<div dir="auto"><div><br><div data-smartmail="gmail_signature"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">вт, 16 февр. 2021 г., 15:52 Grigory Ustinov <<a href="mailto:grenka@altlinux.org">grenka@altlinux.org</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">16.02.2021 15:35, Vladimir D. Seleznev пишет:<br>
> On Tue, Feb 16, 2021 at 03:28:31PM +0300, Grigory Ustinov wrote:<br>
>> 16.02.2021 14:56, Anton Farygin пишет:<br>
>>> On 16.02.2021 14:44, Grigory Ustinov wrote:<br>
>>>> 16.02.2021 14:38, Anton Farygin пишет:<br>
>>>>> On 16.02.2021 14:08, Grigory Ustinov wrote:<br>
>>>>>> 16.02.2021 14:01, Anton Farygin пишет:<br>
>>>>>>> On 16.02.2021 13:56, Andrey Savchenko wrote:<br>
>>>>>>>> On Tue, 16 Feb 2021 13:47:06 +0300 Kirill Maslinsky wrote:<br>
>>>>>>>>>> girar-check-perms: access to manatee-open ALLOWED for grenka:<br>
>>>>>>>>>> project leader welcomes random builders<br>
>>>>>>>>>> check-subtask-perms: #100: manatee-open: allowed for grenka<br>
>>>>>>>>> Добавляя @everybody в ACL я не предполагал, что ‘project leader<br>
>>>>>>>>> weolcomes random builders’ подразумевает ‘project leader<br>
>>>>>>>>> welcomes random<br>
>>>>>>>>> deleters’. Если это так by design, то, пожалуй, мне стоит убрать<br>
>>>>>>>>> @everybody с важных пакетов.<br>
>>>>>>>> Я думаю, что такого быть не должно: random builder != random<br>
>>>>>>>> deleter. Это явное злоупотребление полномочиями. Такие случаи у нас<br>
>>>>>>>> уже были.<br>
>>>>>>>><br>
>>>>>>>> Предлагаю на уровне сборочницы запретить @everybody удалять пакеты,<br>
>>>>>>>> если там есть кто-то, кроме @everybody.<br>
>>>>>> +1. Хотя бы в целях защиты от человеческого фактора. Мало ли кто из<br>
>>>>>> тим сойдёт с ума и удалит все пакеты?<br>
>>>>> Обычно администратор репозитория довольно быстро замечает и<br>
>>>>> пресекает такую активность.<br>
>>>> Администратор репозитория иногда спит. А ещё иногда бывает на отдыхе<br>
>>>> без интернета. На месте злоумышленника, я бы планировал удаление<br>
>>>> пакетов именно в это время.<br>
>>> злоумышленник может грохнуть репозиторий не удалением пакетов, а<br>
>>> сборкой. Запретим сборку новых пакетов ?<br>
>> Научи, пожалуйста!!! Мне интересно, как новый пакет может сломать<br>
>> репозиторий? Если это так, то значит в сборочнице нет какой-то проверки.<br>
>> Давайте выясним это?<br>
> Всех проверок не сделаешь, да и незачем: всё-таки мы доверяем участникам<br>
> команды, а проверки нужны от непреднамеренных ошибок.<br>
><br>
> Я знаю несколько способов сломать репозиторий сборкой пакетов, но я о<br>
> них не расскажу :). Для злоумышленника есть проблема: чтобы так сделать,<br>
> нужно быть участником тим.<br>
Не для кого не секрет, что испытания для участников тим становятся всё <br>
проще и проще.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Для меня секрет. Вы давно были ментором? </div><div dir="auto"><br></div><div dir="auto">Rgrds, Алексей</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
><br>
_______________________________________________<br>
Devel mailing list<br>
<a href="mailto:Devel@lists.altlinux.org" target="_blank" rel="noreferrer">Devel@lists.altlinux.org</a><br>
<a href="https://lists.altlinux.org/mailman/listinfo/devel" rel="noreferrer noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/devel</a></blockquote></div></div></div>