2.7.9) он ругается, что питон старый и не умеет нормально проверять сертификаты.

Впилили, но теперь чтобы тот же Pillow поставить необходимо ключ --no-check-certificate делать.

год назад были серьезные проблемы с рубигемом в этом плане, уже не помню что конкретно, но тогда быстро исправили.

для этого нужны контейнеры и окружения

Меня больше волнует что там за код ставится. Это гораздо большая проблема которая через ssl не решается.

Отсутствует как класс.

AUR в арче тоже может дрянь какую-нить стянуть.

Безопасности никакой. Любой может наговнокодить и залить это все в репозиторий забесплатно. Отсюда делаем выводы.

Для чего? Чтобы доверять свои данные коду, который с ними хер знает что сделает?

А если я вообще пишу в интернет смотрящих демонов? Их первый хакир задудосит.

Отсюда делаем выводы.

Какие? Как теперь вообще жить? Я же уснуть не могу, мне сцыкотно.

предыдущий

снотворное и сендбоксы.

сендбоксы

Негодно, если оно должно смотреть в интернет. В лучшем случае хакир сможет использовать дыру, чтобы положить демона. В худшем у демона by design будут важные данные, которые хакир утащит.

Печаль.

Чтобы доверять свои данные коду, который с ними хер знает что сделает?

эмм, а что, читать содержимое библиотек перед их использованием нынче не модно ?

Кстати, меня вся эта установка в homepage бинарников всяких немного смущает - ведь это

1) Не Unix-way

2) Нарушается FHS

3) Не секурно

эмм, а что, читать содержимое библиотек перед их использованием нынче не модно ?

Как же я сам не додумался? Просто надо при каждом обновлении перечитывать мегабайты кода на наличие неизвестных закладок. Спасибо тебе чел, осталось только в сутках 25 часов объявить.

OPAM использует DVCS, по умолчанию качает исходники с https://github.com/ocaml/opam-repository

Ладно безопасность, лицензии хоть проверяются?

большинство либ на гите хостятся, там можно дифы читать

Я иногда так делаю, но это обезьяний труд. Тут я согласен с этим оратором: Что с безопасностью в языкоспецифичных репозиториях (pip, npm, etc)? (комментарий)

Нужны более формальные и автоматизированные методы.

Чуть лучше ситуация с браузерными расширениями

это те расширения которые открытым текстом как mozscrit.js качаются с сайтиков?
тут говорят о подмене на лету,и что проще подмены открытого текста?
и да множество провайдеров так и делают-впаривая тебе в твой файрфокс/андроид/винфон/ие при первой установке любого плагина-еще и свое дополнение...это публичные вайфай сети,почти все мобильные провайдеры,множество местных мелких провайдеров...

безопасность так и прет

Безопасности никакой. Любой может наговнокодить и залить это все в репозиторий забесплатно. Отсюда делаем выводы.

я могу нагавнокодить и залить в локальный репозитарий,и О БОЖЕ-дать ссылку на свой реп на своем локальном сайте который смотрит через белый ИП в сеть...о боже чтоже делать любой ведь может завести свой сайт и фигню творить-надо анально запретить!

даже больше-тебе повар в столовке нальет г-на в суп,и все тут-любой ведь так может сделать,ОТСЮДА ДЕЛАЕМ ВЫВОДЫ

очень интересно какие такие ВЫВОДЫ

...какойже бред вы пишите который просто абсурден сам по себе

Как же я сам не додумался? Просто надо при каждом обновлении перечитывать мегабайты кода на наличие неизвестных закладок. Спасибо тебе чел, осталось только в сутках 25 часов объявить.

беру софт,пользуюсь,приходит обновление-слепо ставлю,пользуюсь,раз в месяц поглядываю в процессы и расход трафика/структуру трафика-внезапно нашел какойто бред,начал копать гуглить-оказывается софт липовый-перестаю пользоваться софтом

и знаешь что я потерял за этот весь процесс-НИЧЕГО

и да давайте без абсурда-что теоретически в ядро завтра встроят троян ломающий процессор...ага

Новорег, ты вообще знаешь, что такое npm, pip, gem, pear, и как туда добавлять свои пакеты?

Так вот, открою секрет - это репозитории, которые продвигают сами разработчики соответствующих языков/фреймворков, и они имеют намного больше веса, чем твой унылый локалхост. И от публичных репозиториев хочется какой-никакой безопасности. Которой нет, поскольку в них проходной двор без регистрации и смс.

новорег-найс овнишь братишка

я отлетал в бан еще от самого макскома,когда ты в садик ходил

ты ничего кроме банального и очевидного сказать то не можешь,ребенок

это те расширения которые открытым текстом как mozscrit.js качаются с сайтиков?

Кто качает расширения откуда попало ССЗБ.

Всё в порядке

Если безопасность твоих данных зависит от доброй воли автора кода, у тебя её нет. Либо не обрабатывай «ценные» данные(точнее - чужим кодом, что почти ничего не меняет), либо делай это в окружении, в котором не навредить, даже если сильно хочется.