«Ростелеком» открыл общий доступ к репозиторию безопасного свободного ПО

Вообще, может и прилететь :-)

Хороший вопрос. Ну как бы подразумевается, что возможность закладок в зарубежном проприетарном софте уже осознали, да часть его легально в России уже и не купишь. А вот осмысливать вопрос «как подходить к опенсорсу» начали только сейчас.

Но такой ресурс нужен сообществу, и создать его задача сообщества

Я сомневаюсь что нынешнее российское сообщество вообще в состоянии создать такой ресурс, без поддержки организаций. Я уж не говорю о желании, учитывая, на текущий момент, модные настроения, разработчики предпочтут остаться на гитхаб(до поры до времени)/гитлаб/etc. В прочем может я сгущаю краски, как всегда. Просто верится с трудом.

В данном вопросе свободный и проприетарный софт находятся на одном уровне. Ибо то что ик открыт, ещё не гарантирует его безопасность.

не прилетит в обновлении встроенная малварь,

Вообще, может и прилететь :-)

Процент вероятности такого прилёт аналогичен прилёту в свободный софт.

Open Source стало небезопасно из-за возможных закладок в нем.

Загрузить дистрибутив nexus oss

Мне от имени «ростелекома» только мошенники звонят «по поводу интернета». А сам Ростелеком как-то протянуть оптику ко мне в частный сектор не удосужился. Я узнавал, были в свое время попытки обинтернетить наше замкадье. Ну ничего, другие постарались.

штука нужная. но дизайн говна

--А зачем на кремлевской стене зубцы? --Что бы гады не лезли. --А гады оттуда или отсюда?

(с) старый советский анекдот

Или что это за наброс?

Так уже года полтора есть эта тема про «закладки».

Обычно имеется в виду наличие в README эмодзи с флагом одного братского народа и призывы к сохранению его государственности.

Видел несколько постов на хабре, где именно это и называли «закладками».

Действительно, такое небезопасно в наше-то время.

Насколько я понимаю, автор новости (на cnew) ничего не понял

Ростелеком подготовил инструкцию по развертыванию собственного репозитория на базе nexus. А вовсе не то, о чем написано в новости

«Ростелеком» создал доверенный репозиторий открытого кода.

Доверять я ему должен просто потому, что Ростелеком обещает?

Не, я лучше из аппстора накачу, АНБшные закладки хотя бы battle-tested десятилетиями, а не вот этот вот васяно-репозиторий!

накати что-нибудь из этого списка: https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9-jSpQ/edit

Погодите-ка, что-то тут не то. Репа хранит только артефакты. То есть, предполагается, что за меня софт откуда-то скачали, проверили и собрали. И отдали мне нечто уже собранное. И зачем мне какие-то бинарные кирпичи, да еще и без отчета о проведенном (может быть?) анализе на безопасность?

Как бы, если есть условный git-репозиторий с исходниками, и в каждой репе лежит отчет о результатах проверки их подсистемой выявления угроз, то это было бы интересно. Типа сам решай, аффектят тебя те угрозы или нет.

А так, панимаш,

Вызывает антирес
И такой еще разрез:
Как у вас хранят исходик,
С задней дверью али без? 

Когда чел добавил в npm какой-то недовирос с WITH-LOVE-FROM-AMERICA, эта фигня прилетела даже в игровой движок Unity :)

Оппа, то есть результат - в виде только артефактов? Нет чтобы подписать коммит в оффициальной репе.

Наверное, имелось в виду, что в том числе и из опенсорса с гитхаба прилететь может неприятное. Но читается кринжово, да :)

Я понимаю, почему журналисты пишут всякую фигню, потому что они не разбираются в предметной области. Но я разочарован этой новостью на LOR. Тут-то все распальцованные и делают вид что в программировании разбираются. Почему же тогда не переписали новость человеческим языком?

«репозиторий» в данном случае это программа или сервис? Или и то и другое? Если программа, то под какой она лицензией? Если сервис, то какие у него условия использовая (есть ли бесплатные тарифы и что на них доступно).

https://habr.com/en/news/743618/
«Доступ к репозиторию «РТК-Феникс» предоставляется юрлицам РФ по отдельному запросу в «РТК-Солар».»

Вызывает антирес

Постеснялся хоть посла б!..
Аль совсем башкой ослаб?..
Где бы что ни говорили –
Все одно сведёт на баб хаб!

Собственно это понятно уже потому, что вам дают ЭЦП, а не вы даете им свой публичный ключ, …

В СКБ Контур можно даже получить сертификат для неизвлекаемого аппаратного приватного ключа на Rutoken ECP 2/3

По сайту сложилось впечатление, что это платный магазин предсобранных свободных библиотек. Госам и военке может быть и норм, но хотелось увидеть именно что местный мини-гитхаб.

Что мешает заложить туда какую нибудь хрень? А что мешает курдским разработчикам заложить говна для турецких пользователей? А еще кому то против кого то?

Напрасно иронизируете, проблема реальная. И коммерческие вендоры, которые вроде как отвечают за свой код, тоже за этим следят, чтобы туда не навалили какой нибудь параши

Видели мы эти убогие Astra и тому подобные Alt-ы (маленький сосет у большого)

исходники своих пакетов скажут приносить на CD-R дисках

Что за мракобесие. Исходники должны быть распечатаны на а4, times new roman 14.

Нашёл что-то про «цифровой концлагерь» и «число зверя», что дальше?

«Лествицу» Иоанна Лествичника, в кратком изложении - на первое время будет достаточно. И книжечку Иоанна Крестьянкина, на первое время тоже хватит.

Теперь заживем…

Так ужеж давно зажили))

У Ростелекома пока что самый качественный Интернет в России. У других провайдеров 100Мбит/с за дорого да и ещё по серому айпи. Ростелеком предлагает 300Мбит/c (самый нищебродский тариф) по оптике, а у конкурентов в трижды дорого по витой паре.

инструкция по установке мощь. кто-нибудь, расскажите ртк про существование докера.

У Ростелекома пока что самый качественный Интернет в России.

С безальтернативным PPPoE самый качественный?) даром такой не нужен.

Если нужны несколько мегабит-гигабит недорого - МТС, дороже и качественней - ЭР-Телеком.

еще ртк может самостоятельно перенастраивать тебе роутер, периодически сбрасывать проброс портов и вообще его настройки, белый статический ип стоит денег и я что-то не припомню тарифов 450р за 100мбит без тв и прочей ненужной мишуры.

эр телеком поскупал в городе всех провайдеров и превратил их в себя, забрал все выданные белые статические ип и вроде как по слухам хочет их за платно предлагать. я в полном афигении был когда они мне с серваком такое провернули, сменив посреди рабочего дня ип. на пол дня работа встала.

снимает твою телеметрию

Ахтунг, Терминаторы в чяте!

сменив посреди рабочего дня ип.

Почти у всех крупных провайдеров такое, особенно с физиками, МТС за 10 лет дважды у меня забирал белый статический ип и два раза поменял без предупреждения, при том что он всё время платный.

Дык коммит подписать и логи статического анализатора приложить любой поц может. А у них же там гранты, бюджеты...

А что мешает курдским разработчикам заложить говна для турецких пользователей?

Звучит как известная история про биолаборатории.

Напрасно иронизируете

Совсем даже не иронизирую, своими глазами видел. Думаю, этот позор и сейчас на хабре висит.

И коммерческие вендоры, которые вроде как отвечают за свой код, тоже за этим следят, чтобы туда не навалили какой нибудь параши

А еще и сами специально наваливают, судя по феерической истории про CryptoAG :)

еще ртк может самостоятельно перенастраивать тебе роутер, периодически сбрасывать проброс портов и вообще его настройки

Я ещё в 2012 году отключил им эту функцию, даже телеметрию им обрубил. Не актуально. К тому же как они будут это делать если у тебя свой маршрутизатор?

белый статический ип стоит денег

Белый айпи всегда был по дефолту ещё со времён ADSL. Статик айпи в 95% случаев не нужен.

С безальтернативным PPPoE самый качественный?) даром такой не нужен.

Я не понял что вы написали. Что не так с PPPoE? Это просто коннект к провайдеру.

Если нужны несколько мегабит-гигабит недорого - МТС

Связываться с опсосами себе дороже.

Что не так с PPPoE?

Лишнее ненужное, создающее проблемы из-за MTU меньше 1500.

Связываться с опсосами себе дороже.

Ростелекома тоже опсос, МТС хотябы изображает бурную деятельность при обращении в техподдержку, а Ростелеком может вообще не реагировать месяцами )

Лишнее ненужное, создающее проблемы из-за MTU меньше 1500.

Юзаю всю жизнь, никаких проблем не встречал. Даже, честно говоря, не знаю какие ему альтернативы есть и зачем они нужны когда PPPoE работает.

А, те самые, которые были эвакуированы с материалами и документами? Там просто таблетки от простуды делали, это очевидно. Примерная защита интеллектуальной собственности

ну кого интересует что ты там что-то обрубил. по дефолту это все является геморроем, в который нужно вкладываться по времени и средствам. коробочку они свою дают, которую надо им как-то запретить перенастраивать или покупать свою, что является дополнительным геморроем и расходами. теперь объясни зачем мне вкладываться в подключение к такому провайдеру, который помимо довольно высоких тарифов еще и заставляет покупать дополнительное оборудование, которое потом уже будет проблемно спихнуть?

а тут еще поговаривают про проблемы с впнами и блокировки впереди паровоза, перехваты днс запросов и другие ништяки, которые заставляют пользоваться DoH поверх впна в германию.

вот объясните мне зачем в это ввязываться? я не блонда, мне нужна нормальная связь за которые деньги платятся, а не постить сторисы в вк со «входом в интернет» по логину паролю или еще чего-нибудь там такое.

Обычно имеется в виду наличие в README эмодзи с флагом одного братского народа и призывы к сохранению его государственности.

Видел несколько постов на хабре, где именно это и называли «закладками».

Действительно, такое небезопасно в наше-то время.

В нескольких библиотеках/утилитах были внедрены закладки, которые пытаются удалять файлы, если считают, что на компьютере русская локаль. Или делают какую-нибудь дичь, типа выкидывания идиотских попапов с матными лозунгами, проигрывания гимна одной страны, и т.д.

Многие из них - полумаргинальные васянские поделки, но не все. Было подобное и в довольно распространённых библиотеках.

И это только обнаруженные штуки. Некоторым так башню сорвало, что ожидать можно чего угодно.

Так что проблема не надуманная, а вполне реальная.

Юзаю всю жизнь, никаких проблем не встречал.

Вместе с заявлением:

Статик айпи в 95% случаев не нужен.

понятно, что самое простое юзанье, так проблем можно и не замечать.

Даже, честно говоря, не знаю какие ему альтернативы есть и зачем они нужны когда PPPoE работает.

Альтернатива - отсутствие всяких туннелей, ethernet подключение и всё, IPoE как это называют некоторые.

по дефолту это все является геморроем, в который нужно вкладываться по времени и средствам

Вы сами должны понимать, что 99% пользователей являются нубами, у которых может что-то сломаться. Делается это только поэтому, а не потому что они хотят вас лично потрахать.

они свою дают, которую надо им как-то запретить перенастраивать или покупать свою, что является дополнительным геморроем и расходами.

Если вы не быдло, то вам придётся по любому покупать свой нормальный маршрутизатор и настраивать его как угодно. Для GPON можно попросить у провайдера самый простой девайс (вот такой например), который будет работать как GPON-розетка. На входе SC/APC оптика, а на выходе гигабитный ethernet кабель, который идёт в маршрутизатор. Коннект через PPPoE. Никакой телеметрии и удалённого доступа.

теперь объясни зачем мне вкладываться в подключение к такому провайдеру

Потому что в 3 раза дешевле. Другие провайдеры требуют за 200 Мбит 1.5к рублей в месяц и это у них потолок. Ещё заплати им отдельно за белый айпи или будешь за NAT-ом.

еще и заставляет покупать дополнительное оборудование, которое потом уже будет проблемно спихнуть

Тебе по любому нужно будет дополнительное оборудование. Потому что комбинированные девайсы вроде GPON медиаконвертер + маршрутизатор - это слишком блоатварно, но для быдла сойдёт. Лучше дешевый GPON медиаконвертер (за 1,5к) и свой маршрутизатор.

Другие провайдеры требуют за 200 Мбит 1.5к рублей в месяц и это у них потолок.

Это где, Анадырь?) Я далеко не в Москве, но 200мбит в три раза дешевле. Белый айпи от 50 до 150 руб. в мес.

понятно, что самое простое юзанье, так проблем можно и не замечать.

У меня дома стоит свой личный сервер для личных нужд. На роутере проброшена хренова туча портов. Так что на практике обычным пользователям (не хостингам с кучами серверов) он не нужен. Можно конечно иметь, если прям очень сильно хочется чтобы уж точно не было НИ ЕДИНОГО РАЗРЫВА.

Альтернатива - отсутствие всяких туннелей, ethernet подключение и всё, IPoE как это называют некоторые.

Вот только сейчас пошёл гуглить что это. На 3х провайдерах для которых я настраивал роутер, везде было PPPoE. Не юзал, сказать ничего не могу. Наверное нужность такая же как и у IPv6.

Это где, Анадырь?) Я далеко не в Москве, но 200мбит в три раза дешевле. Белый айпи от 50 до 150 руб. в мес.

Значит повезло. В моём регионе все провайдеры кроме Ростелекома - нищеброды в плане коммуникаций, а требуют платы как за золотые провода.

У Ростелекома пока что самый качественный Интернет в России. У других провайдеров 100Мбит/с за дорого да и ещё по серому айпи. Ростелеком предлагает 300Мбит/c (самый нищебродский тариф) по оптике, а у конкурентов в трижды дорого по витой паре.

Mon chere, это был сарказм, я полагаю? Потому как, я не знаю, как где, но в Санкт-Петербурге, на Разъезжей улице, в 100 метрах от офиса ростелекома, данная компания предлагает как раз 100 мегабит по… кабельному модему. И иначе -никак. А вот пчелайн как раз выдает 300 и дешевле :) Я могу еще накидать примерчиков, ежели есть желание