 |
||
| ||
| |||||
| Dernière réponse | ||
|---|---|---|
| Sujet : Les informaticiens aigris : anecdotes et conseils | ||
| gilou |
On a vérifié si Xatryx n'était pas contaminé ? :o |
|
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| haralph |
|
| Zaldarf |
|
| arkrom | Ils sont fort a l'informatique :O Très fort :pt1cable: Le sécurité est au top :sarcastic: https://rehost.diberie.com/Picture/Get/r/501115 Je vais être vachement avancé pour savoir qui ouvre mon appli :O |
| Je@nb | Le process c'est générer un SBOM (single bill of materials) a chaque build pour avoir la liste complète des librairies et hash utilisés, le stocker et pouvoir l'interroger a chaque découverte de faille pour savoir quelle appli est vulnérable |
| true-wiwi |
Mais y'a des gardes fous possibles sur artifactory, on peut arriver à un compromis pas si mal. |
| DDT | Non, mais une fois que le mal est fait, la réponse doit de toute manière être multi-factorielle.
Là, à petite échelle, sur une bibliothèque assez niche qui est restée quelques heures en ligne, aller voir les logs d'accès pourquoi pas. Mais en théorie tes devs devraient assez vite y prêter attention. Ta build foire parce que pip/uv/etc. te dit qu'un dépôt est en quarantaine, tu vas voir ce qu'il se passe... En revanche pour une faille du genre log4shell qui concerne quasiment toutes les versions sur une décennie d'une bibliothèque à l'usage très répandu, tu vas faire quoi? Pouvoir scanner tout le code hébergé (sur git ou autre) me semble plus pertinent pour pouvoir contacter les équipes concernées de manière efficace. Et au final rien ne va vraiment remplacer un anti-virus et une rotation des tokens, mots de passe etc. |
| Ivy gu | :jap: c'est intéressant, mais ça ne permet pas de déterminer qui a installé la version pourrie du paquet avant qu'elle n'ait été marquée comme compromise, si je comprends bien ? |
| DDT | https://blog.pypi.org/posts/2025-08 [...] s-markers/ |
| Ivy gu | ah, je ne savais pas. Ça marche comment ? |
| DDT | Et le rapport avec la choucroute? PyPI ou miroir local change strictement rien à la question ici. Si un paquet malicieux est disponible pendant plusieurs heures tu peux littéralement rien y faire, ton cache va probablement même ralentir la propagation des mécanismes de quarantaine ou de suppression par rapport à la source en fait. Avertir les gens infectés après coup c'est bien gentil mais en l'occurrence pip va le faire plus vite que toi. |
| Ivy gu |
|
| nucl3arfl0 |
[:dominique webb] |
| DDT |
|
| tails38 |
|
| Shadow aok |
|
| Ivy gu | Sans aller jusqu'à empêcher les gens de bosser, quand tu as la vision sur qui utilise quel paquet, tu peux déjà bien plus rapidement réagir quand un paquet devient connu comme corrompu, savoir qui l'utilise, communiquer et le bloquer. |
| DDT | Oui si les gens peuvent pas bosser y a beaucoup moins de risque qu'ils exécutent du code malicieux en effet. |
| true-wiwi |
La version nazie, c'est logiciel de distribution de paquet avec demande obligatoire, blocage du téléchargement par ailleurs. Une sorte de catalogue de logiciels autorisés internes qui ravira l'ensemble des demandeurs. Voir n'autoriser que de bosser en local :o |
| Ivy gu |
|
| haralph | Repo local avec chaine d'approbation.
La question suivante c'est, qui va auditer tous les paquets demandés ? [:kazama:2] |
| DDT | Un miroir comme Artifactory c'est pas magique, tant que le paquet en amont est disponible ça te protège en rien. |
| Ivy gu | tu peux avoir un repos pip en local non ? C'est un service que l'IT peut fournir. |
| Dezerd | Dans les faits, comment faire pour contrôler un minimum les Packet python utilisés par les users? On voit du pip install de partout encore plus avec l'arrivée en masse de l'IA. |
| zcoold |
|
| true-wiwi |
@XaT : moi je ne suis pas en esn [:moonzoid:5] |
| XaTriX |
|
| caudacien |
|
| true-wiwi | Mais bordel je sais pas quoi faire en ce moment. |
| nucl3arfl0 |
|
| XaTriX | J'ai un travail sinon. Respectez donc ma nouvelle autorité. |
| XaTriX | Old :o |
| haralph | Supply chain attack sur le package python litellm
https://snyk.io/fr/articles/poisone [...] g-litellm/ |
| gilou |
Trop tard, les pics de tes séances de soumission avec maitresse Bertha inondent déjà les réseaux. :o |
| dims |
|
| Slyde |
|
| Slyde |
|
| JerryCrazy |
|
| Zboss | C'est quoi le rapport entre la double authentification sur un compte OVH et les données déclarées volées par le hacker ? |
| Slyde | Je viens de mettre la MFA OTP appli en place sur un compte ou c'était pas encore le cas, pas confiance dans sa com' minimaliste surtout vu un ou deux commentaires en dessous du lien ci dessus. |
| Dezerd | Octave a répondu : https://xcancel.com/olesovhcom/stat [...] 86875292#m |
| Slyde |
|
