Comments 13
За образ с докером — жирный плюс.
Молодцы, что обратили внимание на интеграцию с CI процессами, в частности, на облачных платформах! Уверен, что это поспособствует популярности вашего продукта.
- wget -q -O - http://files.viva64.com/etc/pubkey.txt | sudo apt-key add -Здравствуй MITM… Вы бы хоть https какой-то прикрутили, если уж такое советуете...
https не спасает от mitm
Ну, я соглашусь и не соглашусь.
В случае докера — скорее всего возьмёте образ от вендора. В нем проблемы явно не будет, т.к. либо его собрали нормально, либо должны пересобрать.
Если собирать самому — да, лучше, если ключи apt зашиты как переменные внутри докерфайла, это гибче и надёжнее. Та же история с контентом, который выкачивают из инета (надо sha суммы класть в образ).
Не стоит забывать, что докерфайл — это всего лишь чертеж, а не само "изделие", полученное по нему
Неужели минусующие защищаются от mitm, заменяя http на https в скриптах?
Конкретно в этом случае спасает.
Поясняю: сейчас банальная подмена DNS для files.viva64.com или перехват траффика позволяет засунуть в apt keyring жертвы сгенерированый злоумышлеником ключ. Ну и дальше можно делать что хочешь, например предложить обновить любой пакет в системе, просто подписав левый репозиторий этим ключем.
Если бы тут был https, то эта атака загнулась бы еще на скачивании ключа. Понятно что владельцы files.viva64.com могут подсунуть левый пакет, но это заметно лучше чем когда это делает вообще кто попало.
Теперь ждём веб-сервис для работы с результатами анализа. Ну это, по крайней мере, выглядит как логичное развитие продукта, раз уж вы «пошли в облака» :)
Использую PVS-Studio в своём домашнем проекте уже полгода с интеграцией с travis-ci, после новогодней раздачи ключей для открытых проектов.
У меня скрипт запуска получился очень похожий, но только заканчивается на
test "$(cat ./pvs-error-list.txt | wc -l)" -le 1для того, чтобы не пропустить ни одной новой ошибки.
PVS-Studio идёт в облака – запуск анализа на Travis CI