| 1.1, Онаним (?), 09:25, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– |
"Уязвимости в сканерах безопасности".
Смузихлёбы такие смузихлёбы.
А вообще в последнее время, когда видишь слово "Docker", становится феерично смешно. Если бы не было так грустно.
| | |
| |
| 2.3, Аноним (3), 09:54, 03/09/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Docker не про безопасность. Комментаторы на опеннете пробивают новое дно...
| | |
| |
| |
| 4.18, Аноним (18), 12:31, 03/09/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
Докер - про решение dependency hell, путем отвязывания методов сборки, доставки и запуска приложения и его окружения от особенностей хост-системы.
Как и любой инструмент, его можно использовать правильно, а можно отстрелить себе что-нибудь.
Если приложение в докере запускается от непривилегированного пользователя, в контейнер не смонтировано чувствительных каталогов ФС хоста, и образ регулярно обновляется - в случае уязвимости приложения выход из контейнера малореален, нужна критичная дыра в ядре, позволяющая любому пользователю получить рута.
А вот рут в контейнере - это практически рут на хосте.
| | |
| |
| 5.55, Аноним (-), 08:17, 04/09/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> А вот рут в контейнере - это практически рут на хосте.
user namespaces в докере не используются что ли?
| | |
| 5.68, Аноним (68), 01:46, 07/09/2020 [^] [^^] [^^^] [ответить] | +/– | Изначально-то это задумывалось не так Микросервисные приложения и все тому подо... большой текст свёрнут, показать | | |
|
| 4.30, sssss (??), 15:54, 03/09/2020 [^] [^^] [^^^] [ответить]
| –3 +/– | |
докер это про то, как сделать из линукса win xp.
чтобы не пришлось линукс осиливать
| | |
|
| 3.8, Аноним (-), 10:35, 03/09/2020 [^] [^^] [^^^] [ответить]
| +15 +/– | |
> Комментаторы на опеннете пробивают новое дно...
Cамокритично.
> Docker не про безопасность.
Software: Docker
Original author(s): Solomon Hykes
Developer(s): Docker, Inc.
https://www.docker.com/
With Docker, you get an integrated __security__ framework for delivering __safer__ applications and improving policy automation without sacrificing performance. Docker adds an __extra layer of protection___ that travels with your applications in a __secure supply chain__ that traverses any infrastructure and across the application lifecycle.
| | |
| |
| 4.48, Онаним (?), 22:19, 03/09/2020 [^] [^^] [^^^] [ответить]
| +/– | |
With our system, you get every f***ng benefit you can imagine without sacrificing any f***ng hair from you head, cutting nails, washing feet, feeding cat, whatever. Our SHIT(tm) adds so many layers of protection that you have never imagined in your life, a secure security chain that does not allow even kernel to traverse over any tiny bit in your precious big data containing milliards of visits to your ultimately(tm) necessary(tm) pages.
(of course this all is a load of utter bullshit, but who cares? don't care, drink smoothies)
| | |
|
| 3.9, Аноним (-), 10:38, 03/09/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Docker не про безопасность.
Так-так... Вы у нас девелопер-погроммист? Очень жаль... Лет 15 назад профессией программист можно было гордиться.
| | |
| |
| 4.21, Аноним (18), 12:52, 03/09/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Лет 15 назад профессией программист можно было гордиться.
1С:Предприятие был уже тогда.
| | |
| |
| 5.65, funny.falcon (?), 12:57, 04/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
Изучал программирование под 1С 8.3 . Мне понравилось. Иногда жалею, что не стал работать с ним.
| | |
|
|
|
| 2.14, Аноним (14), 11:34, 03/09/2020 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Уязвимости в сканерах безопасности образов...
Да прочитай хоть заголовок новости. А смех без причины - признак закоренелого опеннетовца.
Да, докер - это всего лишь система контейнеризации приложений, что по определению будет опаснее любой виртуальной машины.
Но вот только к чему докер здесь? Вот приходилось мне когда-то blackduck гонять. В виртуалке... Я сканировал образа докера без использования самого докера.
| | |
|
| 1.2, Аноним (2), 09:33, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– | |
>В итоге сделан вывод, что сканеры Docker-контейнеров следует запускать в изолированных окружениях
запускать сканер докера внутри докера
| | |
| |
| 2.22, Аноним (22), 13:17, 03/09/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
но с начала нужно просканировать докер для запуска сканера докера.
| | |
|
| 1.13, Аноним (13), 11:34, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Что ещё раз показывает, что дыры надо выявлять и чинить, а не оборачивать в 10 слоёв таких же дырявых "контейнеров" "песочниц" и "виртуальных машин".
| | |
| |
| 2.15, Аноним (14), 11:39, 03/09/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> дыры надо выявлять и чинить
Конечно надо! Даже при увеличении стоимости разработки в несколько раз из-за этого... Хотя... Вот я сейчас нахожусь в такой ситуации, когда просто невозможно перейти на третий питон.
А ещё у одного из моих заказчиков какой-то начальничек говорил что код надо "сразу писать правильно!". Но он вроде потом понял почему над ним не только поржали, но и цитировали потом.
| | |
| |
| 3.31, Gefest (?), 16:06, 03/09/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Увеличение ресурсопотребления в несколько раз. Но это же у юзера. Юзер стерпит (в прочем сейчас могут резко закончится деньги на апгрейды/обломаться закон Мура)...
| | |
| |
| 4.32, Gefest (?), 16:07, 03/09/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
PS Достали. Написать что ли аддон для хрома, чтобы как только процесс с вкладкой жиреет до 500 мб, он начинал этот сайт ддосить ??
| | |
| |
| 5.35, Аноним (14), 17:12, 03/09/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Ты там сверху не на тот вопрос ответил, наверное.
> PS Достали. Написать что ли аддон для хрома, чтобы как только процесс с вкладкой жиреет до 500 мб, он начинал этот сайт ддосить ??
Пиши, но без плагина можешь рразу начинать дудосить сайты аутглюка, зума и шлака.
| | |
| 5.63, НяшМяш (ok), 11:59, 04/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
 > Написать что ли аддон для хрома, чтобы [...] сайт ддосить ??
От всего сердца желаю удачи. Потому что скорее всего получится только свой комп заддосить отожранным хромом )
| | |
|
|
| 3.47, Онаним (?), 22:15, 03/09/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Вот я сейчас нахожусь в такой ситуации, когда просто невозможно перейти на третий питон
Ну вы сами себе этот язычок выбрали. Страдайте.
| | |
| 3.52, Юзер (??), 02:18, 04/09/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Даже при увеличении стоимости разработки в несколько раз из-за этого
Не экономь. За счёт. Моих. Ресурсов. Сcцука.
Пусть увеличивается стоимость разработки, 6леaть - вы ж сами работой и баблом дольше будете обеспечены, deбилы.
| | |
| |
| 4.56, Онаним (?), 09:47, 04/09/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вот кстати да, я всегда охреневаю с этих камикадзе, ратующих за уменьшение стоимости разработки.
Во-первых, это понижает общий уровень разработки - обезьянки становятся востребованнее профессионалов.
Во-вторых, говнокод в перспективе всегда оборачивается херовой тучей убытков - случаев тьма.
В-третьих, скупой/слепой/жадный всегда платит дважды, просто в других местах. ССЗБ.
| | |
|
|
| 2.20, Аноним (18), 12:34, 03/09/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Что ещё раз показывает, что дыры надо выявлять и чинить, а не оборачивать в 10 слоёв таких же дырявых "контейнеров" "песочниц" и "виртуальных машин".
Ага, запускайте все от рута, и будет вам счастье. Если вас ломанут - подайте в суд, почему дыру не выявили и не починили.
| | |
| |
| 3.25, Аноним (-), 13:58, 03/09/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
пффф. как будто вас не ломанут из под докера или виртуалки...
это может быть даже проще сделать...
экосистема какого-нить мелкого контейнера всяко проще исследовать, нежели монструозное ядро, сетевой стэк ос и тп. другой вопрос в том, что в виртуалках проще админить, бэкапить и тп.
| | |
| |
| 4.36, Аноним (14), 17:15, 03/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
Дядя, ты кагбэ вообще оторвался от реальности, или просто хороший тролль. Нужно просто инвертировать всё тобой сказанное.
| | |
|
|
|
| 1.16, анонимко (?), 12:07, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Хотите нормальной изоляции, берите тот же легковесный Alpine и вращайте на KVM.
Докер это костыль.
| | |
| |
| 2.17, Аноним (18), 12:25, 03/09/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Alpine точно не стоит. Там вместо libc здорового человека вкорячен musl, написанный крайне талантливым разработчиком. Переполнение буфера в функции printf - это надо уметь.
| | |
| |
| 3.26, Аноним (26), 14:00, 03/09/2020 [^] [^^] [^^^] [ответить]
| +6 +/– |
Вот *все* CVE на musl:
CVE-2012-2114 (5.0)
CVE-2015-1817 (7.5)
CVE-2016-8859 (7.5)
CVE-2017-15650 (7.5)
Вот CVE на glibc только за прошлый год:
CVE-2019-9169 (7.5)
CVE-2019-1010022 (7.5)
CVE-2019-1010023 (6.8)
CVE-2019-1010024 (5.0)
CVE-2019-1010025 (5.0)
И кто талантливее?
| | |
| |
| 4.42, erthink (ok), 20:57, 03/09/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Там с обеих сторон хватает талантов.
Тем не менее, в musl (пока) намного меньше кода, он (пока) сильно меньше засран слоями legacy и совместимости со всем сущим.
С другой стороны, и щиплют musl пока в разы меньше.
| | |
| |
| 5.60, Аноним (26), 11:54, 04/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
Это ж надо все роутеры и прочую эмбедовку посчитать. У меня нет таких данных. Поделись, если у тебя есть.
| | |
|
|
|
|
| 1.19, Michael Shigorin (ok), 12:33, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
 > изначально написанный с оглядкой на обеспечение безопасности
Да уж, и впрямь девляпсы -- анализатор непоймичего писать левойногой, не включая голову...
С дыркером всё стало ясно ещё после тех детских ошибок пятилетней давности в уже набирающем обороты "продукте", вылезшем там, куда не смогли добраться ovz-шники, увы.
| | |
| |
| 2.23, Аноним (-), 13:32, 03/09/2020 [^] [^^] [^^^] [ответить]
| +11 +/– | |
повторю вопрос тут, а то в оригинальной локации вы отвечать не спешите:
>>> единственными нормальными контейнерами в плане изоляции были OpenVZ-шные
>> и чем же OpenVZ-контейнеры безопасней тех, что на базе cgroups?
> Изоляцией.
поясните, пожалуйста, раз вы специалист в этом вопросе
| | |
| |
| |
| 4.58, Онаним (?), 09:50, 04/09/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Да всё нормально с OpenVZ, просто после проталкивания основной массы бэкграунда в ядро объём работы сильно подсократился, чего сами в общем-то не ожидали.
Ну и то, что понауехал, это очень хорошо. По крайней мере хватило мозгов и, главное, смелости не задерживаться там, где перспектив 0. Red Hat - местечко куда лучше.
| | |
|
|
|
| 1.28, Аноним (28), 15:39, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Кто бы сомневался.
Надо больше дырявых контейнеров, контейнеров в контейнерах. И внутри ещё снапошлаков. Вот тогда заживём.
Сначала наделают ерунды, а потом с ней героически сражаются.
| | |
| |
| 2.67, Легивон (?), 13:52, 06/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
О ужас, мы потеряли 3% производительности железа и получили 500% к скорости выпуска релиза.
Конечно, вместо контейнеров нам нужно поддерживать 20 разных способов установки ПО, какие-то 3rd party репозитории которые постоянно падают и ломают обновление всей системы.
| | |
|
| 1.44, ALex_hha (ok), 21:44, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 А почему тут все резко начали кукарекать про безопасность? Такого рода софт, как правило, запускают внутри сети и/или на ci/cd системах, куда у мамкиных хацкеров изначально не может быть доступа.
К тому же началась школа и количество активных хакеров интернете уменьшилось на 60%
| | |
| |
| 2.46, Онаним (?), 22:14, 03/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
То-то что ни девляпсная монга, то утечка.
А мужики-то и не знают, что к CI/CD системам не то, что школота, NSA не подлезет.
| | |
| 2.49, Аноним (-), 23:35, 03/09/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А почему тут все резко начали кукарекать
вот в таком виде вопрос уже достаточен
и ответ очевиден - иксперты опеннет
| | |
| 2.57, Testtest (?), 09:48, 04/09/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Я вообще удивляюсь, чего на опеннете начали кукарекать про безопасность.
Ранее тут повально были мнения от старожилов и почтенных бородачей в свитерах, что фаерволы - пустая трата времени, никто никому не нужен и никто никого ломать не будет.
Переобулся опеннет.
| | |
| 2.61, Аноним (26), 11:57, 04/09/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Такого рода софт, как правило, запускают внутри сети и/или на ci/cd системах, куда у мамкиных хацкеров изначально не может быть доступа.
Ну дык вот новость как раз о том, как он внезапно может появиться.
| | |
| |
| 3.66, ALex_hha (ok), 16:27, 05/09/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Такого рода софт, как правило, запускают внутри сети и/или на ci/cd системах, куда у мамкиных хацкеров изначально не может быть доступа.
> Ну дык вот новость как раз о том, как он внезапно может
> появиться.
Если не следить за софтом - то хацкеры внезапно могут появиться на любой системе, даже без докера
| | |
|
|
| 1.69, user455 (?), 13:46, 07/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
докер - это не про изоляцию, и не про безопасность. докер - это про то, что девелопер теперь может сам выкатывать свое приложение без помощи админа/девопса/инфраструктурного инженера и т.д.
сам может управлять лимитами ресурсов, сам может управлять балансировкой и т.д.
достаточно только написать yaml файл для клауд-хостет сверверлес кластера кубернетес.
в россии правда это пока не очень очевидно.
| | |
| |
| 2.70, ALex_hha (ok), 20:34, 08/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
> докер - это не про изоляцию, и не про безопасность. докер -
> это про то, что девелопер теперь может сам выкатывать свое приложение
> без помощи админа/девопса/инфраструктурного инженера и т.д.
> сам может управлять лимитами ресурсов, сам может управлять балансировкой и т.д.
> достаточно только написать yaml файл для клауд-хостет сверверлес кластера кубернетес.
Спасибо, но нет, спасибо. Насмотрелся на монстров от таких вот senior full stack архитекторов. Лучше пусть и дальше код пишут
| | |
|
|
