Сергей Горностаев, Фиксация по sha-хешу коммитов нужна для использования именно той версии ПО/зависимости, которую вы отрецензировали на предмет отсутствия вредоносной функциональности. Если речь идёт об условном git, то привязку к конкретной версии (тегу) автор/администратор репозитория может изменить, а хеш коммита подделать невозможно (на минуту забудем о коллизиях SHA1 и не будем принимать их во внимание).
что мешает мейнтейнеру библиотеки, которую использует полмира, засунуть в код деструктивные действия при выполнении на хосте с русским IP или локалью, сделать коммит и опубликовать новую версию, а другим мейнтенерам в своих библиотеках использовать эту новую версию?
Если речь всё ещё о репозитории серьёзных LTS-дистрибутивов, то обновлённая библиотека просто не попадёт в репозитории. Если это исправление проблемы безопасности, мейнтейнер дистрибутива вручную проанализирует и перенесёт код на ту версию, которая есть в дистрибутиве, в ином случае, наиболее вероятно, что вы на вашей версии дистрибутива просто не получите обновления библиотеки.
Вы при обновлении используемой вашей системой библиотеки просматриваете весь её код и код всех транизитивных зависимостей каждый раз?
Да, в большинстве своём, я просматриваю ченджлоги и часть изменений наиболее значимых компонентов при обновлении. Автоматически у меня происходят только обновления безопасности (здесь приходится доверять мейнтейнерам пакета/дистрибутива).
Если говорить о разработке ПО и использовании зависимостей/библиотек не из репозитория дистрибутива, то следует вести учёт всех зависимостей и использовать конкретную проаудированную (вами) версию.
Если вы полагаетесь на ПО, написанное человеком или группой, не имеющей с вами финансовых обязательств, не несущих репутационных рисков, с неизвестно у кого обладающего правами его изменения, в лицензии которого явно указано использование «как есть, без каких-либо гарантий», позволяете ему автоматически обновляться и не проводите его аудит, то не понимаю, чему здесь стоит возмущаться.
Сергей Горностаев, Шанс и раньше был высок — то тут, то там просунут, прогрузят, а то и удалят библиотеку, ух какие нехорошие, эти опенсорс-разработчики.
Фиксируйте версии по sha-хешу коммитов, зеркалируйте все зависимости. Если у вас действительно тысячи микросервисов, и вы задумались о проблеме только сейчас — вы некомпетентны.
Kenny00, Похоже на ARP Proxy.
Вы что, хотите в публичной сети хостера получить L2-связность? В публичных сетях обычно зарезают все броадкасты и мультикасты, включают L2-изоляцию, ради безопасности.
Вы задаёте совсем базовые вопросы, но в то же время хотите развернуть сеть на 300-450 ПК.
Скажите вашему работодателю правду, что вы некомпетентны в этом вопросе, и наймите профессионала. Нормально тренироваться на маленьких сетях — их легко иил даже тривиально переделать, но в сети на 300 ПК вы со своими знаниями сделаете говно.
The CA SHOULD revoke a certificate within 24 hours and MUST revoke a Certificate within 5 days if one or more of the following occurs: [...]
10. Revocation is required by the CA’s Certificate Policy and/or Certification Practice Statement;
CityCat4, ни у кого не отозвали сертификат по политическим мотивам, не вводите людей в заблуждение. Отзывали сертификаты только у организаций, которые попали в санкционный лист США.
Если вы указываете domain.com, будет ли автоматически маршрутизироваться subdomain.domain.com?
Что произойдёт, если сейчас domain.com указывает на 192.0.2.1, а через 3 минуты начинает указывать на 192.0.2.11?
Если есть domain.com, указывающий на 192.0.2.1, а также есть another.com, указывающий также на 192.0.2.1, будет ли маршрутизироваться another.com через VPN, при указании только domain.com в лист маршрутизации?
Если домены резолвятся при запуске VPN и маршрутизация выполняется по IP-адресам, то при изменении адреса в пункте 2 он перестанет маршрутизироваться, а в пункте 3 будет маршрутизироваться и another.com (хотя не должен).
4bondarenko, полагаю, что на самом деле эта настройка просто резолвит IP-адреса указанных доменов при запуске, т.е. такой метод не будет работать с доменами, на которых часто меняются IP-адреса, также не будет маршрутизировать поддомены указанных доменов.
Некоторые сервисы (не веб-сайты) поддерживают указание порта в SRV-записях DNS.
Например, для XMPP можно прописать порты: https://wiki.xmpp.org/web/SRV_Records
Alexander, ECC-то работает, вы проверяли? На подавляющем большинстве материнок и BIOS ECC не включается, при этом у вас всё будет работать, просто без ECC.
Они почти все не поддерживают ECC (работает только на конкретных материнках и конкретных версиях UEFI), а также в них встречаются вопиющие вещи вроде бипа при энумерации USB-устройств, которые требуют модификации образа UEFI — если такое на поверхности, то что можно еще найти.
Леонид, Нужен «белый» (маршрутизируемый, доступный извне) IP-адрес, но не обязательно постоянный (статический).
Также можете воспользоваться публичными серверами, или сервисами по созданию своих серверов mumble.
Если речь всё ещё о репозитории серьёзных LTS-дистрибутивов, то обновлённая библиотека просто не попадёт в репозитории. Если это исправление проблемы безопасности, мейнтейнер дистрибутива вручную проанализирует и перенесёт код на ту версию, которая есть в дистрибутиве, в ином случае, наиболее вероятно, что вы на вашей версии дистрибутива просто не получите обновления библиотеки.
Да, в большинстве своём, я просматриваю ченджлоги и часть изменений наиболее значимых компонентов при обновлении. Автоматически у меня происходят только обновления безопасности (здесь приходится доверять мейнтейнерам пакета/дистрибутива).
Если говорить о разработке ПО и использовании зависимостей/библиотек не из репозитория дистрибутива, то следует вести учёт всех зависимостей и использовать конкретную проаудированную (вами) версию.
Если вы полагаетесь на ПО, написанное человеком или группой, не имеющей с вами финансовых обязательств, не несущих репутационных рисков, с неизвестно у кого обладающего правами его изменения, в лицензии которого явно указано использование «как есть, без каких-либо гарантий», позволяете ему автоматически обновляться и не проводите его аудит, то не понимаю, чему здесь стоит возмущаться.