TERMINAL_STUFF Telegram 2880
tgoop.com » United States » نوشته‌های ترمینالی » Telegram web » Post 2880
نوشته‌های ترمینالی
نوشته‌های ترمینالی
آسیب‌پذیری های نرم‌افزارها این روزها همچنان ادامه داره روز ۲۹ مارچ یه آسیب‌پذیری روی xz کشف شده، ولی تفاوتش با آسیب‌پذیری های معمولی اینه که این، به شکل عمدی توی نرم‌افزار توسط یکی از maintainer ها با ۲ سال سابقه جاگذاری شده. این خیلی ترسناک می‌کنه قضیه رو،…
به بهونه این آسیب‌پذیری: این آسیب‌پذیری از نوع زنجیره تامین یا همون supply chain attack هست، یعنی شما برنامه sshتون که در تماس با بیرونه مشکلی نداره، ولی از یه کتابخونه استفاده می‌کنه (باهاش dynamic link شده) که اون کتابخونه مشکل داره، حالا این باعث میشه که نرم‌افزار شما آسیب‌پذیر بشه.

برای همین نیازه که به عنوان کاربر و ادمین سیستم، نرم‌افزار‌هایی که نصب میکنیم و مخصوصا نیازمندی‌هاشون رو با دقت انتخاب کنیم و هرچیزی رو نصب نکنیم
و به عنوان توسعه دهنده سیستم سعی کنیم از کتابخانه ها و به طور کلی dependency هایی استفاده کنیم که واقعا بهشون نیاز داریم. هر کدوم از نیازمندیهای ما میتونن دچار چنین مشکلی بشن و کاربران ما رو تو خطر بندازن. داستان xz به خاطر یک شانس واقعا بود که زود کشف شد، ممکن بود مدتها کشف نشه، علاوه بر اینکه این ابزار فوق‌العاده پرکاربرد و امتحان شده بود. اگر از یک کتابخونه که کمتر استفاده شده‌س استفاده می‌کنیم واقعا داریم ریسک می‌کنیم!

نکته آخر هم اینکه حتی اگر سورس کد رو خوندیم و امنه، بازم به معنی امنیت نرم‌افزار نیست، چون وقتی ما binary ش رو دانلود میکنیم تضمینی نیست که همون سورس کد کامپایل شده باشه. تو این مورد یه دیتای تست مخرب، در زمانی که تست‌ها اجرا میشد می اومد فایلها رو دستکاری میکرد. هم خلاقانه هم ترسناک.

https://en.m.wikipedia.org/wiki/Supply_chain_attack
Wikipedia
Supply chain attack
cyber-attack that seeks to damage an organization by targeting less-secure elements in the supply network
www.tgoop.com/terminal_stuff/2880
1.0K views



tgoop.com/terminal_stuff/2880
Create:
Last Update:

به بهونه این آسیب‌پذیری: این آسیب‌پذیری از نوع زنجیره تامین یا همون supply chain attack هست، یعنی شما برنامه sshتون که در تماس با بیرونه مشکلی نداره، ولی از یه کتابخونه استفاده می‌کنه (باهاش dynamic link شده) که اون کتابخونه مشکل داره، حالا این باعث میشه که نرم‌افزار شما آسیب‌پذیر بشه.

برای همین نیازه که به عنوان کاربر و ادمین سیستم، نرم‌افزار‌هایی که نصب میکنیم و مخصوصا نیازمندی‌هاشون رو با دقت انتخاب کنیم و هرچیزی رو نصب نکنیم
و به عنوان توسعه دهنده سیستم سعی کنیم از کتابخانه ها و به طور کلی dependency هایی استفاده کنیم که واقعا بهشون نیاز داریم. هر کدوم از نیازمندیهای ما میتونن دچار چنین مشکلی بشن و کاربران ما رو تو خطر بندازن. داستان xz به خاطر یک شانس واقعا بود که زود کشف شد، ممکن بود مدتها کشف نشه، علاوه بر اینکه این ابزار فوق‌العاده پرکاربرد و امتحان شده بود. اگر از یک کتابخونه که کمتر استفاده شده‌س استفاده می‌کنیم واقعا داریم ریسک می‌کنیم!

نکته آخر هم اینکه حتی اگر سورس کد رو خوندیم و امنه، بازم به معنی امنیت نرم‌افزار نیست، چون وقتی ما binary ش رو دانلود میکنیم تضمینی نیست که همون سورس کد کامپایل شده باشه. تو این مورد یه دیتای تست مخرب، در زمانی که تست‌ها اجرا میشد می اومد فایلها رو دستکاری میکرد. هم خلاقانه هم ترسناک.

https://en.m.wikipedia.org/wiki/Supply_chain_attack

BY نوشته‌های ترمینالی




Share with your friend now:
tgoop.com/terminal_stuff/2880

View MORE
Open in Telegram


Telegram News

Date: |

The main design elements of your Telegram channel include a name, bio (brief description), and avatar. Your bio should be: To view your bio, click the Menu icon and select “View channel info.” You can invite up to 200 people from your contacts to join your channel as the next step. Select the users you want to add and click “Invite.” You can skip this step altogether. A Telegram channel is used for various purposes, from sharing helpful content to implementing a business strategy. In addition, you can use your channel to build and improve your company image, boost your sales, make profits, enhance customer loyalty, and more. During a meeting with the president of the Supreme Electoral Court (TSE) on June 6, Telegram's Vice President Ilya Perekopsky announced the initiatives. According to the executive, Brazil is the first country in the world where Telegram is introducing the features, which could be expanded to other countries facing threats to democracy through the dissemination of false content.
from us


به بهونه این آسیب‌پذیری: این آسیب‌پذیری از نوع زنجیره تامین یا همون supply chain attack هست، یعنی شما برنامه sshتون که در تماس با بیرونه مشکلی نداره، ولی از یه کتابخونه استفاده می‌کنه (باهاش dynamic link شده) که اون کتابخونه مشکل داره، حالا این باعث میشه که نرم‌افزار شما آسیب‌پذیر بشه.

 نوشته‌های ترمینالی TG
web: 2880
نوشته‌های ترمینالی.Telegram web
نوشته‌های ترمینالی Telegram TG Channel
Telegram Updated:
Telegram نوشته‌های ترمینالی
FROM American